KR101107742B1 - 에스아이피(sip) 기반 서비스의 보호를 위한 sip 침입 탐지 및 대응 시스템 - Google Patents

에스아이피(sip) 기반 서비스의 보호를 위한 sip 침입 탐지 및 대응 시스템 Download PDF

Info

Publication number
KR101107742B1
KR101107742B1 KR1020080128081A KR20080128081A KR101107742B1 KR 101107742 B1 KR101107742 B1 KR 101107742B1 KR 1020080128081 A KR1020080128081 A KR 1020080128081A KR 20080128081 A KR20080128081 A KR 20080128081A KR 101107742 B1 KR101107742 B1 KR 101107742B1
Authority
KR
South Korea
Prior art keywords
sip
traffic
abnormal
security management
intrusion detection
Prior art date
Application number
KR1020080128081A
Other languages
English (en)
Other versions
KR20100069410A (ko
Inventor
고경희
김환국
김정욱
이창용
정현철
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020080128081A priority Critical patent/KR101107742B1/ko
Priority to US12/353,722 priority patent/US20100154057A1/en
Publication of KR20100069410A publication Critical patent/KR20100069410A/ko
Application granted granted Critical
Publication of KR101107742B1 publication Critical patent/KR101107742B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1076Screening of IP real time communications, e.g. spam over Internet telephony [SPIT]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1101Session protocols
    • H04L65/1104Session initiation protocol [SIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2101Auditing as a secondary aspect
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/141Denial of service attacks against endpoints in a network

Abstract

본 발명은 에스아이피(SIP : Session Initiation Protocol) 기반 서비스의 보호를 위한 SIP 침입 탐지 및 대응 구조에 관한 것으로서, 더욱 상세하게는 SIP 기반 공격의 탐지와, SIP 트래픽 이상의 탐지 및 SIP 인식 보안장치의 관리를 통해 멀티미디어 품질의 저하 없이 새로운 SIP 기반의 공격에 대해서 대처할 수 있고, 공격자가 SIP 메시지의 조작 및 정당한 사용자들 간의 세션탈취를 통하여 통화를 방해하거나, 인증을 우회하여 사용료의 부정을 꾀하는 공격을 봉쇄할 목적으로 SIP 인식 IPS(Intrusion Prevention System : 침입방지시스템)를 통해 신호 및 미디어 채널을 조사하게 되며, SIP 인식 IPS가 DDoS(Ditributed Denial of Service : 분산서비스거부) 공격을 탐지할 수 있지만, 트래픽 분석은 SIP 인식 IPS에 큰 부담이 될 수 있으므로 네트워크의 좁은 지점(choke point)에 트래픽 감시 센서를 설치하여, 이 센서에 의해 수집된 트래픽 데이터를 트래픽 분석기를 통해 분석할 수 있고, 관리시스템을 통해 SIP 인식 IPS와, 비정상 SIP 트래픽 탐지시스템 및 기타 SIP 서버를 일관되게 운용하고 관리할 수 있는 효과가 있다.
SIP, 세션 개시 프로토콜, VoIP, 인터넷전화, IMS, 침입 탐지, 침입 대응, 침입 방지, 침입 차단, 이상 트래픽 탐지, 트래픽 모니터링, 통합보안관리, 전사적보안관리, RTP

Description

에스아이피(SIP) 기반 서비스의 보호를 위한 SIP 침입 탐지 및 대응 시스템{SIP Intrusion Detection and Response System for Protecting SIP-based Services}
본 발명은 SIP(Session Initiation Protocol) 기반 공격의 탐지와, SIP 트래픽 이상의 탐지 및 SIP 인식 보안장치의 관리를 통해 멀티미디어 품질의 저하 없이 새로운 SIP 기반의 공격에 대해서 대처할 수 있고, 공격자가 SIP 메시지의 조작 및 정당한 사용자들 간의 세션탈취(session hijacking)를 통하여 통화를 방해하거나, 인증을 우회하여 사용료의 부정을 꾀하는 공격을 봉쇄할 목적으로 SIP 인식 IPS(Intrusion Prevention System : 침입방지시스템)를 통해 신호 및 미디어 채널을 조사하게 되며, SIP 인식 IPS가 DDoS(Ditributed Denial of Service : 분산서비스거부) 공격을 탐지할 수 있지만, 트래픽 분석은 SIP 인식 IPS에 큰 부담이 될 수 있으므로 네트워크의 좁은 지점(choke point)에 트래픽 감시 센서를 설치하여, 이 센서에 의해 수집된 트래픽 데이터를 트래픽 분석기를 통해 분석할 수 있고, 관리시스템을 통해 SIP 인식 IPS와, 비정상 SIP 트래픽 탐지시스템 및 기타 SIP 서버를 일관되게 운용하고 관리할 수 있는 SIP 기반 서비스의 보호를 위한 SIP 침입 탐지 및 대응 구조에 관한 기술이다.
SIP는 멀티미디어 세션을 개시, 관리, 종료시키기 위한 신호 프로토콜이다. SIP 기반 서비스는 VoIP(Voice over Internet Protocol), 프레즌스 서비스(presence service), 인스터트 메시징(instant messaging) 및 화상 회의(video conferencing) 등의 IP 멀티미디어 통신을 의미한다.
SIP는 IETF(the Internet Engineering Task Force)에 의해 개발되었다. 3GPP(the 3rd Generation Partnership Project)에서 SIP를 IMS(IP Multimedia Core Network Subsystem)의 신호 프로토콜로서 선정한 이후에, 3GPP의 IMS에 보조를 맞추며 다양한 SIP 관련 표준들이 출현하였다. 따라서 SIP는 IP 멀티미디어 서비스에서 중요한 역할을 할 것으로 기대되고 있다. 예를 들어서, 한국에서는 SIP 기반의 VoIP 서비스가 정부의 육성 정책, 서비스 제공자의 마케팅 전략, 저렴한 서비스요금, 다양한 부가서비스 등에 힘입어 대중화되기 시작하고 있다.
그러나 SIP 기반 서비스는 인터넷을 통해 제공되기 때문에, 인터넷 환경에서 유래하는 보안상의 위협(바이러스나 웜 등)을 받게 된다. 또한 인터넷을 통한 멀티 미디어 트래픽 전송을 위한 새로운 기술이 도입된 것이기 때문에 새로운 보안상의 위협이 존재하게 된다.
SIP 기반 서비스에 대한 공격에 대처하기 위하여, 전통적인 IP 기반 보안 솔루션들이 진화되어 왔다. 그러나 이것들에는, SIP 기반 공격에 대처하는데 있어서 아래와 같은 특성들을 고려해야 하기 때문에 한계가 있다.
첫째, SIP 기반 서비스에서는 신호 경로와 미디어 전달 경로가 분리되어 있다. 윈도우즈 미디어(Windows Media Technology), 리얼 미디어(Real Media), 퀵타임(QuickTime) 등의 여타 멀티미디어 프로토콜에서와 같이, SIP 기반 서비스에서는 세션 개설을 위한 신호 프로토콜로서 SIP를, 스트리밍 데이터를 전달하기 위한 미디어 프로토콜로서 RTP(Real-time Transport Protocol)를 사용한다. 이는 곧 크로스 프로토콜 침입탐지(cross protocol intrusion detection) 방식을 사용해야 함을 의미한다. 여기서 크로스 프로토콜 침입탐지란, 다중 프로토콜로 확장된 규칙 매칭(SIP 내의 패턴과 후속 RTP 패킷 내의 패턴을 탐지) 상의 기능을 의미한다.
둘째, SIP 기반 서비스는 지연(delay), 지터(jitter), 패킷유실과 같은 네트워크 QoS(Quality of Service)에 민감하다. 이는 곧, 탐지 및 대응의 성능이 매우 중요함을 의미한다. 즉, 탐지 메커니즘이 응용계층(application layer) 내의 패킷 페이로드(payload)를 파싱(parse)하기 위하여 패킷 조사를 과도하게 요구하더라도, 탐지 및 대응에 의해서 QoS가 훼손되어서는 안 된다는 것이다. 이는 또한, 최종단에서 서비스 품질을 감시하는 네트워크 QoS 기준을 준수해야 함을 의미한다.
SIP 기반 서비스를 보호하는 관련 연구는 크게 세 가지 범주로 나뉜다. 첫 째, SIPAssure와 같은 SIP 인식 ALG(Application Level Gateway)가 있다. 기존의 방화벽 솔루션이 RTP를 지원하기 위해 일정 범위의 포트(port)를 개방하는 반면에, SIP 인식 ALG는 동적인 핀홀 필터링(시그널링 동안 관찰된 협상에 기반하여 통화 를 위해 미디어 포트를 동적으로 개폐함)을 제공한다. 그러나 이러한 접근방법은 SIP 기반 공격을 탐지하는 것이 아니라 필터링에 초점을 둔 것이다.
둘째로는 기존의 IDS(Intrusion Detection System : 침입탐지시스템)가 SIP 기반 공격에 대한 탐지성능을 강화할 수 있다. 이에는 티핑포인트(TippingPoint) 와 SNOCER 프로젝트가 있다. 잘못 형성된 SIP 메시지와 SIP DoS(Denial of Service : 서비스거부) 공격을 시그니처기반 탐지 기법에 기반하여 탐지할 수 있다. 그러나 이들 시그니처들은 제한적이며, 사용료 부정(toll fraud)과 같은 교묘한 SIP 기반 공격은 탐지하지 못한다.
셋째, Sipera IPCS나 VoIP SEAL과 같은 SIP 인식 보안 장치가 있다. Sipera IPCS는, VoIP SBC(Session Border Controller)를 기반으로 VPN(Virtual Private LAN), IPS, 스팸방지 기능을 제공한다. VoIP SEAL은 인터넷 전화를 통해 전파되는 스팸을 차단하는 솔루션을 제공한다. 하지만 상기의 연구들은 모두 SIP 기반 서비스의 보호를 위한 SIP 침입 탐지 및 대응하는데 한계점을 드러내고 있는 실정이다.
그러므로 멀티미디어 품질의 저하 없이 새로운 SIP 기반의 공격에 대해서 대처할 수 있고, 공격자가 SIP 메시지의 조작 및 정당한 사용자들 간의 세션탈취를 통하여 통화를 방해하거나, 인증을 우회하여 사용료의 부정을 꾀하는 공격을 봉쇄할 목적으로 SIP 인식 IPS를 통해 신호 및 미디어 채널을 조사하게 되며, 네트워크 의 좁은 지점에 트래픽감시 센서를 설치하여, 이 센서에 의해 수집된 트래픽 데이터를 트래픽 분석기를 통해 분석할 수 있고, 관리시스템을 통해 SIP 인식 IPS와, 비정상 SIP 트래픽 탐지시스템 및 기타 SIP 서버를 일관되게 운용하고 관리할 수 있는 SIP 기반 서비스의 보호를 위한 SIP 침입 탐지 및 대응 구조의 개발이 절실히 요구되고 있는 실정이다.
이에 본 발명은 상기 문제점들을 해결하기 위하여 착상된 것으로서, SIP 기반 공격의 탐지와, SIP 트래픽 이상의 탐지 및 SIP 인식 보안장치의 관리를 통해 멀티미디어 품질의 저하없이 새로운 SIP 기반의 공격에 대해서 대처할 수 있는 SIP 기반 서비스의 보호를 위한 SIP 침입 탐지 및 대응 구조를 제공하는데 그 목적이 있다.
본 발명의 다른 목적은 공격자가 SIP 메시지의 조작 및 정당한 사용자들 간의 세션탈취를 통하여 통화를 방해하거나, 인증을 우회하여 사용료의 부정을 꾀하는 공격을 봉쇄할 목적으로 SIP 인식 IPS를 통해 신호 및 미디어 채널을 조사하게 되는 SIP 기반 서비스의 보호를 위한 SIP 침입 탐지 및 대응 구조를 제공하는데 있다.
본 발명의 다른 목적은 SIP 인식 IPS가 DDoS 공격을 탐지할 수 있지만, 트래픽 분석은 SIP 인식 IPS에 큰 부담이 될 수 있으므로 네트워크의 좁은 지점에 트래 픽 감시 센서를 설치하여, 이 센서에 의해 수집된 트래픽 데이터를 트래픽 분석기를 통해 분석할 수 있는 SIP 기반 서비스의 보호를 위한 SIP 침입 탐지 및 대응 구조를 제공하는데 있다.
본 발명의 다른 목적은 관리시스템을 통해 SIP 인식 IPS와, 비정상 SIP 트래픽 탐지시스템 및 기타 SIP 서버를 일관되게 운용하고 관리할 수 있는 SIP 기반 서비스의 보호를 위한 SIP 침입 탐지 및 대응 구조를 제공하는데 있다.
상기 목적을 달성하기 위한 본 발명의 바람직한 일실시예에 따른 SIP 기반 서비스의 보호를 위한 SIP 침입 탐지 및 대응 구조는 SIP 기반 통합보안관리 시스템 에이전트와 송수신하며 SIP 기반의 공격을 탐지하고 대응하고, 직렬방식으로 설치되는 SIP 침입 탐지 시스템과; 상기 SIP 기반 통합보안관리 시스템 에이전트와 송수신하고, 넷플로우 데이터에 기반하여 트래픽의 이상을 탐지하는 비정상 SIP 트래픽 탐지 엔진과; 상기 SIP 기반 통합보안관리 시스템 에이전트와 송수신하여 비정상 SIP 트래픽 탐지시스템의 트래픽 이상 이벤트를 수신함과 동시에 SIP 침입 탐지 시스템의 보안 이벤트를 수신하면, 네트워크가 공격을 받고 있음을 좀 더 신뢰성을 갖고 판단하여 관리하는 SIP 기반 통합보안관리 시스템 매니저와; 상기 비정상 SIP 트래픽 탐지 엔진으로 넷플로우 데이터에 기반하여 수집한 데이터를 SIP 플로우 송신부를 통해 전달하는 비정상 SIP 트래픽 탐지 센서; 를 포함함을 특징으로 한다.
상기 본 발명에 있어서, 상기 SIP 침입 탐지 시스템은 SIP 서버로 출입되는 모든 패킷을 감시하고 캡쳐하는 패킷 바이패스/감시부와; 다양한 출발지 URI(Uniform Resource Identifiers)로부터 특정 목적지 URI로 단위 시간당 전송되는 INVITE 메시지와 SIP REGISTER 메시지의 양이 소정 양을 초과하게 되면, 이들 메시지를 DoS 공격으로 탐지하고, RTP DoS와 SIP DoS를 탐지하는 SIP 시그니처 기반 탐지부 및 RTP 시그니처 기반 탐지부와; 사용료의 부정을 목적으로 하는 SIP 서비스 남용의 탐지와 정당한 사용자간의 통화를 방해하는 통화 방해 공격을 탐지하는 SIP 프로토콜 상태 기반 탐지부와; 구문(syntax)을 체크하여 퍼징 공격을 탐지하는 SIP프로토콜 디코더/구문체크부 및 RTP 프로토콜 디코더/구문체크부와; SIP 침입 탐지 시스템이 공격을 감지하면, 그에 상응하는 패킷을 제거하거나 사전에 준비된 필터링 규칙을 써서 패킷을 필터링하는 SIP 공격 격리부 및 RTP 공격 격리부와; SIP 침입 탐지 시스템을 감시하고 관리하는 운용자를 위한 SIP 침입 탐지 시스템 관리/GUI표시부와; SIP 침입 탐지 시스템과 비정상 SIP 트래픽 탐지시스템 사이에서 침입탐지 데이터를 전달하는 비정상 SIP 트래픽 탐지시스템 인터페이스부와; SIP 기반 통합보안관리 시스템에 부속되며, SIP 침입 탐지 시스템이 SIP 기반 통합보안관리 시스템 에이전트와 통신하게 하는 클라이언트측 SIP 기반 통합보안관리 시스템 인터페이스 라이브러리부; 를 포함함을 특징으로 한다.
상기 본 발명에 있어서, 상기 비정상 SIP 트래픽 탐지 센서는 라우터나 스위치와 같은 네트워크 장비로부터의 트래픽 데이터를 감시하는 원시패킷 수집부와; SIP 패킷과 이에 상응하는 RTP 패킷을 식별하는 SIP 패킷 식별/분류부와; 넷플로 우(netflow) 데이터를 생성하는 SIP 플로우 생성부와; 수집한 데이터를 비정상 SIP 트래픽 탐지 센서로 전달하는 SIP 플로우 송신부; 를 포함함을 특징으로 한다.
상기 본 발명에 있어서, 상기 비정상 SIP 트래픽 탐지 엔진은 여러 센서로부터 넷플로우 데이터를 수집하는 SIP 플로우 수집부와; 넷플로우 데이터를 분석하여 히스토리 패턴에 기반하여 이상이 있는 트래픽을 탐지하는 SIP 트래픽분석기 엔진부와; 사용자에 대한 INVITE의 SIP 요청/응답 메시지의 비율로써 시스템의 비정상 행태를 탐지하는 프로필 기반 탐지엔진부와; 비정상 SIP 트래픽 탐지시스템을 감시하고 관리하는 운용자를 위한 비정상 SIP 트래픽 탐지시스템 관리/GUI 표시부와; 비정상 SIP 트래픽 탐지시스템과 SIP 침입 탐지 시스템 사이에서 침입탐지 데이터를 전달하는 SIP 침입 탐지 시스템 인터페이스부와; 비정상 SIP 트래픽 탐지시스템이 SIP 기반 통합보안관리 시스템 에이전트와 통신하게 하는 클라이언트측 SIP 기반 통합보안관리 시스템 인터페이스 라이브러리부; 를 포함함을 특징으로 한다.
상기 본 발명에 있어서, 상기 SIP 기반 통합보안관리 시스템 에이전트는 SIP 침입 탐지 시스템, 비정상 SIP 트래픽 탐지시스템, 기타 SIP 인식 네트워크장치(SIP 프록시, SBC)로부터의 보안 이벤트, 시스템 리소스 정보, 통화 통계, 트래픽 통계를 수집하는 것으로서, 다양한 데이터를 수집하고 다른 기존의 시스템을 제어하기 위한 메시지를 교환하기 위한 포맷과 방법을 제안하기 위해 API를 제공하는 SIP 기반 통합보안관리 시스템 에이전트의 클라이언트 및 서버측 SIP 기반 통합보안관리 시스템 인터페이스 라이브러리부와; 보안 이벤트가 정규화되고 축약되어 사용되는 정규화 및 축약부와; SIP 기반 통합보안관리 시스템 에이전트와 SIP 기반 통합보안관리 시스템 매니저가 상호 통신하게 하는 송수신부; 를 포함함을 특징으로 한다.
상기 본 발명에 있어서, 상기 SIP 기반 통합보안관리 시스템 매니저는 수집된 이벤트를 사전 정의된 규칙과 공격 시나리오에 따라 서로 연계시키는 보안 이벤트 연관분석 엔진부와; 다양한 장치들을 제어하고, 사용자의 제어명령을 소정의 관리메시지 포맷으로 변환하는 관리제어부와; 다양한 장비들 및 SIP 기반 통합보안관리 시스템 자신을 감시하고 관리하는 SIP 기반 통합보안관리 시스템 관리/GUI표시부와; SIP 기반 통합보안관리 시스템 에이전트와 SIP 기반 통합보안관리 시스템 매니저가 상호 통신하게 하는 송수신부; 를 포함함을 특징으로 한다.
상기 본 발명에 있어서, 상기 SIP 침입 탐지 시스템과 SIP 기반 통합보안관리 시스템 에이전트의 결합과, 비정상 SIP 트래픽 탐지 엔진과 SIP 기반 통합보안관리 시스템 에이전트의 결합과, SIP 기반 통합보안관리 시스템 매니저와, 비정상 SIP 트래픽 탐지 센서가 각각 독립적으로 사용되거나 상호 단수 또는 복수의 결합으로 사용될 수 있는 것을 특징으로 한다.
상기 본 발명에 있어서, 상기 SIP 침입 탐지 시스템은 SBC 앞단에 위치하여 신호 채널과 미디어 채널을 함께 조사하거나 또는 신호 채널과 미디어 채널 경로에 분산되어 각각의 채널을 조사하는데, 상기 후자의 경우는 각각의 채널의 대한 조사 결과는 SIP 기반 통합보안관리 시스템을 통해 통합되고 분석되는 것을 특징으로 한다.
본 발명에 따른 SIP 기반 서비스의 보호를 위한 SIP 침입 탐지 및 대응 구조는 다음과 같은 효과를 가진다.
첫째, 본 발명은 SIP 기반 공격의 탐지와, SIP 트래픽 이상의 탐지 및 SIP 인식 보안장치의 관리를 통해 멀티미디어 품질의 저하없이 새로운 SIP 기반의 공격에 대해서 대처할 수 있다.
둘째, 본 발명은 공격자가 SIP 메시지의 조작 및 정당한 사용자들 간의 세션탈취를 통하여 통화를 방해하거나, 인증을 우회하여 사용료의 부정을 꾀하는 공격을 봉쇄할 목적으로 SIP 인식 IPS를 통해 신호 및 미디어 채널을 조사하게 된다.
셋째, 본 발명은 SIP 인식 IPS가 DDoS 공격을 탐지할 수 있지만, 트래픽 분석은 SIP 인식 IPS에 큰 부담이 될 수 있으므로 네트워크의 좁은 지점에 트래픽 감시 센서를 설치하여, 이 센서에 의해 수집된 트래픽 데이터를 트래픽 분석기를 통해 분석할 수 있다.
넷째, 본 발명은 관리시스템을 통해 SIP 인식 IPS와, 비정상 SIP 트래픽 탐지시스템 및 기타 SIP 서버를 일관되게 운용하고 관리할 수 있다.
이하 첨부된 도면과 함께 본 발명의 바람직한 실시 예를 살펴보면 다음과 같은데, 본 발명을 설명함에 있어서 관련된 공지기술 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략할 것이며, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있으므로, 그 정의는 본 발명인 SIP 기반 서비스의 보호를 위한 SIP 침입 탐지 및 대응 구조를 설명하는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
이하, 본 발명의 바람직한 일실시예에 따른 SIP 기반 서비스의 보호를 위한 SIP 침입 탐지 및 대응 구조를 첨부된 도면을 참조하여 상세히 설명한다.
도 1은 본 발명의 일실시예에 따른 보안 위협요인과 SIP 기반 서비스에서의 보안 솔루션을 설명하기 위해 나타낸 도면이다.
SIP 서비스 제공자에는, VoIP, 화상회의, 인스턴트 메시지 전송, IPTV 서비스를 제공하기 위한 SIP 프록시 서버, SIP 레지스트라 서버(registrar server), SIP 리다이렉트 서버(redirect server), 프레즌스 서버(presence server), IMS 서버가 포함된다. 기존의 IP 기반 방화벽은 이들 서버들의 전단이나 네트워크 경계에 배치된다.
공격자는 SIP 메시지의 조작 및 정당한 사용자들 간의 세션탈취를 통하여 통화를 방해할 수 있다(①). 공격자는 또한 인증을 우회하여 사용료부정을 꾀할 수도 있다(②). 이러한 종류의 공격을 봉쇄하기 위하여, 신호 및 미디어 채널을 조사하기 위한 SIP 인식 IPS(ⓐ)가 필요하다.
공격자는 웜이나 트로이안 등과 같은 악성 프로그램을 이용하여 많은 컴퓨터를 감염시킬 수 있다. 감염된 컴퓨터는 좀비가 되어서 통제자의 명령에 복종하게 된다. 이는 SIP 서버에 대한 DDoS 공격을 위한 한 가지 시나리오가 될 수 있다. DDoS 공격을 탐지하기 위해서는(③), 트래픽을 감시해서 트래픽 이상을 탐지해야 한다. SIP 인식 IPS가 DDoS 공격을 탐지할 수 있지만, 트래픽 분석은 SIP 인식 IPS에 큰 부담이 될 수 있다. 따라서 네트워크의 좁은 지점에 트래픽 감시 센서(ⓑ)를 설치하는 것이 유리하다. 센서에 의해 수집된 트래픽 데이터는 트래픽 분석기(ⓒ)에 의해 분석된다. 관리시스템(ⓓ)은 SIP 인식 IPS, 비정상 SIP 트래픽 탐지시스템 및 기타 SIP 서버를 일관되게 운용하고 관리하는데 필요하다.
도 2는 본 발명의 일실시예에 따른 SIP 기반 서비스의 보호를 위한 SIP 침입 탐지 및 대응 구조를 나타낸 도면이다.
도 2에 도시되어 있는 바와 같이, SIP 기반 서비스의 보호를 위한 SIP 침입 탐지 및 대응 구조는 네트워크를 통해 데이터를 수집하고 전달하는 SIP 기반 통합보안관리 시스템 에이전트(500)와 송수신하여 SIP 기반의 공격을 탐지하고 대응하며, 직렬방식으로 설치되는 SIP 침입 탐지 시스템(100)과; 상기 SIP 기반 통합보안관리 시스템 에이전트(500)와 송수신하고, 넷플로우 데이터에 기반하여 트래픽의 이상을 탐지하는 비정상 SIP 트래픽 탐지 엔진(200)과; 상기 SIP 기반 통합보안관리 시스템 에이전트(500)와 송수신하여 비정상 SIP 트래픽 탐지시스템(200)의 트래픽 이상 이벤트를 수신함과 동시에 SIP 침입 탐지 시스템(100)으로부터 보안 이벤트를 수신하면, 네트워크가 공격을 받고 있음을 좀 더 신뢰성을 갖고 판단하여 관리하는 SIP 기반 통합보안관리 시스템 매니저(300)와; 상기 비정상 SIP 트래픽 탐지 엔진(200)으로 넷플로우 데이터에 기반하여 수집한 데이터를 SIP 플로우 송신부(440)를 통해 전달하는 비정상 SIP 트래픽 탐지 센서(400); 로 구성된다.
상기 본 발명인 SIP 기반 서비스의 보호를 위한 SIP 침입 탐지 및 대응 구조를 구성하는 기술적 수단들의 구성과 기능을 살펴보면 다음과 같다.
상기 SIP 침입 탐지 시스템(100)은 네트워크를 통해 데이터를 수집하고 전달하는 SIP 기반 통합보안관리 시스템 에이전트(500)와 송수신하여 SIP 기반의 공격을 탐지하고 대응하며, 직렬방식으로 설치된다.
SIP 침입 탐지 시스템(SIPS; SIP Intrusion Protection System)의 내부 구성요소에 대해서 설명하면 다음과 같다. SIPS는 직렬방식으로 설치되도록 설계되었다. 도 2에서, 패킷 바이패스/감시부(110)는 SIP 서버로 출입되는 모든 패킷을 감시하고 캡쳐한다.
SIP 기반 공격을 네 가지 범주로 나누고 공격 범주에 따른 각 탐지 메커니즘에 대해서 설명하고자 한다.
첫 번째 범주는 사용가능한 시스템 리소스 또는 네트워크의 대역폭을 소비하는 SIP DoS이다. 이 범주에는 SIP INVITE 대량메시지(message flooding), SIP REGISTER 대량메시지, RTP DoS 공격이 포함된다. SIP DoS 공격은 시그니처 기반의 탐지메커니즘에 의해 탐지된다. 가령, 다양한 출발지 URI(Uniform Resource Identifiers)로부터 특정 목적지 URI로 단위 시간당 전송되는 INVITE 메시지의 양이 소정 양을 초과하게 되면, SIPS는 이들 메시지를 DoS 공격으로 탐지한다. 도 2에서, SIP 시그니처 기반 탐지부(120) 및 RTP 시그니처 기반 탐지부(130)가 이러한 기능을 담당한다. SIP 시그니처 기반 탐지부(120)는 SIP DoS를 탐지하기 위하여 표 1에서 나타낸 규칙 테이블을 관리한다.
표 1. SIP DoS를 탐지하기 위한 규칙 테이블
Figure 112008086498210-pat00001
두 번째 범주는 사용료부정을 목적으로 하는 SIP 서비스남용에 대한 것이다. 이 범주에는 등록 탈취(registration hijacking), SQL 주입을 통한 허위등록(registration forgery), InviteReplay 공격, FakeBusy 공격, ByeDelay 공격 및 ByeDrop 공격이 포함된다. SQL 주입은 시그니처 기반 탐지 메커니즘에 의해 탐지된다. 이 범주에 속하는 여타의 공격들은 SIP 세션정보와 프로토콜 상태(193) 전이 모델에 의해 탐지될 것이다. SIP 시그니처 기반 탐지부(120) 및 SIP 프로토콜 상태 기반 탐지부(180)가 이러한 기능을 담당한다. 표 2는 SIP 프로토콜 상태 기반 탐지부(180)에 의해 관리되는 SIP 세션 정보 테이블을 나타낸다.
표 2. SIP 서비스 남용을 탐지하기 위한 SIP 세션 정보 테이블
Figure 112008086498210-pat00002
세 번째 범주는 정당한 사용자간의 통신을 방해하는 통화 방해(call interruption)이다. 여기에는 SIP 취소(CANCEL) 공격, 등록해제(deregistration) 공격, RTP 삽입(insertion) 공격, SIP-BYE 공격이 포함된다. 통화 방해 공격은 프로토콜 상태 전이 모델 및 호 설정 정보에 의해 탐지될 수 있다. SIPS는 표 3과 같이 호 설정 정보를 관리한다.
표 3. 통화 방해의 탐지를 위한 호 설정표
Figure 112008086498210-pat00003
입력되는 패킷이, 다른 사용자와 세션을 설정하지 않는 SIP 사용자로부터의 RTP 패킷이라면, 이 RTP 패킷은 RTP 삽입 공격인 것으로 가정할 수 있다. SIP 프로토콜상태 기반 탐지부(180)가 이 기능을 맡는다.
네 번째 범주는 시스템이나 응용 프로그램을 크래쉬시키는 퍼징 공격(fuzzing attack)에 대한 것이다. 퍼징 공격은 IETF RFC 3261에서 인정하거나 규정하지 않는 잘못된 형식의 SIP 헤더 포맷을 사용한 것이다. 퍼징공격은 구문(syntax)을 체크함으로써 탐지된다. SIP 프로토콜 디코더/구문체크부(140) 및 RTP 프로토콜 디코더/구문체크부(150)가 이 기능을 담당한다. 잘못 형성된 메시지의 패턴들은 IETF RFC 4475의 SIP 왜곡 검사 메시지(torture test message) 및 프로토콜 검사 툴(Abacus, ThreatEx 등)을 통해 얻을 수 있다. 이러한 패턴들은 표 4와 같은 규칙으로 체계화된다.
표 4. 잘못 형성된 SIP 헤더의 탐지를 위한 규칙표
Figure 112008086498210-pat00004
SIP 침입 탐지 시스템(100)이 공격을 감지하면, SIP 침입 탐지 시스템은 그에 상응하는 패킷을 제거하거나 사전에 준비된 필터링 규칙을 써서 패킷을 필터링 한다. SIP 공격 격리부(160) 및 RTP 공격 격리부(170)가 이 기능을 담당한다. SIP 침입 탐지 시스템은 직렬형식으로 설치되도록 설계되기 때문에, 성능의 저하 없이 패킷들을 처리하는 것은 중요한 문제가 된다.
이 밖에, 그래픽사용자 인터페이스부(GUI)와 인터페이스부가 있다. SIP 침입 탐지 시스템 관리/GUI 표시부(190)는 SIP 침입 탐지 시스템을 감시하고 관리하는 운용자를 위한 것이다. 비정상 SIP 트래픽 탐지시스템(STAD; SIP Traffic Anomaly Detection System) 인터페이스부(192)는 SIP 침입 탐지 시스템과 비정상 SIP 트래픽 탐지시스템 사이에서 침입 탐지 데이터를 전달하는 역할을 한다. 클라이언트측 SIP 기반 통합보안관리 시스템(SSMS; SIP Security Management System) 인터페이스 라이브러리부(191)가 SIP 기반 통합보안관리 시스템 에이전트(500)에 부속된다. 이 인터페이스 라이브러리를 통해서, SIP 침입 탐지 시스템은 SIP 기반 통합보안관리 시스템 에이전트와 통신한다.
상기 비정상 SIP 트래픽 탐지 엔진(200)은 상기 네트워크를 통해 데이터를 수집하고 전달하는 SIP 기반 통합보안관리 시스템 에이전트(500)와 송수신하고, 넷플로우 데이터에 기반하여 트래픽의 이상을 탐지한다. 또한 비정상 SIP 트래픽 탐지 센서(400)는 상기 비정상 SIP 트래픽 탐지 엔진(200)으로 넷플로우 데이터에 기반하여 수집한 데이터를 SIP 플로우 송신부(440)를 통해 전달한다.
비정상 SIP 트래픽 탐지시스템(STAD; SIP Traffic Anomaly Detection System)에 포함되는 구성요소에 대해서 설명하면 다음과 같다. 비정상 SIP 트래픽 탐지시스템은 비정상 SIP 트래픽 탐지 센서(400)와 비정상 SIP 트래픽 탐지 엔 진(200)으로 이루어진다.
비정상 SIP 트래픽 탐지 센서 내의 원시패킷 수집부(410)는 라우터나 스위치와 같은 네트워크 장비로부터의 트래픽 데이터를 감시한다. SIP 패킷 식별/분류부(420)는 SIP 패킷과 이에 상응하는 RTP 패킷을 식별된다.
SIP 플로우 생성부(430)는 넷플로우 데이터를 생성한다. 동일한 플로우에 속하는 패킷들을 취합함으로써, 시스템의 프로세스 오버헤드를 줄일 수 있다. 넷플로우 버전 9는, 5-튜플(원천 IP, 원천 포트, 목적지 IP, 목적지 포트, 프로토콜)과 함께 응용계층 메트릭(metric)을 정의할 수 있도록 하는 템플릿을 제공한다. 예를 들어서, 표 5에 나타낸 메트릭 이외에도 INVITE 메시지 수(sip-invite-count), BYE 메시지 수(sip-bye-count), REGISTER 메시지 수(sip-register-count)와 같은 넷플로우 데이터를 수집할 수 있다. 비정상 SIP 트래픽 탐지 센서(400)는 상기 비정상 SIP 트래픽 탐지 엔진으로 넷플로우 데이터에 기반하여 수집한 데이터를 SIP 플로우 송신부(440)를 통해 전달한다.
표 5. VoIP를 위한 트래픽 메트릭
Figure 112008086498210-pat00005
비정상 SIP 트래픽 탐지 엔진(200)이 SIP 플로우 수집부(210)를 통해 여러 센서로부터 넷플로우 데이터를 수집하면, SIP 트래픽분석기 엔진부(230)는 넷플로우 데이터를 분석하여 히스토리 패턴에 기반하여 이상이 있는 트래픽을 탐지해낸다. 예를 들어서, 일요일 오후 6-7시 사이의 평균 지터(jitter)를 계산한다. 최근 3개월 동안에 매주 같은 요일의 평균 지터를 계산한다. 현재의 평균 지터가 지난 3개월의 평균치보다 100% 높다면, STAD 엔진은 이 플로우를 이상인 것으로 판단한다.
넷플로우 데이터를 근거로 사용자의 행태나 시스템의 행태를 그려낼 수 있다. 예를 들어서, 한 달 동안의 사용자에 대한 INVITE 메시지 수(sip-invite-count)로써 사용자의 비정상 행태를 탐지해낼 수 있다. 한 달 동안의 모든 사용자에 대한 INVITE 메시지로써 시스템의 비정상 행태를 탐지해낼 수 있다. 프로필 기반 탐지 엔진부(240)가 이러한 기능을 담당한다. 비정상 SIP 트래픽 탐지 엔진은 SIP 침입 탐지 시스템과 SIP 기반 통합보안관리 시스템에 탐지 데이터를 알린다. SIP 침입 탐지 시스템이 탐지 데이터를 수신한 다음에는, 동일한 출발점과 목적지를 갖는 이후의 접속을 격리한다.
비정상 SIP 트래픽 탐지시스템도 또한 부가적으로 GUI와 인터페이스부를 갖는다. 비정상 SIP 트래픽 탐지시스템 관리/GUI 표시부(220)는 비정상 SIP 트래픽 탐지시스템을 감시하고 관리하는 운용자를 위한 것이다. SIP 침입 탐지 시스템 인터페이스부(250)는 비정상 SIP 트래픽 탐지시스템과 SIP 침입 탐지 시스템 사이에서 침입탐지 데이터를 전달하는 역할을 한다. 클라이언트측 SIP 기반 통합보안관리 시스템 인터페이스 라이브러리부(260)는 SIP 기반 통합보안관리 시스템 에이전트에 부속된다.
상기 SIP 기반 통합보안관리 시스템 매니저(300)는 SIP 기반 통합보안관리 시스템 에이전트(500)와 송수신하고, 상기 비정상 SIP 트래픽 탐지시스템(200)의 트래픽 이상 이벤트를 수신함과 동시에 SIP 침입 탐지 시스템(100)으로부터 보안 이벤트를 수신하면, 네트워크가 공격을 받고 있음을 좀 더 신뢰성을 갖고 판단하여 관리한다.
SIP 기반 통합보안관리 시스템(SSMS; SIP Security Management System)의 구성요소에 대해 설명하면 다음과 같다. SIP 기반 통합보안관리 시스템은 SIP 기반 통합보안관리 시스템 에이전트와 SIP 기반 통합보안관리 시스템 매니저로 구성된다.
SIP 기반 통합보안관리 시스템 에이전트(500)는 SIP 침입탐지 시스템, 비정상 SIP 트래픽 탐지시스템, 기타 SIP 인식 네트워크 장치(SIP 프록시, SBC)로부터 보안 이벤트, 시스템 리소스 정보, 통화 통계, 트래픽 통계를 수집한다. 다양한 데이터를 수집하고 다른 기존의 시스템을 제어하기 위해서는 메시지를 교환하기 위한 포맷과 방법이 정의되어야 한다. 이를 위해 IETF RFC 4765나 OPSEC 등과 같은 많은 표준들이 제안되어 있다. SIP 기반 통합보안관리 시스템 에이전트의 클라이언트(191, 260) 및 서버측 SIP 기반 통합보안관리 시스템 인터페이스 라이브러리부(510)는 이러한 목적을 위해서 API를 제공한다.
정규화 및 축약부에 의해서 보안 이벤트가 정규화(520)되고 축약(530)되어 향후에 사용된다. SIP 기반 통합보안관리 시스템 에이전트와 SIP 기반 통합보안관리 시스템 매니저의 송수신부(340, 540)는 상호 통신하는데 사용된다.
SIP 기반 통합보안관리 시스템 매니저는 보안 이벤트 연관분석 엔진부(310)를 갖는데, 이는 수집된 이벤트를 사전 정의된 규칙과 공격 시나리오에 따라 서로 연계시키는(correlate) 역할을 한다. 예를 들어서, 동일한 이벤트의 다양한 인스턴스를 차단한다. 이로써 너무 많은 경고에 의해서 보안 운용자를 성가시게 하는 것을 막을 수 있다. SIP 기반 통합보안관리 시스템이 비정상 SIP 트래픽 탐지시스템으로부터 트래픽 이상 이벤트를 수신함과 동시에, SIP 침입 탐지 시스템으로부터 보안 이벤트를 수신하면, SIP 기반 통합보안관리 시스템은 네트워크가 공격을 받고 있음을 보다 더 신뢰성을 갖는 상태에서 판단하게 된다. 표 6은 이러한 예에 대한 경고 메시지의 일부를 나타낸다.
표 6. 보안 이벤트 연관분석을 위한 경고메시지의 일부
Figure 112008086498210-pat00006
관리제어부(320)는 다양한 장치들을 제어한다. 사용자의 제어명령을 소정의 관리메시지 포맷으로 변환한다. 제어메시지는 보안정책을 실행시키는 역할을 한다. 가령, SIP 침입 탐지 시스템이 특정의 출발지 URI를 봉쇄하도록 한다. 제어메시지는 또한, SIP 침입 탐지 시스템 또는 비정상 SIP 트래픽 탐지시스템이 SIP 기반 통합보안관리 시스템으로부터의 제어메시지 수락을 명시적으로 표시할 경우에 SIP 침입 탐지 시스템 또는 비정상 SIP 트래픽 탐지시스템을 기동시키거나 정지시킨다. SIP 침입 탐지 시스템이나 비정상 SIP 트래픽 탐지시스템이 SIP 기반 통합보안관리 시스템으로부터의 명령을 실행시킨 후에, 명령 실행의 결과는 SIP 기반 통합보안관 리 시스템 에이전트를 통해 관리제어부로 전달된다. SIP 기반 통합보안관리 시스템은 다양한 장비들 및 SIP 기반 통합보안관리 시스템 자신을 감시하고 관리하는 GUI(330)를 포함하고 있다.
본 발명은 상기 실시예에 한정되지 않고, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 다양하게 수정 및 변경 실시할 수 있음은 이 기술 분야에서 통상의 지식을 가진 자라면 누구나 이해할 수 있을 것이다.
도 1은 본 발명의 일실시예에 따른 보안 위협요인과 SIP 기반 서비스에서의 보안 솔루션을 설명하기 위해 나타낸 도면.
도 2는 본 발명의 일실시예에 따른 SIP 기반 서비스의 보호를 위한 SIP 침입 탐지 및 대응 구조를 나타낸 도면.
<도면의 주요부분에 대한 부호설명>
100 : SIP 침입 탐지 시스템(SIPS)
200: 비정상 SIP 트래픽 탐지 엔진(STAD 엔진)
300 : SIP 기반 통합보안관리 시스템 매니저(SSMS 매니저)
400 : 비정상 SIP 트래픽 탐지 센서(STAD 센서)
500: SIP 기반 통합보안관리 시스템 에이전트(SSMS 에이전트)
110: 패킷 바이패스/감시부 120: SIP 시그니처 기반 탐지부
130: RTP 시그니처 기반 탐지부 140: SIP 프로토콜 디코더/구문체크부
150: RTP 프로토콜 디코더/구문체크부 160: SIP 공격 격리부
170: RTP 공격 격리부 180: SIP 프로토콜 상태 기반 탐지부
190: SIP 침입 탐지 시스템 관리/GUI 표시부
191: 클라이언트측 SIP 기반 통합보안관리 시스템 인터페이스 라이브러리부
192: 비정상 SIP 트래픽 탐지시스템 인터페이스부
193: SIP 세션정보와 프로토콜 상태 210: SIP 플로우 수집부
220: 비정상 SIP 트래픽 탐지시스템 관리/GUI 표시부
230: SIP 트래픽분석기 엔진부 240: 프로필기반 탐지 엔진부
250: 침입 탐지 시스템 인터페이스부
260: 클라이언트측 SIP 기반 통합보안관리 시스템 에이전트 인터페이스 라이브러리부
310: 보안 이벤트 연관분석 엔진부 320: 관리제어부
330: SIP 기반 통합보안관리 시스템 관리/GUI표시부 340: 송수신부
410: 원시패킷 수집부 420: SIP 패킷 식별/분류부
430: SIP 플로우 생성부 440: SIP 플로우 송신부
510: 서버측 SIP 기반 통합보안관리 시스템 인터페이스 라이브러리부
520: 정규화 530: 축약부
540: 송수신부

Claims (8)

  1. 네트워크를 통해 데이터를 수집하고 전달하는 SIP 기반 통합보안관리 시스템 에이전트;
    상기 SIP 기반 통합보안관리 시스템 에이전트와 송수신하여SIP 기반의 공격을 탐지하고 대응하는 SIP 침입 탐지 시스템;
    넷플로우 데이터에 기반하여 데이터를 수집하는 비정상 SIP 트래픽 탐지 센서;
    상기 SIP 기반 통합보안관리 시스템 에이전트와 송수신하고, 상기 비정상 SIP 트래픽 탐지 센서로부터 상기 넷플로우 데이터에 기반하여 수집된 데이터를 제공받아 트래픽의 이상을 탐지하는 비정상 SIP 트래픽 탐지 엔진; 및
    상기 SIP 기반 통합보안관리 시스템 에이전트와 송수신하여 상기 비정상 SIP 트래픽 탐지 엔진으로부터 트래픽 이상 이벤트를 수신함과 동시에 상기 SIP 침입 탐지 시스템으로부터 보안 이벤트를 수신하면, 상기 네트워크가 공격을 받고 있는 것으로 판단하는 SIP 기반 통합보안관리 시스템 매니저를 포함하되,
    상기 SIP 기반 통합보안관리 시스템 매니저는 수집된 이벤트를 사전 정의된 규칙과 공격 시나리오에 따라 서로 연계시키는 보안 이벤트 연관분석 엔진부와;
    사용자의 제어명령을 소정의 관리메시지 포맷으로 변환하는 관리제어부와;
    SIP 기반 통합보안관리 시스템 에이전트와 상기SIP 기반 통합보안관리 시스템 매니저가 상호 통신하게 하는 송수신부를 포함함을 특징으로 하는 SIP 기반 서비스의 보호를 위한 SIP 침입 탐지 및 대응 시스템.
  2. 제 1항에 있어서,
    상기 SIP 침입 탐지 시스템은 SIP 서버로 출입되는 모든 패킷을 감시하고 캡쳐하는 패킷 바이패스/감시부와;
    다양한 출발지 URI(Uniform Resource Identifiers)로부터 특정 목적지 URI로 단위 시간당 전해지는 INVITE 메시지와 SIP REGISTER 메시지의 양이 소정 양을 초과하게 되면, 이들 메시지를 DoS 공격으로 탐지하고, RTP DoS 공격과 SIP DoS를 탐지하는 SIP 시그니처 기반 탐지부 및 RTP 시그니처 기반 탐지부와;
    사용료의 부정을 목적으로 하는 SIP 서비스 남용의 탐지와 정당한 사용자간의 통신을 방해하는 통화 방해 공격을 탐지하는 SIP 프로토콜 상태 기반 탐지부와;
    구문(syntax)을 체크하여 퍼징 공격을 탐지하는 SIP 프로토콜 디코더/구문체크부 및 RTP 프로토콜 디코더/구문체크부와;
    SIP 침입 탐지 시스템이 공격을 감지하면, 그에 상응하는 패킷을 제거하거나 사전에 준비된 필터링 규칙을 써서 패킷을 필터링하는 SIP 공격 격리부 및 RTP 공격 격리부와;
    SIP 침입 탐지 시스템을 감시하고 관리하는 운용자를 위한 SIP 침입 탐지 시스템 관리/GUI표시부와;
    SIP 침입 탐지 시스템과 비정상 SIP 트래픽 탐지시스템 사이에서 침입탐지 데이터를 전달하는 비정상 SIP 트래픽 탐지시스템 인터페이스부와; SIP 기반 통합보안관리 시스템에 부속되며, SIP 침입 탐지 시스템이 SIP 기반 통합보안관리 시스템 에이전트와 통신하게 하는 클라이언트측 SIP 기반 통합보안관리 시스템 인터페이스 라이브러리부를 포함함을 특징으로 하는 SIP 기반 서비스의 보호를 위한 SIP 침입 탐지 및 대응 시스템.
  3. 제 1항에 있어서,
    상기 비정상 SIP 트래픽 탐지 센서는 라우터나 스위치와 같은 네트워크 장비로부터의 트래픽 데이터를 감시하는 원시패킷 수집부와;
    SIP 패킷과 이에 상응하는 RTP 패킷을 식별하는 SIP 패킷 식별/분류부와;
    상기 넷플로우 데이터를 생성하는 SIP 플로우 생성부와;
    상기 넷플로우 데이터에 기반하여 수집한 데이터를 비정상 SIP 트래픽 탐지 센서로 전달하는 SIP 플로우 송신부를 포함함을 특징으로 하는 SIP 기반 서비스의 보호를 위한 SIP 침입 탐지 및 대응 시스템.
  4. 제 1항에 있어서,
    상기 비정상 SIP 트래픽 탐지 엔진은 상기 비정상 SIP 트래픽 탐지 센서로부터 상기 넷플로우 데이터를 수집하는 SIP 플로우 수집부와;
    상기 넷플로우 데이터를 분석하여 히스토리 패턴에 기반하여 이상이 있는 트래픽을 탐지하는 SIP 트래픽 분석기 엔진부와;
    사용자에 대한 INVITE 메시지로써 시스템의 비정상 행태를 탐지하는 프로필 기반 탐지엔진부와;
    비정상 SIP 트래픽 탐지시스템을 감시하고 관리하는 운용자를 위한 비정상 SIP 트래픽 탐지시스템 관리/GUI 표시부와;
    비정상 SIP 트래픽 탐지시스템과 SIP 침입 탐지 시스템 사이에서 침입탐지 데이터를 전달하는 SIP 침입 탐지 시스템 인터페이스부와;
    비정상 SIP 트래픽 탐지시스템이 SIP 기반 통합보안관리 시스템 에이전트와 통신하게 하는 클라이언트측 SIP 기반 통합보안관리 시스템 인터페이스 라이브러리부를 포함함을 특징으로 하는 SIP 기반 서비스의 보호를 위한 SIP 침입 탐지 및 대응 시스템.
  5. 제 1항에 있어서,
    상기 SIP 기반 통합보안관리 시스템 에이전트는 상기 SIP 침입 탐지 시스템, 상기 비정상 SIP 트래픽 탐지 엔진, 및 기타 SIP 인식 네트워크장치(SIP 프록시, SBC)로부터의 보안 이벤트, 시스템 리소스 정보, 통화 통계, 트래픽 통계를 수집하고, 상기 SIP 침입 탐지 시스템, 상기 비정상 SIP 트래픽 탐지 엔진, 및 상기 기타 SIP 인식 네트워크장치를 제어하기 위한 메시지의 포맷과 방법에 관한API를 제공하는 SIP 기반 통합보안관리 시스템 에이전트의 클라이언트 및 서버측 SIP 기반 통합보안관리 시스템 인터페이스 라이브러리부와;
    상기 보안 이벤트가 정규화되고 축약되어 사용되는 정규화 및 축약부와;
    상기 SIP 기반 통합보안관리 시스템 에이전트와 상기 SIP 기반 통합보안관리 시스템 매니저가 상호 통신하게 하는 송수신부를 포함함을 특징으로 하는 SIP 기반 서비스의 보호를 위한 SIP 침입 탐지 및 대응 시스템.
  6. 삭제
  7. 제 1항에 있어서,
    상기 SIP 침입 탐지 시스템, SIP 기반 통합보안관리 시스템 에이전트, 상기 비정상 SIP 트래픽 탐지 엔진, 상기 SIP 기반 통합보안관리 시스템 매니저, 및 상기 비정상 상기 SIP 트래픽 탐지 센서가 각각 서로 독립적으로 사용되거나 상호 복수의 결합으로 사용될 수 있는 것을 특징으로 하는 SIP 기반 서비스의 보호를 위한 SIP 침입 탐지 및 대응 시스템.
  8. 제 1항 또는 제 2항에 있어서,
    상기 SIP 침입 탐지 시스템은 SBC 앞단에 위치하여 신호 채널과 미디어 채널을 함께 조사거나 또는 신호 채널과 미디어 채널 경로에 분산되어 각각의 채널을 조사하는데, 상기 신호 채널과 미디어 채널 경로에 분산되어 각각의 채널을 조사하는 경우에는 각각의 채널의 대한 조사 결과가 SIP 기반 통합보안관리 시스템을 통해 통합되고 분석되는 것을 특징으로 하는 SIP 기반 서비스의 보호를 위한 SIP 침입 탐지 및 대응 시스템.
KR1020080128081A 2008-12-16 2008-12-16 에스아이피(sip) 기반 서비스의 보호를 위한 sip 침입 탐지 및 대응 시스템 KR101107742B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020080128081A KR101107742B1 (ko) 2008-12-16 2008-12-16 에스아이피(sip) 기반 서비스의 보호를 위한 sip 침입 탐지 및 대응 시스템
US12/353,722 US20100154057A1 (en) 2008-12-16 2009-01-14 Sip intrusion detection and response architecture for protecting sip-based services

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080128081A KR101107742B1 (ko) 2008-12-16 2008-12-16 에스아이피(sip) 기반 서비스의 보호를 위한 sip 침입 탐지 및 대응 시스템

Publications (2)

Publication Number Publication Date
KR20100069410A KR20100069410A (ko) 2010-06-24
KR101107742B1 true KR101107742B1 (ko) 2012-01-20

Family

ID=42242214

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080128081A KR101107742B1 (ko) 2008-12-16 2008-12-16 에스아이피(sip) 기반 서비스의 보호를 위한 sip 침입 탐지 및 대응 시스템

Country Status (2)

Country Link
US (1) US20100154057A1 (ko)
KR (1) KR101107742B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015083926A1 (en) * 2013-12-06 2015-06-11 Korea Internet & Security Agency Apparatus and method for detecting abnormal sip subscribe message in 4g mobile networks

Families Citing this family (43)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9736172B2 (en) 2007-09-12 2017-08-15 Avaya Inc. Signature-free intrusion detection
US9100417B2 (en) * 2007-09-12 2015-08-04 Avaya Inc. Multi-node and multi-call state machine profiling for detecting SPIT
US9438641B2 (en) * 2007-09-12 2016-09-06 Avaya Inc. State machine profiling for voice over IP calls
KR101161345B1 (ko) * 2009-09-09 2012-06-29 한국인터넷진흥원 VoIP트래픽 분석 및 공격성 비정상 VoIP탐지를 위한 통계정보 생성기 및 그 생성 방법
US8554948B2 (en) * 2010-03-03 2013-10-08 At&T Intellectual Property I, L.P. Methods, systems and computer program products for identifying traffic on the internet using communities of interest
US9535762B2 (en) * 2010-05-28 2017-01-03 At&T Intellectual Property I, L.P. Methods to improve overload protection for a home subscriber server (HSS)
US9319433B2 (en) 2010-06-29 2016-04-19 At&T Intellectual Property I, L.P. Prioritization of protocol messages at a server
US20120030759A1 (en) * 2010-07-28 2012-02-02 Alcatel-Lucent Usa Inc. Security protocol for detection of fraudulent activity executed via malware-infected computer system
KR101107739B1 (ko) * 2010-08-03 2012-01-20 한국인터넷진흥원 VoIP 네트워크의 비정상 SIP 트래픽 탐지 시스템 및 그 탐지 방법
KR101107741B1 (ko) * 2010-09-02 2012-01-20 한국인터넷진흥원 Sip 기반 비정상 트래픽 차단 시스템 및 그 차단 방법
KR101156008B1 (ko) * 2010-12-24 2012-06-18 한국인터넷진흥원 네트워크 트래픽 분석을 통한 시그니쳐 기반 봇넷 탐지 시스템 및 그 방법
US8955090B2 (en) * 2011-01-10 2015-02-10 Alcatel Lucent Session initiation protocol (SIP) firewall for IP multimedia subsystem (IMS) core
US8689328B2 (en) * 2011-02-11 2014-04-01 Verizon Patent And Licensing Inc. Maliciouis user agent detection and denial of service (DOS) detection and prevention using fingerprinting
US8719926B2 (en) * 2011-02-11 2014-05-06 Verizon Patent And Licensing Inc. Denial of service detection and prevention using dialog level filtering
GB2489447B (en) * 2011-03-28 2018-05-30 Metaswitch Networks Ltd Telephone call processing method and apparatus
CN102209010B (zh) * 2011-06-10 2013-09-25 北京神州绿盟信息安全科技股份有限公司 一种网络测试系统和方法
CN102457518B (zh) * 2011-10-17 2017-02-08 长沙先导智慧城市投资有限公司 一种多媒体数据安全监控装置、接收终端、认证方法及系统
US9749338B2 (en) * 2011-12-19 2017-08-29 Verizon Patent And Licensing Inc. System security monitoring
KR101186874B1 (ko) * 2011-12-30 2012-10-02 주식회사 정보보호기술 유무선 통합시스템의 무선침입 탐지 시스템의 운영방법
KR101287588B1 (ko) * 2012-01-06 2013-07-19 한남대학교 산학협력단 에스아이피 기반 인터넷 전화 서비스의 보안 시스템
WO2013151544A1 (en) 2012-04-04 2013-10-10 Empire Technology Development, Llc Detection of unexpected server operation through physical attribute monitoring
KR101868893B1 (ko) * 2012-07-09 2018-06-19 한국전자통신연구원 네트워크 보안 상황 시각화 방법 및 그 장치
WO2015041706A1 (en) * 2013-09-23 2015-03-26 Mcafee, Inc. Providing a fast path between two entities
US10484405B2 (en) * 2015-01-23 2019-11-19 Cisco Technology, Inc. Packet capture for anomalous traffic flows
US9954778B2 (en) * 2015-09-15 2018-04-24 At&T Mobility Ii Llc Gateways for sensor data packets in cellular networks
KR101711074B1 (ko) * 2015-12-24 2017-02-28 한국인터넷진흥원 4g 모바일 네트워크에서의 sip 터널링 패킷 탐지 장치, 시스템 및 방법
US20170195345A1 (en) * 2015-12-30 2017-07-06 Verisign, Inc. Detection, prevention, and/or mitigation of dos attacks in publish/subscribe infrastructure
US10735438B2 (en) * 2016-01-06 2020-08-04 New York University System, method and computer-accessible medium for network intrusion detection
US10432650B2 (en) 2016-03-31 2019-10-01 Stuart Staniford System and method to protect a webserver against application exploits and attacks
EP3270598A3 (en) * 2016-07-15 2018-03-21 Intraway R&D S.A. System and method for providing fraud control
CN106375330B (zh) * 2016-09-21 2020-01-17 东软集团股份有限公司 数据检测的方法及装置
CN106506482A (zh) * 2016-11-02 2017-03-15 合肥微梦软件技术有限公司 一种基于网络探测引擎的会话管理系统
EP3343968B1 (en) * 2016-12-30 2021-08-11 u-blox AG Monitoring apparatus, device monitoring system and method of monitoring a plurality of networked devices
CN107347067B (zh) * 2017-07-07 2021-06-04 深信服科技股份有限公司 一种网络风险监控方法、系统及安全网络系统
CN110535808B (zh) * 2018-05-24 2021-03-30 华为技术有限公司 一种设备监控、去注册方法及装置
GB2574468B (en) * 2018-06-08 2020-08-26 F Secure Corp Detecting a remote exploitation attack
US10749900B2 (en) 2018-09-28 2020-08-18 The Mitre Corporation Deploying session initiation protocol application network security
US11233804B2 (en) * 2019-01-28 2022-01-25 Microsoft Technology Licensing, Llc Methods and systems for scalable privacy-preserving compromise detection in the cloud
US10951663B2 (en) * 2019-02-12 2021-03-16 Saudi Arabian Oil Company Securing an IMS-based VoIP network with multiple VPNs
CN110505191B (zh) * 2019-04-18 2021-12-24 杭州海康威视数字技术股份有限公司 物联网僵尸网络节点的检测方法及装置
DE102019210227A1 (de) * 2019-07-10 2021-01-14 Robert Bosch Gmbh Vorrichtung und Verfahren zur Anomalieerkennung in einem Kommunikationsnetzwerk
CN113037784B (zh) * 2021-05-25 2021-09-21 金锐同创(北京)科技股份有限公司 流量引导方法、装置及电子设备
CN113315771B (zh) * 2021-05-28 2023-06-27 苗叶 一种基于工业控制系统的安全事件告警装置和方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070150773A1 (en) 2005-12-19 2007-06-28 Nortel Networks Limited Extensions to SIP signaling to indicate SPAM
KR100838811B1 (ko) * 2007-02-15 2008-06-19 한국정보보호진흥원 안전한 VoIP 서비스를 위한 보안 세션 제어 장치

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7526803B2 (en) * 2003-11-17 2009-04-28 Alcatel Lucent Detection of denial of service attacks against SIP (session initiation protocol) elements
EP1605661B1 (en) * 2004-06-07 2006-08-30 Alcatel Method and device for preventing attacks on a call server
US7451486B2 (en) * 2004-09-30 2008-11-11 Avaya Inc. Stateful and cross-protocol intrusion detection for voice over IP
FR2887722A1 (fr) * 2005-06-23 2006-12-29 Checkphone Soc Par Actions Sim Securisation de la telephonie sur ip
WO2007019583A2 (en) * 2005-08-09 2007-02-15 Sipera Systems, Inc. System and method for providing network level and nodal level vulnerability protection in voip networks
US7716729B2 (en) * 2005-11-23 2010-05-11 Genband Inc. Method for responding to denial of service attacks at the session layer or above
US8464329B2 (en) * 2006-02-21 2013-06-11 Watchguard Technologies, Inc. System and method for providing security for SIP-based communications
US7441429B1 (en) * 2006-09-28 2008-10-28 Narus, Inc. SIP-based VoIP traffic behavior profiling
FR2909823B1 (fr) * 2006-12-06 2012-12-14 Soc Fr Du Radiotelephone Sfr Procede et systeme de gestion de sessions multimedia, permettant de controler l'etablissement de canaux de communication
KR100894908B1 (ko) * 2007-05-15 2009-04-30 고려대학교 산학협력단 인터넷 기반 음성 서비스에서 비정상 패킷을 탐지하는 방법및 컴퓨터로 읽을 수 있는 매체
CN100583835C (zh) * 2007-06-28 2010-01-20 华为技术有限公司 转发报文的方法和网络设备
US8302186B2 (en) * 2007-06-29 2012-10-30 Verizon Patent And Licensing Inc. System and method for testing network firewall for denial-of-service (DOS) detection and prevention in signaling channel
US8522344B2 (en) * 2007-06-29 2013-08-27 Verizon Patent And Licensing Inc. Theft of service architectural integrity validation tools for session initiation protocol (SIP)-based systems
US8447855B2 (en) * 2007-08-08 2013-05-21 Radware, Ltd. Method, system and computer program product for preventing SIP attacks
US8402507B2 (en) * 2007-10-04 2013-03-19 Cisco Technology, Inc. Distributing policies to protect against voice spam and denial-of-service
US8806630B2 (en) * 2008-05-13 2014-08-12 At&T Intellectual Property, I, L.P. Methods and apparatus for intrusion protection in systems that monitor for improper network usage
US8375453B2 (en) * 2008-05-21 2013-02-12 At&T Intellectual Property I, Lp Methods and apparatus to mitigate a denial-of-service attack in a voice over internet protocol network

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070150773A1 (en) 2005-12-19 2007-06-28 Nortel Networks Limited Extensions to SIP signaling to indicate SPAM
KR100838811B1 (ko) * 2007-02-15 2008-06-19 한국정보보호진흥원 안전한 VoIP 서비스를 위한 보안 세션 제어 장치

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015083926A1 (en) * 2013-12-06 2015-06-11 Korea Internet & Security Agency Apparatus and method for detecting abnormal sip subscribe message in 4g mobile networks

Also Published As

Publication number Publication date
US20100154057A1 (en) 2010-06-17
KR20100069410A (ko) 2010-06-24

Similar Documents

Publication Publication Date Title
KR101107742B1 (ko) 에스아이피(sip) 기반 서비스의 보호를 위한 sip 침입 탐지 및 대응 시스템
US8161540B2 (en) System and method for unified communications threat management (UCTM) for converged voice, video and multi-media over IP flows
US8295188B2 (en) VoIP security
US8522344B2 (en) Theft of service architectural integrity validation tools for session initiation protocol (SIP)-based systems
US8347383B2 (en) Network monitoring apparatus, network monitoring method, and network monitoring program
US8307418B2 (en) Methods, systems, and computer readable media for providing application layer firewall and integrated deep packet inspection functions for providing early intrusion detection and intrusion prevention at an edge networking device
US9392009B2 (en) Operating a network monitoring entity
US20150040220A1 (en) System and Method for Unified Communications Threat Management (UCTM) for Converged Voice, Video and Multi-Media Over IP Flows
US20060075084A1 (en) Voice over internet protocol data overload detection and mitigation system and method
Hoffstadt et al. SIP trace recorder: Monitor and analysis tool for threats in SIP-based networks
Pelaez et al. Misuse patterns in VoIP
Gruber et al. Trapping and analyzing malicious VoIP traffic using a honeynet approach
KR101011221B1 (ko) 에스아이피(sip) 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템과 그 방법
JP4322179B2 (ja) サービス拒絶攻撃防御方法およびシステム
Safoine et al. Comparative study on DOS attacks Detection Techniques in SIP-based VOIP networks
KR101466895B1 (ko) VoIP 불법 검출 방법, 이를 수행하는 VoIP 불법 검출 장치 및 이를 저장하는 기록매체
Ganesan et al. A scalable detection and prevention scheme for voice over internet protocol (VoIP) signaling attacks using handler with Bloom filter
Cisco Configuring Context-Based Access Control
Ghafarian et al. An empirical study of security of VoIP system
Jansky et al. Hunting sip authentication attacks efficiently
Hofbauer et al. CDRAS: An approach to dealing with Man-in-the-Middle attacks in the context of Voice over IP
De Lutiis Managing Home Networks security challenges security issues and countermeasures
Kumar Survey on Detection Techniques for Denial-of-Service Attacks in SIP-Based Voice Over IP Networks
KR20100027829A (ko) 가상 프록시 서버를 이용한 에스아이피 공격탐지 시스템 및방법
Stamatia An Experimental Analysis of Current DDoS Attacks Based on a Provider Edge Router Honeynet

Legal Events

Date Code Title Description
A201 Request for examination
N231 Notification of change of applicant
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20141204

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee