KR101107739B1 - VoIP 네트워크의 비정상 SIP 트래픽 탐지 시스템 및 그 탐지 방법 - Google Patents

VoIP 네트워크의 비정상 SIP 트래픽 탐지 시스템 및 그 탐지 방법 Download PDF

Info

Publication number
KR101107739B1
KR101107739B1 KR1020100074934A KR20100074934A KR101107739B1 KR 101107739 B1 KR101107739 B1 KR 101107739B1 KR 1020100074934 A KR1020100074934 A KR 1020100074934A KR 20100074934 A KR20100074934 A KR 20100074934A KR 101107739 B1 KR101107739 B1 KR 101107739B1
Authority
KR
South Korea
Prior art keywords
traffic
sip
analysis
information
attack
Prior art date
Application number
KR1020100074934A
Other languages
English (en)
Inventor
이창용
김환국
고경희
김정욱
정현철
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020100074934A priority Critical patent/KR101107739B1/ko
Priority to US12/964,165 priority patent/US20120036579A1/en
Application granted granted Critical
Publication of KR101107739B1 publication Critical patent/KR101107739B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

네트워크 비정상 트래픽 탐지 시스템이 제공된다. 비정상 트래픽 탐지 시스템은 네트워크 상의 SIP 트래픽 정보를 수신하는 수신 모듈, 수신 모듈로부터 SIP 네크워크 트래픽 정보를 제공받아 이를 디코딩하는 디코딩 모듈, 디코딩 모듈로부터 디코딩된 SIP 네트워크 트래픽 정보를 제공받아 이를 저장하는 트래픽 정보 DB, 트래픽 정보 DB에 저장된 정보를 일정 주기 동안 수집하여 이를 분석 트래픽 정보로 저장하는 분석 트래픽 정보 DB, 기준 트래픽 정보를 저장하는 기준 트래픽 정보 DB, 및 분석 트래픽 정보와 기준 트래픽 정보를 비교하여 분석 트래픽이 공격 트래픽인지 여부를 탐지하는 공격 탐지 모듈을 포함한다.

Description

VoIP 네트워크의 비정상 SIP 트래픽 탐지 시스템 및 그 탐지 방법{Detection system for abnormal traffic in VoIP network and method for detecting the same}
본 발명은 네트워크 상의 비정상 트래픽 탐지 시스템 및 그 탐지 방법에 관한 것이다.
네트워크 상의 비정상 트래픽 탐지 시스템에 관한 종래의 기술들은 IP 트래픽의 5-tuple 정보(발신지 IP, 발신지 port, 목적지 IP, 목적지 port, 프로토콜(TCP, UDP, ICMP))만을 이용하여 IP 트래픽의 특성을 분석하고 비정상 트래픽을 탐지하였다. 하지만, 인터넷 전화 등의 발달로 인해 근래 폭발적으로 서비스되고 있는 SIP 응용서비스의 경우 지금까지의 IP 트래픽 모니터링 기술 및 비정상 IP 트래픽 탐지 기술은 이와 같은 SIP 트래픽을 효과적으로 모니터링 하거나 비정상 SIP 트래픽 공격을 탐지할 수 없었다.
이는 먼저, SIP 트래픽의 경우 상기 IP, port 정보 외에 응용서비스 제공을 위한 식별자인 URI를 추가로 사용하고 있는데 종래 기술로는 이러한 URI를 제대로 모니터링 할 수 없기 때문이고, 다음으로, SIP는 호 설정을 위한 SIP 트래픽과 미디어 전송을 위한 RTP 트래픽이 실제로 같은 응용서비스 세션내부의 트래픽임에도 불구하고 전달 경로가 다를 수 있지만, 기존의 IP 트래픽 모니터링 장비 또는 IP 기반 보안장비들은 이를 인식하여 처리할 수 없었기 때문이다.
따라서, 이러한 네트워크 상의 비정상 SIP 트래픽(예를 들어, DDoS 공격 트래픽이나 SCAN 공격 트래픽 등)을 탐지할 수 있는 탐지 시스템이 필요한 실정이다.
본 발명이 해결하고자 하는 기술적 과제는 네트워크 상의 비정상 SIP 트래픽이 탐지 가능한 비정상 트래픽 탐지 시스템을 제공하는 것이다.
본 발명이 해결하고자 하는 다른 기술적 과제는 네트워크 상의 비정상 SIP 트래픽을 탐지하는 비정상 트래픽 탐지 방법을 제공하는 것이다.
본 발명의 기술적 과제들은 이상에서 언급한 기술적 과제로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
상기 기술적 과제를 달성하기 위한 본 발명의 비정상 트래픽 탐지 시스템의 일 태양(aspect)은, 네트워크 상의 SIP 트래픽 정보를 수신하는 수신 모듈, 수신 모듈로부터 SIP 네크워크 트래픽 정보를 제공받아 이를 디코딩하는 디코딩 모듈, 디코딩 모듈로부터 디코딩된 SIP 네트워크 트래픽 정보를 제공받아 이를 저장하는 트래픽 정보 DB, 트래픽 정보 DB에 저장된 정보를 일정 주기 동안 수집하여 이를 분석 트래픽 정보로 저장하는 분석 트래픽 정보 DB, 기준 트래픽 정보를 저장하는 기준 트래픽 정보 DB, 및 분석 트래픽 정보와 기준 트래픽 정보를 비교하여 분석 트래픽이 공격 트래픽인지 여부를 탐지하는 공격 탐지 모듈을 포함한다.
상기 다른 기술적 과제를 달성하기 위한 본 발명의 비정상 트래픽 탐지 방법의 일 태양은, 네트워크로부터 SIP 트래픽 정보를 수신하고, 수신된 SIP 트래픽 정보를 디코딩하고, 디코딩딘 SIP 트래픽 정보를 일정 주기 동안 수집하여 분석 트래픽 정보를 생성하고, 분석 트래픽 정보를 기준 트래픽 정보와 비교하여 분석 트래픽이 SIP DDoS 공격 트래픽, SIP SCAN 공격 트래픽 및 RTP DDoS 공격 트래픽 중 적어도 어느 하나인지 탐지하고, 탐지 결과, 분석 트래픽이 공격 트래픽이면 사용자에게 경고하는 것을 포함한다.
기타 실시예들의 구체적인 사항들은 상세한 설명 및 도면들에 포함되어 있다.
본 발명의 실시예들에 따른 비정상 트래픽 탐지 시스템의 경우, 5-tuple 정보 이외의 다양한 응용계층 정보가 포함된 넷플로우 기반의 SIP 트래픽 플로우 정보를 바탕으로, 네트워크 상의 비정상 트래픽(예를 들어, SIP DDoS 공격 트래픽, SIP SCAN 공격 트래픽, RTP DDoS 공격 트래픽 등)을 탐지함으로써, 종래 탐지 시스템들에 비해 보다 정확한 비정상 트래픽 탐지가 가능하다.
도 1은 본 발명의 일 실시예에 따른 비정상 트래픽 탐지 시스템의 구성도이다.
도 2는 본 발명의 일 실시예에 따른 비정상 트래픽 탐지 시스템의 수신 모듈이 수신하는 SIP 트래픽 정보의 일 예이다.
도 3은 본 발명의 일 실시예에 따른 비정상 트래픽 탐지 시스템의 SIP DDoS 탐지 모듈의 탐지 방법을 설명하기 위한 도면이다.
도 4는 본 발명의 일 실시예에 따른 비정상 트래픽 탐지 시스템의 효과를 설명하기 위한 도면이다.
도 5은 본 발명의 다른 실시예에 따른 비정상 트래픽 탐지 시스템의 구성도이다.
도 6은 본 발명의 일 실시예에 따른 비정상 트래픽 탐지 방법의 순서도이다.
도 7은 본 발명의 다른 실시예에 따른 비정상 트래픽 탐지 방법의 순서도이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 도면에서 표시된 구성요소의 크기 및 상대적인 크기는 설명의 명료성을 위해 과장된 것일 수 있다.
명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭하며, "및/또는"은 언급된 아이템들의 각각 및 하나 이상의 모든 조합을 포함한다.
본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "이루어지다(made of)"는 언급된 구성요소, 단계, 동작 및/또는 소자는 하나 이상의 다른 구성요소, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.
비록 제1, 제2 등이 다양한 구성요소들을 서술하기 위해서 사용되나, 이들 구성요소들은 이들 용어에 의해 제한되지 않음은 물론이다. 이들 용어들은 단지 하나의 구성요소를 다른 구성요소와 구별하기 위하여 사용하는 것이다. 따라서, 이하에서 언급되는 제1 구성요소는 본 발명의 기술적 사상 내에서 제2 구성요소일 수도 있음은 물론이다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.
이하 도 1 내지 도 4를 참조하여, 본 발명의 일 실시예에 따른 비정상 트래픽 탐지 시스템에 대해 설명한다.
도 1은 본 발명의 일 실시예에 따른 비정상 트래픽 탐지 시스템의 구성도이고, 도 2는 본 발명의 일 실시예에 따른 비정상 트래픽 탐지 시스템의 수신 모듈이 수신하는 SIP 트래픽 정보의 일 예이다. 도 3은 본 발명의 일 실시예에 따른 비정상 트래픽 탐지 시스템의 SIP DDoS 탐지 모듈의 탐지 방법을 설명하기 위한 도면이고, 도 4는 본 발명의 일 실시예에 따른 비정상 트래픽 탐지 시스템의 효과를 설명하기 위한 도면이다.
먼저, 도 1을 참조하면, 본 발명의 일 실시예에 따른 비정상 트래픽 탐지 시스템(1)은 수신 모듈(10), 디코딩 모듈(20), 트래픽 정보 DB(30), 분석 트래픽 정보 DB(40), 기준 트래픽 정보 DB(45), 및 공격 탐지 모듈(50)을 포함할 수 있다.
수신 모듈(10)은 네트워크(NETWORK) 상의 SIP 트래픽 정보를 수신하는 모듈일 수 있다. 구체적으로, 수신 모듈(10)은 네트워크(NETWORK) 상에 설치된 다수의 수집 센서(미도시)를 통해 네트워크(NETWORK) 상의 SIP 트래픽 정보를 수신하는 모듈일 수 있다. 이 때, SIP 트래픽 정보는 예를 들어, 넷플로우(NetFlow) 기반의 SIP 트래픽 플로우(FLOW)일 수 있다. 구체적으로 SIP 트래픽 정보는 예를 들어, 넷플로우 V9 포맷을 따르는 SIP 트래픽 플로우(FLOW)일 수 있다. 이러한 SIP 트래픽 정보는 도 2에 도시된 것과 같이 SIP 트래픽에 관한 정보 및 RTP 트래픽에 관한 정보들을 포함할 수 있다.
디코딩 모듈(20)은 수신 모듈(10)로부터 SIP 트래픽 정보를 제공받아 이를 디코딩(decoding)하는 모듈일 수 있다. 여기서 디코딩이란 수신된 SIP 트래픽(예를 들어, 넷플로우 V9 포맷을 따르는 SIP 트래픽 플로우)을 각 연관 항목별로 분류하여 구조체 형태로 변환하는 것일 수 있다. 수신된 SIP 트래픽은 이렇게 변환된 구조체 형태로 후술할 트래픽 정보 DB(30)에 저장될 수 있다.
트래픽 정보 DB(30)는 디코딩 모듈(20)로부터 디코딩된 SIP 트래픽 정보를 제공받아 이를 저장하는 저장부일 수 있다. 이러한 트래픽 정보 DB(30)는 예를 들어, 1 시간을 주기로 정보 저장 테이블을 생성하여 디코딩된 SIP 트래픽 정보를 저장할 수 있다.
분석 트래픽 정보 DB(40)는 트래픽 정보 DB(30)에 저장된 정보를 일정 주기(T) 동안 수집하여 이를 SIP 트래픽이 비정상 트래픽(예를 들어, 공격 트래픽)인지 탐지할 때 사용되는 분석 트래픽 정보로 저장하는 저장부일 수 있다. 여기서 일정 주기(T)는 예를 들어, 1분일 수 있다.
기준 트래픽 정보 DB(45)는 기준 트래픽 정보를 저장하는 저장부 일 수 있다. 여기서 기준 트래픽 정보에 대해서는 후술할 공격 탐지 모듈(50)을 설명하면서 보다 상세하게 설명하도록 한다.
공격 탐지 모듈(50)은 분석 트래픽 정보 DB(40)의 분석 트래픽 정보와 기준 트래픽 정보DB(45)의 기준 트래픽 정보를 비교하여 분석 트래픽이 비정상 트래픽(예를 들어, 공격 트래픽)인지 여부를 탐지하는 모듈일 수 있다. 구체적으로, 도 1을 참조하면 공격 탐지 모듈(50)은 SIP DDoS 트래픽 탐지 모듈(52), SIP SCAN 트래픽 탐지 모듈(54), 및 RTP DDoS 탐지 모듈(56)을 포함할 수 있다.
SIP DDoS 트래픽 탐지 모듈(52)은 분석 트래픽이 SIP DDoS 공격 트래픽인지 여부를 탐지하는 모듈일 수 있다. 구체적으로, SIP DDoS 트래픽 탐지 모듈(52)은 분석 트래픽의 SIP 트래픽 볼륨, 메소드 비율 및 URI 비율 중 적어도 어느 하나가 기준 트래픽의 임계값보다 크면 분석 트래픽을 잠재적 SIP DDoS 공격 트래픽으로 탐지할 수 있다.
이러한 SIP DDoS 트래픽 탐지 모듈(52)이 분석 트래픽을 잠재적 SIP DDoS 공격 트래픽으로 탐지하는 과정을 하나씩 살펴보면, 먼저, SIP DDoS 트래픽 탐지 모듈(52)은 분석 트래픽의 SIP 트래픽 볼륨, 메소드 비율 및 URI 비율 정보를 분석한다. 여기서 분석 트래픽의 SIP 트래픽 볼륨, 메소드 비율 및 URI 비율 정보는 아래 표 1(도 2와 함께 참조)과 같을 수 있다.
분석 항목 상세 내용
SIP 트래픽 볼륨 SIP bps SIP 트래픽의 양(bytes)
SIP/RTP 비율 SIP 트래픽의 양(bytes)/ RTP 트래픽의 양(bytes)
메소드 비율 INVITE 비율 INVITE 메소드 개수(count)/ 전체 메소드 개수(count)
REGISTER 비율 REGISTER 메소드 개수(count)/ 전체 메소드 개수(count)
100/200 비율 100 메소드 개수(count)/ 200 메소드 개수(count)
URI 비율 From/To 비율 서로 다른 From 개수(count)/ 서로 다른 To 개수(count)
다음, SIP DDoS 트래픽 탐지 모듈(52)은 분석 트래픽의 SIP 트래픽 볼륨, 메소드 비율 및 URI 비율 정보를 기준 트래픽 정보 DB(45)에 저장된 기준 트래픽의 임계값과 비교한다. 그리고, 분석 트래픽의 SIP 트래픽 볼륨, 메소드 비율 및 URI 비율 중 적어도 어느 하나가 기준 트래픽의 임계값보다 크면 분석 트래픽을 잠재적 SIP DDoS 공격 트래픽으로 탐지한다. 여기서, 각 항목별 기준 트래픽의 임계값은 예를 들어, 아래의 표 2와 같을 수 있다.
분석 항목 임계값
SIP 트래픽 볼륨 SIP bps 3주간 요일, 시간대별, SIP 트래픽의 양(bytes)의 평균 + a
SIP/RTP 비율 3주간 요일, 시간대별, SIP 트래픽의 양(bytes)의 평균/ RTP 트래픽의 양(bytes)의 평균 + a
메소드 비율 INVITE 비율 1주간, 평균 INVITE 메소 개수(count)/ 평균 전체 메소드 개수(count) + a
REGISTER 비율 1주간, 평균 REGISTER 메소드 개수(count)/ 평균 전체 메소드 개수(count) +a
100/200 비율 1주간, 평균 100 메소드 개수(count)/ 평균 200 메소드 개수(count) + a
URI 비율 From/To 비율 1주간 요일, 시간대별, 서로 다른 From 개수(count)/ 서로 다른 To 개수(count) + a
즉, 예를 들어 현재 날짜, 현재 시간의 분석 트래픽의 ′SIP 트래픽의 양(bytes) ′이 3주간 현재 날짜, 현재 시간의 ′SIP 트래픽의 양(bytes)의 평균 + a′보다 크면, SIP DDoS 트래픽 탐지 모듈(52)은 분석 트래픽을 잠재적 SIP DDoS 공격 트래픽으로 탐지한다. 여기서 ′a′는 오프셋(offset) 값으로 예를 들어, 사용자가 필요에 따라 임의적으로 조절할 수 있는 값일 수 있다.
만약, 분석 트래픽의 SIP bps가 임계값 보다 작다고 하더라도, INVITE 비율이 임계값 보다 크면 분석 트래픽을 잠재적 SIP DDoS 공격 트래픽으로 탐지한다. 즉, SIP DDoS 트래픽 탐지 모듈(52)은 분석 트래픽의 SIP 트래픽 볼륨, 메소드 비율 및 URI 비율 중 적어도 어느 하나가 기준 트래픽의 임계값보다 크면 분석 트래픽을 잠재적 SIP DDoS 공격 트래픽으로 탐지한다.
SIP DDoS 트래픽 탐지 모듈(52)이 분석 트래픽을 잠재적 SIP DDoS 공격 트래픽으로 탐지하면, 다음으로 SIP DDoS 트래픽 탐지 모듈(52)은 분석 트래픽의 ACK 메소드 개수 및 응답 메소드와 요청 메소드의 비율을 분석한다. 이는 분석 트래픽이 SIP DDoS 공격 트래픽일 경우, 도 3의 (a)에 도시된 정상적인 상황과 달리 도 3의 (b)도시된 것처럼, 분석 트래픽 내에 ACK 메소드가 존재하지 않거나, 요청(Request) 메소드에 대한 응답(Response) 메소드의 비율이 지나치게 높을 수(예를 들어, 응답 메소드 개수/ 요청 메소드 개수 ≥ 4) 있기 때문이다. 따라서, SIP DDoS 트래픽 탐지 모듈(52)은 분석 트래픽의 ACK 메소드 개수가 없거나, 요청 메소드에 대한 응답 메소드의 비율이 4 이상이면, 분석 트래픽을 SIP DDoS 공격 트래픽으로 탐지할 수 있다.
SIP SCAN 트래픽 탐지 모듈(54)은 분석 트래픽의 SIP 트래픽 볼륨, 메소드 비율 및 URI 비율 중 적어도 어느 하나가 기준 트래픽의 임계값 보다 크면 분석 트래픽을 SIP SCAN 공격 트래픽으로 탐지하는 모듈일 수 있다. 구체적으로, SIP SCAN 트래픽 탐지 모듈(54)은 분석 트래픽의 SIP 트래픽 볼륨, 메소드 비율 및 URI 비율 중 적어도 어느 하나가 기준 트래픽의 임계값 보다 크면 분석 트래픽을 SIP SCAN 공격 트래픽으로 탐지할 수 있다.
이러한 SIP SCAN 트래픽 탐지 모듈(54)이 분석 트래픽을 SIP SCAN 공격 트래픽으로 탐지하는 과정을 앞서 살펴본 것과 같이 하나씩 살펴보면, 먼저, SIP SCAN 트래픽 탐지 모듈(54)은 분석 트래픽의 SIP 트래픽 볼륨, 메소드 비율 및 URI 비율 정보를 분석한다. 여기서 분석 트래픽의 SIP 트래픽 볼륨, 메소드 비율 및 URI 비율 정보는 아래 표 3(도 2와 함께 참조)과 같을 수 있다.
분석 항목 상세 내용
SIP 트래픽 볼륨 SIP bps SIP 트래픽의 양(bytes)
메소드 비율 INVITE 비율 INVITE 메소드 개수(count)/ 전체 메소드 개수(count)
INVITE/200 OK 비율 INVITE 메소드 개수(count)/ 200 OK 개수(count)
URI 비율 From/To 비율 서로 다른 From 개수(count)/ 서로 다른 To 개수(count)
다음, SIP SCAN 트래픽 탐지 모듈(54)은 분석 트래픽의 SIP 트래픽 볼륨, 메소드 비율 및 URI 비율 정보를 기준 트래픽 정보 DB(45)에 저장된 기준 트래픽의 임계값과 비교한다. 그리고, 분석 트래픽의 SIP 트래픽 볼륨, 메소드 비율 및 URI 비율 중 적어도 어느 하나가 기준 트래픽의 임계값 보다 크면 분석 트래픽을 SIP SCAN 공격 트래픽으로 탐지한다. 여기서, 각 항목별 기준 트래픽의 임계값은 예를 들어, 아래의 표 4와 같을 수 있다.
분석 항목 임계값
SIP 트래픽 볼륨 SIP bps 3주간 요일, 시간대별, SIP 트래픽의 양(bytes)의 평균 + a
메소드 비율 INVITE 비율 1주간, 평균 INVITE 메소 개수(count)/ 평균 전체 메소드 개수(count) + a
INVITE/200 OK 비율 1주간, 평균 INVITE 메소 개수(count)/ 평균 200 OK 개수(count) + a
URI 비율 From/To 비율 1주간 요일, 시간대별, 서로 다른 From 개수(count)/ 서로 다른 To 개수(count) + a
SIP SCAN 트래픽 탐지 모듈(54)이 분석 트래픽을 SIP SCAN 공격 트래픽으로 탐지하는 과정은 앞서 설명한 SIP DDoS 트래픽 탐지 모듈(52)의 경우와 유사하므로, 중복된 자세한 설명은 생략하도록 한다.
마지막으로, RTP DDoS 탐지 모듈(56) 역시 유사한 과정을 통해 분석 트래픽을 RTP DDoS 공격 트래픽으로 탐지할 수 있다. 다만, RTP DDoS 탐지 모듈(56)은 분석 트래픽의 RTP 트래픽 볼륨 또는 RTP 트래픽 품질값(MOS) 중 적어도 어느 하나가 기준 트래픽 정보 DB(45)에 기준 트래픽의 임계값보다 크면 분석 트래픽을 상기 RTP DDoS 공격 트래픽으로 탐지할 수 있다. 이 때, 분석 항목 및 임계값은 아래의 표 5 및 표 6과 같을 수 있다.
분석 항목 상세 내용
RTP 트래픽 볼륨 RTP bps RTP 트래픽의 양(bytes)
품질정보 MOS RTP 트래픽의 평균 MOS
분석 항목 임계값
RTP 트래픽 볼륨 RTP bps 3주간 요일, 시간대별, RTP 트래픽의 양(bytes)의 평균 + a
품질정보 MOS 1주간 RTP 트래픽의 평균 MOS + a
도 1을 다시 참조하면, 앞서 설명한 SIP DDoS 트래픽 탐지 모듈(52), SIP SCAN 트래픽 탐지 모듈(54), 및 RTP DDoS 탐지 모듈(56) 중 적어도 어느 하나가 분석 트래픽이 DDoS 또는 SCAN 공격 트래픽임을 탐지하면, 공격 트래픽 정보를 공격 트래픽 정보 DB(60)에 저장한다. 그리고, 공격 트래픽이 네트워크 상에 존재함을 사용자(USER)에게 경고(ALERT)할 수 있다.
이와 같은 본 발명의 일 실시예에 따른 비정상 트래픽 탐지 시스템의 경우, 네트워크(예를 들어, VoIP 네트워크) 상의 비정상 SIP 트래픽이 탐지 가능할 수 있다. 도 4를 참조하여 보다 구체적으로 설명하면, 종래의 비정상 트래픽 탐지 시스템의 경우, 5-tuple 정보에 의해서만 비정상 트래픽을 탐지했기 때문에 도 4와 같이 IP 레벨에서 하나의 발신지(source)에서 하나의 목적지(destination)으로 흐르는 트래픽의 경우에는 비록, 응용 레벨에서 서로 다른 여러 개의 URI(서로 다른 여러 개의 From)를 사용하여 하나의 타겟(하나의 To)을 공격한다 하더라도 이를 DDoS 공격으로 탐지하지 못하였다.
하지만, 본 발명의 일 실시예에 따른 비정상 트래픽 탐지 시스템은 응용 레벨에서 앞서 설명한 바와 같이 다양한 정보를 바탕으로 DDoS 공격 트래픽을 탐지하기 때문에, 도 4에 도시된 것과 같은 SIP DDoS 공격 트래픽의 탐지가 가능하다.
다음 도 5를 참조하여, 본 발명의 다른 실시예에 따른 비정상 트래픽 탐지 시스템에 대해 설명한다.
도 5은 본 발명의 다른 실시예에 따른 비정상 트래픽 탐지 시스템의 구성도이다.
여기서는 앞서 설명한 본 발명의 다른 실시예에 따른 비정상 트래픽 탐지 시스템을 설명하면서 설명한 구성요소 및 사항들에 대해서는 중복된 설명을 생략하도록 한다. 즉, 이하에서는 그 차이점만을 중심으로 설명하도록한다.
도 5를 참조하면, 본 발명의 다른 실시예에 따른 비정상 트래픽 탐지 시스템(1)은 기준 트래픽 정보 생성 모듈(70)을 더 포함할 수 있다.
기준 트래픽 정보 생성 모듈(70)은 공격 탐지 모듈(50)이 분석 트래픽을 비공격 트래픽으로 탐지하면, 트래픽 정보 DB(30)에 저장된 SIP 트래픽 정보로 기준 트래픽 정보 DB(45)에 저장된 기준 트래픽 정보를 갱신하는 모듈일 수 있다. 즉, 기준 트래픽 정보 생성 모듈(70)은 정상 트래픽 정보로 기준 트래픽 정보 DB(45)에 저장된 기준 트래픽 정보를 갱신하여 분석 항목별 임계값을 갱신하는 모듈일 수 있다.
이처럼, 기준 트래픽 정보 생성 모듈(70)을 더 포함할 경우 기준 트래픽 정보의 임계값을 실시간으로 네트워크의 상황에 맞게 적용할 수 있어, 보다 신뢰성 높은 공격 트래픽의 탐지가 가능하게 된다.
다음 도 6을 참조하여, 본 발명의 일 실시예에 따른 비정상 트래픽 탐지 방법에 대해 설명한다.
도 6은 본 발명의 일 실시예에 따른 비정상 트래픽 탐지 방법의 순서도이다.
먼저, 도 6을 참조하면, 네트워크로부터 SIP 트래픽 정보를 수신한다(S100). 그리고, 수신된 SIP 트래픽 정보를 디코딩한다(S110).
여기서, 네트워크는 VoIP 네트워크를 포함할 수 있고, 네트워크로부터 수신된 SIP 트래픽 정보는 넷플로우(NetFlow) 기반의 SIP 트래픽 플로우 정보를 포함할 수 있다.
다음, 디코딩딘 SIP 트래픽 정보를 일정 주기 동안 수집하여 분석 트래픽 정보를 생성한다(S120). 여기서 일정 주기는 앞서 설명한 바와 같이 예를 들어, 1분일 수 있다.
다음, 분석 트래픽 정보를 기준 트래픽 정보와 비교하여 분석 트래픽이 SIP DDoS 공격 트래픽, SIP SCAN 공격 트래픽 및 RTP DDoS 공격 트래픽 중 적어도 어느 하나인지 탐지한다(S130). 그리고, 탐지 결과, 분석 트래픽이 공격 트래픽이면 사용자에게 경고한다(S140).
분석 트래픽이 SIP DDoS 공격 트래픽, SIP SCAN 공격 트래픽 및 RTP DDoS 공격 트래픽 중 적어도 어느 하나인지 탐지하는 것은 앞서 본 발명의 일 실시예에 따른 비정상 트래픽 탐지 시스템에 대해 설명하면서 이미 설명한바 중복된 설명은 생략한다.
다음 도 7을 참조하여, 본 발명의 다른 실시예에 따른 비정상 트래픽 탐지 방법에 대해 설명한다.
도 7은 본 발명의 다른 실시예에 따른 비정상 트래픽 탐지 방법의 순서도이다.
도 7을 참조하면, 본 발명의 다른 실시예에 따른 비정상 트래픽 탐지 방법의 경우, 공격 트래픽 탐지(S140) 결과, 분석 트래픽이 정상(비공격) 트래픽이면 분석 트래픽 정보로 기준 트래픽 정보를 갱신하는 것을 더 포함한다(S150). 이 밖의 다른 사항은 앞서 설명한 본 발명의 일 실시예에 따른 비정상 트래픽 탐지 방법과 동일한바 중복된 자세한 설명은 생략한다.
이상 첨부된 도면을 참조하여 본 발명의 실시예들을 설명하였으나, 본 발명은 상기 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 제조될 수 있으며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.
1: 비정상 트래픽 탐지 시스템 10: 수신 모듈
20: 디코딩 모듈 30: 트래픽 정보 DB
40: 분석 트래픽 정보 DB 45: 기준 트래픽 정보 DB
50: 공격 탐지 모듈 52: SIP DDoS 탐지 모듈
54: SIP SCAN 탐지 모듈 56: RTP DDoS 탐지 모듈
60: 공격 트래픽 정보 DB 70: 기준 트래픽 정보 생성 모듈
S100~S150: 비정상 트래픽 탐지 방법

Claims (15)

  1. 네트워크 상의 SIP 트래픽 정보를 수신하는 수신 모듈;
    상기 수신 모듈로부터 상기 SIP 트래픽 정보를 제공받아 이를 디코딩하는 디코딩 모듈;
    상기 디코딩 모듈로부터 상기 디코딩된 SIP 트래픽 정보를 제공받아 이를 저장하는 트래픽 정보 DB;
    상기 트래픽 정보 DB에 저장된 정보를 일정 주기 동안 수집하여 이를 분석 트래픽 정보로 저장하는 분석 트래픽 정보 DB;
    기준 트래픽 정보를 저장하는 기준 트래픽 정보 DB; 및
    상기 분석 트래픽 정보와 상기 기준 트래픽 정보를 비교하여 상기 분석 트래픽이 공격 트래픽인지 여부를 탐지하는 공격 탐지 모듈을 포함하되,
    상기 공격 탐지 모듈은 상기 분석 트래픽이 SIP DDoS 공격 트래픽인지 여부를 탐지하는 SIP DDos 탐지 모듈을 포함하고,
    상기 SIP DDoS 탐지 모듈은 상기 분석 트래픽의 SIP 트래픽 볼륨, 메소드 비율 및 URI 비율 중 적어도 어느 하나가 상기 기준 트래픽의 임계값보다 크면 상기 분석 트래픽을 잠재적 상기 SIP DDoS 공격 트래픽으로 탐지하고,
    상기 잠재적 SIP DDoS 공격 트래픽으로 탐지된 상기 분석 트래픽에 ACK 메소드가 없거나, 응답 메소드와 요청 메소드의 비율이 N:1 (여기서, N≥4, N은 자연수)이면 상기 분석 트래픽을 상기 SIP DDoS 공격 트래픽으로 탐지하는 비정상 트래픽 탐지 시스템.
  2. 제 1항에 있어서,
    상기 네트워크는 VoIP 네트워크를 포함하고,
    상기 수신 모듈이 수신하는 상기 SIP 트래픽 정보는 넷플로우 기반의 SIP 트래픽 플로우 정보를 포함하는 비정상 트래픽 탐지 시스템.
  3. 제 1항에 있어서,
    상기 일정 주기는 1분을 포함하는 비정상 트래픽 탐지 시스템.
  4. 제 1항에 있어서,
    상기 공격 탐지 모듈은 상기 분석 트래픽이 SIP SCAN 공격 트래픽인지 여부를 탐지하는 SIP SCAN 탐지 모듈과, 상기 분석 트래픽이 RTP DDoS 공격 트래픽인지 여부를 탐지하는 RTP DDoS 탐지 모듈을 더 포함하는 비정상 트래픽 탐지 시스템.
  5. 제 4항에 있어서,
    상기 N은 4인 비정상 트래픽 탐지 시스템.
  6. 제 4항에 있어서,
    상기 SIP SCAN 탐지 모듈은 상기 분석 트래픽의 SIP 트래픽 볼륨, 메소드 비율 및 URI 비율 중 적어도 어느 하나가 상기 기준 트래픽의 임계값 보다 크면 상기 분석 트래픽을 상기 SIP SCAN 공격 트래픽으로 탐지하는 비정상 트래픽 탐지 시스템.
  7. 제 4항에 있어서,
    상기 RTP DDoS 탐지 모듈은 상기 분석 트래픽의 RTP 트래픽 볼륨 또는 RTP 트래픽 품질값(MOS) 중 적어도 어느 하나가 상기 기준 트래픽의 임계값보다 크면 상기 분석 트래픽을 상기 RTP DDoS 공격 트래픽으로 탐지하는 비정상 트래픽 탐지 시스템.
  8. 제 1항에 있어서,
    상기 공격 탐지 모듈이 상기 분석 트래픽을 비공격 트래픽으로 탐지하면 상기 트래픽 정보 DB에 저장된 상기 SIP 트래픽 정보로 상기 기준 트래픽 정보 DB에 저장된 상기 기준 트래픽 정보를 갱신하는 기준 트래픽 정보 생성 모듈을 더 포함하는 비정상 트래픽 탐지 시스템.
  9. 네트워크로부터 SIP 트래픽 정보를 수신하고,
    상기 수신된 SIP 트래픽 정보를 디코딩하고,
    상기 디코딩딘 SIP 트래픽 정보를 일정 주기 동안 수집하여 분석 트래픽 정보를 생성하고,
    상기 분석 트래픽 정보를 기준 트래픽 정보와 비교하여 상기 분석 트래픽이 SIP DDoS 공격 트래픽, SIP SCAN 공격 트래픽 및 RTP DDoS 공격 트래픽 중 적어도 어느 하나인지 탐지하고,
    상기 탐지 결과, 상기 분석 트래픽이 상기 공격 트래픽이면 사용자에게 경고하는 것을 포함하되,
    상기 분석 트래픽이 상기 SIP DDoS 공격 트래픽인지 탐지하는 것은, 상기 분석 트래픽의 SIP 트래픽 볼륨, 메소드 비율 및 URI 비율 중 적어도 어느 하나가 상기 기준 트래픽의 임계값보다 크면 상기 분석 트래픽을 잠재적 상기 SIP DDoS 공격 트래픽으로 탐지하고, 상기 잠재적 SIP DDoS 공격 트래픽으로 탐지된 상기 분석 트래픽에 ACK 메소드가 없거나, 응답 메소드와 요청 메소드의 비율이 N:1 (여기서, N≥4, N은 자연수)이면 상기 분석 트래픽을 상기 SIP DDoS 공격 트래픽으로 탐지하는 비정상 트래픽 탐지 방법.
  10. 제 9항에 있어서,
    상기 네트워크는 VoIP 네트워크를 포함하고,
    상기 네트워크로부터 수신된 상기 SIP 트래픽 정보는 넷플로우 기반의 SIP 트래픽 플로우 정보를 포함하는 비정상 트래픽 탐지 방법.
  11. 제 9항에 있어서,
    상기 일정 주기는 1분을 포함하는 비정상 트래픽 탐지 방법.
  12. 제 9항에 있어서,
    상기 N은 4인 비정상 트래픽 탐지 방법.
  13. 제 9항에 있어서,
    상기 분석 트래픽이 상기 SIP SCAN 공격 트래픽인지 탐지하는 것은 상기 분석 트래픽의 SIP 트래픽 볼륨, 메소드 비율 및 URI 비율 중 적어도 어느 하나가 상기 기준 트래픽의 임계값보다 크면 상기 분석 트래픽을 상기 SIP SCAN 공격 트래픽으로 탐지하는것을 포함하는 비정상 트래픽 탐지 방법.
  14. 제 9항에 있어서,
    상기 분석 트래픽이 상기 RTP DDoS 공격 트래픽인지 탐지하는 것은 상기 분석 트래픽의 RTP 트래픽 볼륨 또는 RTP 트래픽 품질값(MOS) 중 적어도 어느 하나가 상기 기준 트래픽의 임계값보다 크면 상기 분석 트래픽을 상기 RTP DDoS 공격 트래픽으로 탐지하는 것을 포함하는 비정상 트래픽 탐지 방법.
  15. 제 9항에 있어서,
    상기 탐지 결과, 상기 분석 트래픽이 비공격 트래픽이면 상기 분석 트래픽 정보로 상기 기준 트래픽 정보를 갱신하는 것을 더 포함하는 비정상 트래픽 탐지 방법.
KR1020100074934A 2010-08-03 2010-08-03 VoIP 네트워크의 비정상 SIP 트래픽 탐지 시스템 및 그 탐지 방법 KR101107739B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020100074934A KR101107739B1 (ko) 2010-08-03 2010-08-03 VoIP 네트워크의 비정상 SIP 트래픽 탐지 시스템 및 그 탐지 방법
US12/964,165 US20120036579A1 (en) 2010-08-03 2010-12-09 System and method for detecting abnormal sip traffic on voip network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100074934A KR101107739B1 (ko) 2010-08-03 2010-08-03 VoIP 네트워크의 비정상 SIP 트래픽 탐지 시스템 및 그 탐지 방법

Publications (1)

Publication Number Publication Date
KR101107739B1 true KR101107739B1 (ko) 2012-01-20

Family

ID=45557073

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100074934A KR101107739B1 (ko) 2010-08-03 2010-08-03 VoIP 네트워크의 비정상 SIP 트래픽 탐지 시스템 및 그 탐지 방법

Country Status (2)

Country Link
US (1) US20120036579A1 (ko)
KR (1) KR101107739B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101276242B1 (ko) * 2012-11-13 2013-06-20 (주)유엠로직스 VoIP 게이트웨이 시스템에서의 DDoS 공격 차단 시스템 및 그 차단 방법
CN107124427A (zh) * 2017-05-31 2017-09-01 上海交通大学 一种VoLTE中SIP洪水攻击检测与预防方法

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120071123A (ko) * 2010-12-22 2012-07-02 한국전자통신연구원 비정상 트래픽 감지 장치 및 방법
KR20130084442A (ko) * 2012-01-17 2013-07-25 삼성전자주식회사 통신 시스템에서 서비스 거부 공격을 감지하기 위한 기지국 및 그 방법
US9294503B2 (en) * 2013-08-26 2016-03-22 A10 Networks, Inc. Health monitor based distributed denial of service attack mitigation
US9900342B2 (en) * 2014-07-23 2018-02-20 Cisco Technology, Inc. Behavioral white labeling
CN107766533B (zh) * 2017-10-27 2020-07-28 携程旅游网络技术(上海)有限公司 话务量异常的自动检测方法及系统、存储介质、电子设备
CN115801475B (zh) * 2023-02-14 2023-04-28 江西师范大学 一种基于双重扫描算法的ddos攻击检测方法及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040057257A (ko) * 2002-12-26 2004-07-02 한국과학기술정보연구원 분산서비스거부 공격 대응 시스템 및 방법과 그프로그램을 기록한 기록매체
KR20060056195A (ko) * 2004-11-20 2006-05-24 한국전자통신연구원 비정상 트래픽 정보 분석 장치 및 그 방법
KR20100067387A (ko) * 2008-12-11 2010-06-21 한국인터넷진흥원 넷플로우 통계정보를 이용한 비정상 에스아이피 트래픽 폭주공격 탐지 및 모니터링시스템과 그 방법
KR20100069410A (ko) * 2008-12-16 2010-06-24 한국인터넷진흥원 에스아이피(sip) 기반 서비스의 보호를 위한 sip 침입 탐지 및 대응 구조

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ES2389057T3 (es) * 2000-03-03 2012-10-22 Qualcomm Incorporated Procedimiento y aparato para participar en servicios de comunicación grupal en un sistema de comunicación existente
WO2007019583A2 (en) * 2005-08-09 2007-02-15 Sipera Systems, Inc. System and method for providing network level and nodal level vulnerability protection in voip networks
DE102005055148B4 (de) * 2005-11-18 2008-04-10 Siemens Ag Verfahren, Detektionseinrichtung und Servereinrichtung zur Auswertung einer eingehenden Kommunikation an einer Kommunikationseinrichtung
US8302186B2 (en) * 2007-06-29 2012-10-30 Verizon Patent And Licensing Inc. System and method for testing network firewall for denial-of-service (DOS) detection and prevention in signaling channel
US8806630B2 (en) * 2008-05-13 2014-08-12 At&T Intellectual Property, I, L.P. Methods and apparatus for intrusion protection in systems that monitor for improper network usage

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040057257A (ko) * 2002-12-26 2004-07-02 한국과학기술정보연구원 분산서비스거부 공격 대응 시스템 및 방법과 그프로그램을 기록한 기록매체
KR20060056195A (ko) * 2004-11-20 2006-05-24 한국전자통신연구원 비정상 트래픽 정보 분석 장치 및 그 방법
KR20100067387A (ko) * 2008-12-11 2010-06-21 한국인터넷진흥원 넷플로우 통계정보를 이용한 비정상 에스아이피 트래픽 폭주공격 탐지 및 모니터링시스템과 그 방법
KR20100069410A (ko) * 2008-12-16 2010-06-24 한국인터넷진흥원 에스아이피(sip) 기반 서비스의 보호를 위한 sip 침입 탐지 및 대응 구조

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101276242B1 (ko) * 2012-11-13 2013-06-20 (주)유엠로직스 VoIP 게이트웨이 시스템에서의 DDoS 공격 차단 시스템 및 그 차단 방법
CN107124427A (zh) * 2017-05-31 2017-09-01 上海交通大学 一种VoLTE中SIP洪水攻击检测与预防方法
CN107124427B (zh) * 2017-05-31 2020-08-25 上海交通大学 一种VoLTE中SIP洪水攻击检测与预防方法

Also Published As

Publication number Publication date
US20120036579A1 (en) 2012-02-09

Similar Documents

Publication Publication Date Title
KR101107739B1 (ko) VoIP 네트워크의 비정상 SIP 트래픽 탐지 시스템 및 그 탐지 방법
US8966627B2 (en) Method and apparatus for defending distributed denial-of-service (DDoS) attack through abnormally terminated session
CN106034056B (zh) 一种业务安全分析的方法和系统
US8576724B2 (en) Method, system, and computer program product, for correlating special service impacting events
CN102104611A (zh) 一种基于混杂模式的DDoS攻击检测方法及装置
Tammaro et al. Exploiting packet‐sampling measurements for traffic characterization and classification
US20090238088A1 (en) Network traffic analyzing device, network traffic analyzing method and network traffic analyzing system
US20070283436A1 (en) Method and apparatus for large-scale automated distributed denial of service attack detection
US20100154057A1 (en) Sip intrusion detection and response architecture for protecting sip-based services
US7903657B2 (en) Method for classifying applications and detecting network abnormality by statistical information of packets and apparatus therefor
US20140189867A1 (en) DDoS ATTACK PROCESSING APPARATUS AND METHOD IN OPENFLOW SWITCH
US20110078163A1 (en) Method and system for network fault management
KR20100120823A (ko) 플로우 데이터를 이용한 VoIP 응용 이상 트래픽 탐지 방법
KR101711022B1 (ko) 제어 네트워크 침해사고 탐지 장치 및 탐지 방법
Kim et al. A study of analyzing network traffic as images in real-time
KR20150090216A (ko) 암호화된 세션 모니터링
JP2008193482A (ja) ネットワーク品質監視装置及びネットワーク品質監視方法
US20090138959A1 (en) DEVICE, SYSTEM AND METHOD FOR DROPPING ATTACK MULTIMEDIA PACKET IN THE VoIP SERVICE
CN102833263A (zh) 入侵检测和防护的方法及设备
KR101097419B1 (ko) 넷플로우 통계정보를 이용한 비정상 에스아이피 트래픽 폭주공격 탐지 및 모니터링시스템과 그 방법
CN105847250A (zh) VoIP流媒体多维度信息隐写实时检测方法
Lutu et al. The BGP visibility toolkit: Detecting anomalous internet routing behavior
CN101047509B (zh) 会话攻击检测系统及检测方法
JP2008118242A (ja) 異常トラヒック検出方法およびその装置およびプログラム
US8259723B2 (en) Device and method for generating statistical information for VoIP traffic analysis and abnormal VoIP detection

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20141204

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee