KR101177002B1 - 실시간 모니터링 방법 및 그 시스템 - Google Patents

실시간 모니터링 방법 및 그 시스템 Download PDF

Info

Publication number
KR101177002B1
KR101177002B1 KR1020110005015A KR20110005015A KR101177002B1 KR 101177002 B1 KR101177002 B1 KR 101177002B1 KR 1020110005015 A KR1020110005015 A KR 1020110005015A KR 20110005015 A KR20110005015 A KR 20110005015A KR 101177002 B1 KR101177002 B1 KR 101177002B1
Authority
KR
South Korea
Prior art keywords
sfci
index
international
call
user
Prior art date
Application number
KR1020110005015A
Other languages
English (en)
Other versions
KR20120083718A (ko
Inventor
김정욱
이창용
김환국
고경희
정현철
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020110005015A priority Critical patent/KR101177002B1/ko
Publication of KR20120083718A publication Critical patent/KR20120083718A/ko
Application granted granted Critical
Publication of KR101177002B1 publication Critical patent/KR101177002B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M3/00Automatic or semi-automatic exchanges
    • H04M3/22Arrangements for supervision, monitoring or testing
    • H04M3/2281Call monitoring, e.g. for law enforcement purposes; Call tracing; Detection or prevention of malicious calls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1101Session protocols
    • H04L65/1104Session initiation protocol [SIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M11/00Telephonic communication systems specially adapted for combination with other electrical systems
    • H04M11/06Simultaneous speech and data transmission, e.g. telegraphic transmission over the same conductors

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Multimedia (AREA)
  • Computer Security & Cryptography (AREA)
  • Technology Law (AREA)
  • Telephonic Communication Services (AREA)

Abstract

인터넷 전화를 실시간 모니터링하는 방법 및 그 시스템이 제공된다. 상기 실시간 모니터링 방법은 인터넷 전화의 SIP 메시지로부터, 국제 통화 관련 정보를 파악하는 단계와, 상기 국제 통화 관련 정보를 이용하여, SFCI(Suspicious Fraud Call Index) 지수를 생성하는 단계와, 상기 SFCI 지수를 이용하여, 의심 사용자를 찾아내는 단계를 포함한다.

Description

실시간 모니터링 방법 및 그 시스템{Real-time monitoring method and system thereof}
본 발명은 인터넷 전화를 실시간 모니터링하는 방법 및 그 시스템에 관한 것이다.
저렴한 요금, 다양한 부가서비스, 인터넷, 인터넷전화, IPTV와 같은 결합 상품의 등장 그리고 번호 이동성 제도 등에 힘입어 인터넷전화는 2009년 가입자 수가 급속히 증가하여 840만을 넘어섰으며, 무선 인터넷 및 스마트폰 보급 확산, SNS에서의 사용 증가로 2011년에는 모바일 인터넷전화 이용이 크게 증가할 것으로 예상된다.
하지만, 인터넷전화의 활성화와 함께 2009년 말부터 SIP 특성을 이용한 서비스 거부 공격, 통화방해, 과금우회, 도청 등 인터넷전화 관련 보안 위협 및 공격 역시 현실화되고 있다. 특히, 과금우회 공격의 경우, 사업자 및 정상 사용자에게 부당하게 과금을 시키는 경우가 발생할 수 있어 다른 공격에 비해 심각한 피해를 야기할 수 있다. 과금우회 공격은 사용자 정보 획득 및 메시지 조작, 장비 SW 취약점을 악용한 관리자 권한 획득, SSW/IP-PBX 등 장비 설정 오류 악용을 통한 방법 등이 존재한다. 이러한 취약점을 악용하여 국제전화를 이용하는 피해 사례가 실제 발생하고 있지만, 기존의 IP/Port 정보만을 활용하는 보안기술 및 장비로는 분석하고 대응하기 어렵다.
본 발명이 해결하려는 과제는, 과금우회 공격을 방지할 수 있는 인터넷 전화 실시간 모니터링 방법을 제공하는 것이다.
본 발명이 해결하려는 다른 과제는, 과금우회 공격을 방지할 수 있는 인터넷 전화 실시간 모니터링 시스템을 제공하는 것이다.
본 발명이 해결하려는 과제들은 이상에서 언급한 과제들로 제한되지 않으며, 언급되지 않은 또 다른 과제들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
상기 과제를 해결하기 위한 본 발명의 실시간 모니터링 방법의 일 태양은 인터넷 전화의 SIP 메시지로부터, 국제 통화 관련 정보를 파악하는 단계와, 상기 국제 통화 관련 정보를 이용하여, SFCI(Suspicious Fraud Call Index) 지수를 생성하는 단계와, 상기 SFCI 지수를 이용하여, 의심 사용자를 찾아내는 단계를 포함한다.
상기 다른 과제를 해결하기 위한 본 발명의 실시간 모니터링 시스템의 일 태양은 인터넷 전화의 SIP 메시지로부터, 국제 통화 관련 정보를 파악하는 추출모듈과, 상기 국제 통화 관련 정보를 이용하여, SFCI(Suspicious Fraud Call Index) 지수를 생성하고, 상기 SFCI 지수를 이용하여, 의심 사용자를 찾아내는 국제전화 통화패턴 분석 모듈을 포함한다.
본 발명의 기타 구체적인 사항들은 상세한 설명 및 도면들에 포함되어 있다.
도 1은 본 발명의 일 실시예에 따른 실시간 모니터링 방법을 설명하기 위한 흐름도이다.
도 2은 본 발명의 다른 실시예에 따른 실시간 모니터링 방법을 설명하기 위한 흐름도이다.
도 3는 본 발명의 실시예들에 따른 실시간 모니터링 시스템을 설명하기 위한 블록도이다.
도 4는 국제전화 관리 정책 설정 화면이다.
도 5는 국제전화 발신 금지 국가 설정 화면이다.
도 6은 블랙리스트에 저장된 국제전화 발신 금지 국가로 시도된 통화를 탐지한 결과이다.
도 7은 실시간 모니터링 시스템의 모니터링 결과 및 SFCI기반 의심 사용자 분석 화면을 나타낸다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 게시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예들은 본 발명의 게시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
비록 제1, 제2 등이 다양한 소자, 구성요소 및/또는 섹션들을 서술하기 위해서 사용되나, 이들 소자, 구성요소 및/또는 섹션들은 이들 용어에 의해 제한되지 않음은 물론이다. 이들 용어들은 단지 하나의 소자, 구성요소 또는 섹션들을 다른 소자, 구성요소 또는 섹션들과 구별하기 위하여 사용하는 것이다. 따라서, 이하에서 언급되는 제1 소자, 제1 구성요소 또는 제1 섹션은 본 발명의 기술적 사상 내에서 제2 소자, 제2 구성요소 또는 제2 섹션일 수도 있음은 물론이다.
본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성요소, 단계, 동작 및/또는 소자는 하나 이상의 다른 구성요소, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.
이하, 본 발명의 실시예들에 의하여 실시간 모니터링 방법 및 그 시스템을 설명하기 위한 블록도 또는 처리 흐름도에 대한 도면들을 참고하여 본 발명에 대해 설명하도록 한다. 이 때, 처리 흐름도 도면들의 각 블록과 흐름도 도면들의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수 있음을 이해할 수 있을 것이다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 흐름도 블록(들)에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 흐름도 블록(들)에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재 되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 흐름도 블록(들)에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록은 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실행 예들에서는 블록들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
SIP(Session Initiation Protocol)는 전화, 인터넷 컨퍼런스, 메신저 등에 사용되는 응용 계층의 시그널링 프로토콜로서, 인터넷 기반 회의, 전화, 음성 메일, 이벤트 통지, 인스턴트 메시징 등 멀티미디어 서비스 세션의 생성, 수정, 종료를 제어하는 역할을 한다. 또한, SIP는 멀티미디어 데이터를 전송하기 위해서, RSVP, RTP, SDP 등의 프로토콜과 함께 동작한다. RSVP는 자원을 예약하는 데 사용하는 프로토콜이고, RTP는 실시간 데이터 전송을 하는 데 사용하는 프로토콜이고, SDP는 멀티키디어 세션의 특성을 나타내는 데 사용하는 프로토콜이다. 이하에서는, RTP 프로토콜을 사용하는 것으로 예시하나, 이에 한정되는 것은 아니다.
이하에서는, 설명의 편의를 위해서 과금우회 의심 사용자를 모니터링하는 방법 및 시스템을 예로 들고 있으나, 이에 한정되는 것은 아니다. 즉, 인터넷전화를 실시간으로 모니터링하고, SFCI 지수를 이용하여 의심 사용자를 추출하는 경우라면 모두 적용될 수 있다.
도 1은 본 발명의 일 실시예에 따른 실시간 모니터링 방법을 설명하기 위한 흐름도이다.
도 1을 참조하면, SIP 기반의 인터넷전화 트래픽으로부터 SIP 메시지를 수신한다(S10).
구체적으로, 네트워크 상의 인터넷전화 트래픽을 실시간으로 수신한다. 인터넷전화 트래픽은 송수신 IP뿐만 아니라 전화번호로 라우팅된다. 특히, 국제전화의 경우, 호 연결 요청 시 수신지의 IP가 실제 해당 국가의 IP가 아닌 인터넷전화 교환장비의 IP를 가지고 발신된다. 즉, 교환장비를 거쳐 가면서 송수신 IP가 각각의 교환장비의 IP로 바뀌기 때문에, 송수신 IP만을 분석해서는 사용자/수신자 등을 명확하게 알 수 없다. 따라서, 본 발명의 일 실시예에 따른 실시간 모니터링 방법에서는, 인터넷전화 트래픽에서 SIP 메시지를 추출하고 분석한다.
구체적으로, SIP 메시지는 시작라인, 헤더, 공백, 메시지본문을 포함한다.
시작라인은 메시지의 목적을 알리는 역할을 한다. 예를 들어, 요청 메시지일 때는 메소드(method) 유형, 요청을 수신하는 대상의 전화번호(및/또는 URL), SIP 버전을 포함한다. 여기서, 메소드는 INVITE, REGISTER, BYE, ACK, CANCEL 등이 있는데, 특히, INVITE는, 세션 연결(즉, 요청 메시지)을 의미한다. 응답 메시지일 때는, 요청에 대한 응답을 정의하는 숫자 상태 코드와 응답 내용, SIP 버전을 포함한다.
헤더는 호 세션을 제어하기 위한 설정 값들이 표시된다. 헤더는 다수의 필드를 포함할 수 있는데, Via 필드, Max-Forwards 필드, To 필드, From 필드, Call-ID 필드, CSeq 필드, Contact 필드, Content-Type 필드, Content-Length 필드 등을 포함한다.
예를 들어, Via 필드는 호 요청에 대하여 착신자가 응답할 때 참조한다. SIP 버전번호, 전송프로토콜, 경유하는 노드 등 여러가지가 포함된다. Max-Forwards 필드는 착신자까지 가면서 변환 가능한 TTL값이다. To 필드는 호 요청 메시지를 수신하는 착신자를 나타낸다. From 필드는 호 요청을 전송한 송신자를 나타낸다. Call-ID 필드는 호를 연결할 때 메시지들을 그룹화하기 위해 사용되는 글로벌 식별자이다. CSeq 필드는 트랜잭션을 식별하고 정렬하기 위해 사용되는 필드이다. Content-Type 필드는 SIP 메시지의 본문에 포함되는 미디어 유형을 나타내는 필드이다. Content-Length 필드는 SIP 메시지의 본문의 크기를 나타내는 필드이다.
공백은 헤더와 메시지본문의 경계를 표시하기 위해 사용된다.
메시지본문은 메시지 내용, 통신에 필요한(즉, Content-Type 필드에 표시된) 속성 값을 포함한다.
이어서, SIP메시지로부터 국제통화 관련정보를 파악한다(S20).
구체적으로, 국제통화관련정보는 예를 들어, 발신번호, 착신번호, 통화시간 등일 수 있다.
발신번호, 착신번호 등은 다음과 같은 파싱 동작을 통해서 알아낼 수 있다. SIP 메시지 내에 있는 메소드(method), From헤더, To헤더, Call-ID헤더 등을 파싱(parsing)할 수 있다. 특히, 국제전화 통화패턴 분석을 위해 착신번호인 To 필드는 국제전화 서비스 제공 통신 사업자 코드(예를 들어, 001, 002, 00700, 00365 등), 국가 코드, 수신 번호로 상세하게 파싱될 수 있다.
또한, 통화연결시간 및 통화종료시간을 통해서, 통화시간을 계산할 수 있다. 예를 들어, 통화시간은 통화종료시간과 통화연결시간의 차이로 계산된다. 통화연결시간은 예를 들어, INVITE를 수신한 후 200OK(INVITE)를 수신한 시간으로 정해질 수 있고, 통화종료시간은, 예를 들어, BYE를 수신한 후, 200OK(BYE)를 수신한 시간일 수 있다.
이어서, SFCI(Suspicious Fraud Call Index) 지수를 생성한다(S30).
구체적으로, 과금우회 의심 사용자 분석을 위해, 국제전화 통화 건수가 많은 사용자, 국제전화 통화 시간이 많은 사용자, 다수의 나라에 걸친 통화를 하는 사용자를 공격자로 정의할 수 있다. 이를 위해서, 전단계에서 파악한 국제통화관련정보를 이용하여 사용자별 국제통화 누적시간, 사용자별 국제통화 누적건수, 사용자별 단일통화시간, 사용자별 발신국가수를 분석한다.
본 발명의 실시예들에 따른 실시간 모니터링 방법에서, 분석된 사용자별 국제통화 누적시간, 사용자별 국제통화 누적건수, 사용자별 단일통화시간, 사용자별 발신국가수 중 적어도 하나를 기반으로, SFCI 지수가 생성된다.
예를 들어, 사용자A의 SFCI 지수는 SFCI(A)라 하면, SFCI(A)는 다음의 수학식1에 의해서 결정될 수 있다.
(수학식1)
SFCI(A) = A의 국제통화 누적시간 / 모든 사용자의 국제통화 누적시간의 평균값
+ A의 국제통화 누적건수 / 모든 사용자의 국제통화 누적건수의 평균값
+ A의 단일통화시간 / 모든 사용자의 단일통화시간의 평균값
+ A의 발신국가수 / 모든 사용자의 발신국가수의 평균값
이어서, SFCI 지수를 이용하여, 의심 사용자를 찾아낸다(S40).
구체적으로, SFCI 지수는 단위 기간(예를 들어, 1주일, 1달, 1분기, 1년 등)마다 생성하고, 이전 기간의 SFCI 지수와 현재 기간의 SFCI 지수를 비교하여 변화량을 산출할 수 있다. 여기서, 산출된 변화량이 클 경우(예를 들어, SFCI 지수가 크게 상승할 경우), 의심 사용자로 정의할 수 있다.
또는, 기준값을 미리 설정해 두고, SFCI 지수의 변화량이 기준값보다 높아진 사용자가 발견되면, 의심 사용자로 정의할 수 있다. 또는, 관리자에게 "의심 사용자 발견" 메시지를 통보할 수 있다.
또는, SFCI 지수의 변화량이 상대적으로 높은 사용자를 과금우회 의심 사용자로 정의할 수 있다.
본 발명의 일 실시예에 따른 실시간 모니터링 방법은, 인터넷 전화를 실시간으로 모니터링하여 과금우회 의심 사용자를 용이하게 실시간으로 발견해 낼 수 있다.
과도한 전화 사용이 된 상황을 뒤늦게 인지하고, 서비스 업체(즉, 통신 회사)에 과금 정보를 요청하여 상황을 파악하는 것은 뒤늦은 대처일 수 있다. 또한, 서비스 업체에서 과금 정보를 늦게 제공할 경우에는, 더더욱 뒤늦은 대처일 수 있다. 본 발명의 일 실시예에 따른 실시간 모니터링 방법은, 네트워크 상의 트래픽을 실시간으로 모니터링하여, 과금우회 의심 사용자를 실시간으로 발견해 낼 수 있기 때문에, 빠른 대응이 가능하다. 특히, 서비스 업체에 과금 정보를 요청하고 기다리는 등의 과정이 불필요하기 때문에, 더욱 빠른 대응이 가능하다.
도 2은 본 발명의 다른 실시예에 따른 실시간 모니터링 방법을 설명하기 위한 흐름도이다.
도 2를 참조하면, 본 발명의 다른 실시예에 따른 실시간 모니터링 방법은, 블랙리스트를 이용한 필터링 과정(S25)을 더 포함한다.
구체적으로, 관리자는 발신번호 및 국가코드를 기반으로 한 블랙리스트를 생성하고, 인터넷 전화의 SIP 메시지를 분석하여, 블랙리스트에 해당하는 인터넷 전화를 필터링할 수 있다.
예를 들어, 과금우회 의심 사용자로 생각되는 발신번호와, 과금우회 의심 사용자로 생각되는 국가의 국가코드를 미리 블랙리스트로 작성해 둔다. 그 후, SIP 메시지를 파싱하여 얻은 발신번호, 국가코드를, 블랙리스트와 매칭한다. 동일할 경우, 일치하는 SIP메시지는 차단한다(즉, 전화를 연결시키지 않는다).
이와 같이 하여, 블랙리스트에 해당하는 국제 통화 관련 정보는, SFCI 지수에 영향을 주지 않을 수 있다. 즉, 블랙리스트에 해당하는 국제 통화 관련 정보는 미리 제거해 버리기 때문에, SFCI 지수의 신뢰성이 더 높아지게 된다.
도 3는 본 발명의 실시예들에 따른 실시간 모니터링 시스템을 설명하기 위한 블록도이다.
도 3을 참조하면, 본 발명의 실시예들에 따른 실시간 모니터링 시스템(1)은 추출모듈(110), 필터링 모듈(130), 국제전화 통화패턴 분석모듈(150), 관리 모듈(170), 제1 내지 제3 저장부(120, 140, 160) 등을 포함할 수 있다.
추출모듈(110)은 SIP메시지로부터 국제통화 관련정보를 파악한다. 전술한 것과 같이, 추출모듈(110)은 SIP 메시지 내에 있는 메소드(method), From헤더, To헤더, Call-ID헤더 등을 파싱(parsing)할 수 있다. 파싱 동작을 통해서 발신번호, 착신번호 등을 알아낼 수 있다. 또한, 추출모듈(110)은 통화연결시간 및 통화종료시간을 통해서, 통화시간을 계산할 수 있다.
제1 저장부(120)는 추출모듈(110)에서 생성된 국제통화 관련정보를 저장한다.
제2 저장부(140)는 과금우회 의심 사용자로 생각되는 발신번호 및 국가코드를 블랙리스트로 저장한다.
필터링 모듈(130)은 제1 저장부(120)에 저장되어 있는 국제통화 관련정보(예를 들어, 발신번호, 국가코드)를, 제2 저장부(140)에 저장된 블랙리스트와 매칭한다. 동일할 경우, 일치하는 SIP메시지는 차단한다.
국제전화 통화패턴 분석모듈(150)은 국제 통화 관련 정보를 이용하여, SFCI(Suspicious Fraud Call Index) 지수를 생성하고, 상기 SFCI 지수를 이용하여, 의심 사용자를 찾아낸다.
예를 들어, 사용자A의 상기 SFCI 지수는 SFCI(A)라고 할 때, SFCI(A)는 전술한 수학식1 에 의해서 결정될 수 있다.
또한, 국제전화 통화패턴 분석모듈(150)은 산출한 SFCI 지수의 변화량과 기설정된 기준값을 비교하여, 비교 결과에 따라 의심사용자인지를 판단할 수 있다.
구체적으로, 국제전화 통화패턴 분석모듈(150)은 SFCI 지수를 단위 기간마다 생성하고, 이전 기간의 SFCI 지수와 현재 기간의 SFCI 지수를 비교하여 변화량을 산출할 수 있다. 산출된 변화량이 클 경우(예를 들어, SFCI 지수가 크게 상승할 경우), 의심 사용자로 정의할 수 있다.
관리 모듈(170)은 필터링 모듈(130)로부터 필터링 결과를 제공받고, 국제전화 통화패턴 분석모듈(150)로부터 분석결과를 제공받는다.
관리 모듈(170)은 분석결과에 따라, 관리자에게 "의심 사용자 발견" 메시지를 통보할 수 있다. 또는, 관리 모듈(170)은 의심 사용자의 통화를 정지시키거나, 의심 사용자의 정보(예를 들어, 발신번호, 국가코드)를 제2 저장부(140)를 블랙리스트로 저장시킬 수 있다.
도시하지 않았으나, 관리 모듈(170)은 별도의 저장부에 필터링 모듈(130)로부터 제공받은 필터링 결과와, 국제전화 통화패턴 분석모듈(150)로부터 분석결과를 저정해 둘 수 있다.
도 4 내지 도 7은 실시간 모니터링 시스템의 모니터링 화면을 예시적으로 도시하였다.
도 4 및 도 5는 관리자가 블랙리스트 설정하기 위한 화면이다. 도 4는 국제전화 관리 정책 설정 화면이다. 도 4를 참조하면, 통신 사업자 코드 입력 및 발신 금지 번호, 발신 금지 국가, 통화 패턴 분석을 통한 과금우회 의심 사용자 분석 등의 정책을 설정할 수 있도록 구성되어있다. 도 5는 국제전화 발신 금지 국가 설정 화면이다. 관리자에 의해 국가코드가 423인 리히텐슈타인이 발신 금지 국가로 등록되어 있음을 알 수 있다.
도 6은 블랙리스트에 저장된 국제전화 발신 금지 국가로 시도된 통화를 탐지한 결과이다. 도 6을 참조하면, 관리 통신 사업자 코드가 001이며, 리히텐슈타인(국가 코드 423)로 통화 요청 메시지가 탐지되었음을 확인할 수 있다.
도 7은 실시간 모니터링 시스템의 모니터링 결과 및 SFCI기반 의심 사용자 분석 화면을 나타낸다.
도 7을 참조하면, ①은 각 국가별 국제 전화 발신 통계 정보를 나타낸다. 분석된 전체 국제전화 트래픽을 바탕으로 관리자는 각 국가별 국제 전화 발신 통계 정보를 획득할 수 있으며, 평소 통화가 이루어지지 않던 중남미 또는 아프리카 등의 지역으로 통화 건수 증가를 모니터링 함으로써 공격 유무를 파악할 수 있다.
②는 과금우회 의심 사용자 리스트이다. 구체적으로, 각 사용자별로 계산된 SFCI 값을 바탕으로 상위 10명에 대한 정보(Proxy 서버 정보, 송신자 IP, 송신자 번호, 발신국가, SFCI 값)를 보여준다.
③은 한 달 동안 국제전화를 사용한 전체 사용자들의 통화 패턴 정보(누적 통화 시간/건수, 단일 통화 시간, 발신 국가 수 등)을 나타낸다.
④는 국제전화를 사용한 전체 사용자들의 통화 패턴 변화량 정보를 통계적으로 나타낸다. 관리자는 이를 통해 전체 사용자들의 국제전화 통화량 증감 유무를 파악할 수 있다.
이상 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.
110: 추출모듈 120: 제1 저장부
130: 필터링 모듈 140: 제2 저장부
150: 국제전화 통화모듈 분석모듈 160: 제3 저장부
170: 관리모듈

Claims (12)

  1. 인터넷 전화의 SIP 메시지로부터, 국제 통화 관련 정보를 파악하는 단계;
    상기 국제 통화 관련 정보를 이용하여, SFCI(Suspicious Fraud Call Index) 지수를 생성하는 단계; 및
    상기 SFCI 지수를 이용하여, 의심 사용자를 찾아내는 단계를 포함하되,
    상기 SFCI 지수는 사용자별 국제통화 누적시간, 사용자별 국제통화 누적건수, 사용자별 단일통화시간, 사용자별 발신국가수 중 적어도 하나를 기반으로 생성하는 실시간 모니터링 방법.
  2. 삭제
  3. 제 1항에 있어서,
    사용자A의 상기 SFCI 지수는 SFCI(A)이고, 상기 SFCI(A)는 다음의 수식에 의해서 결정되는 실시간 모니터링 방법.
    SFCI(A) = A의 국제통화 누적시간 / 모든 사용자의 국제통화 누적시간의 평균값
    + A의 국제통화 누적건수 / 모든 사용자의 국제통화 누적건수의 평균값
    + A의 단일통화시간 / 모든 사용자의 단일통화시간의 평균값
    + A의 발신국가수 / 모든 사용자의 발신국가수의 평균값
  4. 제 1항에 있어서,
    상기 SFCI 지수는 단위 기간마다 생성하고, 이전 기간의 SFCI 지수와 현재 기간의 SFCI 지수를 비교하여 변화량을 산출하는 단계를 더 포함하는 실시간 모니터링 방법.
  5. 제 4항에 있어서,
    상기 SFCI 지수의 변화량과 기설정된 기준값을 비교하여, 비교 결과에 따라 의심사용자인지를 판단하는 실시간 모니터링 방법.
  6. 제 1항에 있어서,
    발신번호 및 국가코드를 기반으로 한 블랙리스트를 생성하는 단계와,
    상기 인터넷 전화의 SIP 메시지를 분석하여, 상기 블랙리스트에 해당하는 인터넷 전화를 필터링하는 단계를 더 포함하는 실시간 모니터링 방법.
  7. 제 6항에 있어서,
    상기 SFCI 지수를 이용하여 의심 사용자를 찾아낸 결과와, 상기 필터링 단계에서 필터링된 결과를 저장하는 단계를 더 포함하는 실시간 모니터링 방법.
  8. 인터넷 전화의 SIP 메시지로부터, 국제 통화 관련 정보를 파악하는 추출모듈; 및
    상기 국제 통화 관련 정보를 이용하여, SFCI(Suspicious Fraud Call Index) 지수를 생성하고, 상기 SFCI 지수를 이용하여, 의심 사용자를 찾아내는 국제전화 통화패턴 분석 모듈을 포함하되,
    상기 국제전화 통화패턴 분석 모듈은 사용자별 국제통화 누적시간, 사용자별 국제통화 누적건수, 사용자별 단일통화시간, 사용자별 발신국가수 중 적어도 하나를 기반으로 상기 SFCI 지수를 생성하는 실시간 모니터링 시스템.
  9. 제 8항에 있어서,
    사용자A의 상기 SFCI 지수는 SFCI(A)이고, 상기 SFCI(A)는 다음의 수식에 의해서 결정되는 실시간 모니터링 시스템.
    SFCI(A) = A의 국제통화 누적시간 / 모든 사용자의 국제통화 누적시간의 평균값
    + A의 국제통화 누적건수 / 모든 사용자의 국제통화 누적건수의 평균값
    + A의 단일통화시간 / 모든 사용자의 단일통화시간의 평균값
    + A의 발신국가수 / 모든 사용자의 발신국가수의 평균값
  10. 제 8항에 있어서,
    국제전화 통화패턴 분석 모듈은 상기 SFCI 지수는 단위 기간마다 생성하고, 이전 기간의 SFCI 지수와 현재 기간의 SFCI 지수를 비교하여 변화량을 산출하는 것을 더 포함하는 실시간 모니터링 시스템.
  11. 제 10항에 있어서,
    상기 국제전화 통화패턴 분석모듈은 상기 SFCI 지수의 변화량과 기설정된 기준값을 비교하여, 비교 결과에 따라 의심사용자인지를 판단하는 실시간 모니터링 시스템.
  12. 제 8항에 있어서,
    상기 인터넷 전화의 SIP 메시지를 분석하여, 발신번호 및 국가코드를 기반으로 한 블랙리스트에 해당하는 인터넷 전화를 필터링하는 필터링 모듈을 더 포함하는 실시간 모니터링 시스템.

KR1020110005015A 2011-01-18 2011-01-18 실시간 모니터링 방법 및 그 시스템 KR101177002B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110005015A KR101177002B1 (ko) 2011-01-18 2011-01-18 실시간 모니터링 방법 및 그 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110005015A KR101177002B1 (ko) 2011-01-18 2011-01-18 실시간 모니터링 방법 및 그 시스템

Publications (2)

Publication Number Publication Date
KR20120083718A KR20120083718A (ko) 2012-07-26
KR101177002B1 true KR101177002B1 (ko) 2012-08-27

Family

ID=46714877

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110005015A KR101177002B1 (ko) 2011-01-18 2011-01-18 실시간 모니터링 방법 및 그 시스템

Country Status (1)

Country Link
KR (1) KR101177002B1 (ko)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009071817A (ja) 2007-09-12 2009-04-02 Avaya Inc シグニチャ・フリーの侵入の検知

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009071817A (ja) 2007-09-12 2009-04-02 Avaya Inc シグニチャ・フリーの侵入の検知

Also Published As

Publication number Publication date
KR20120083718A (ko) 2012-07-26

Similar Documents

Publication Publication Date Title
KR101088852B1 (ko) 인터넷 전화 과금우회 공격 탐지 시스템 및 그 탐지 방법
US8973150B2 (en) Methods and apparatus to mitigate a denial-of-service attack in a voice over internet protocol network
US7197560B2 (en) Communications system with fraud monitoring
KR101218253B1 (ko) 보안 및 불법호 검출 시스템 및 방법
US20100154057A1 (en) Sip intrusion detection and response architecture for protecting sip-based services
JP2008148310A (ja) マルチメディアセッション管理方法およびシステム
US8514845B2 (en) Usage of physical layer information in combination with signaling and media parameters
JP4692776B2 (ja) Sipベースのアプリケーションを保護する方法
KR101097419B1 (ko) 넷플로우 통계정보를 이용한 비정상 에스아이피 트래픽 폭주공격 탐지 및 모니터링시스템과 그 방법
US20150150076A1 (en) Method and device for instructing and implementing communication monitoring
US10291663B2 (en) Methods and apparatus for implementing a communication barring service
EP2301232B1 (en) Lawful interception of bearer traffic
WO2009097032A1 (en) Managing call delivery in an internet protocol communication system
CN102739458B (zh) 一种针对ip多媒体子系统的rtp威胁的检测方法和系统
KR101011221B1 (ko) 에스아이피(sip) 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템과 그 방법
Srihari et al. Security aspects of SIP based VoIP networks: A survey
KR101177002B1 (ko) 실시간 모니터링 방법 및 그 시스템
Vrakas et al. Evaluating the security and privacy protection level of IP multimedia subsystem environments
KR101466895B1 (ko) VoIP 불법 검출 방법, 이를 수행하는 VoIP 불법 검출 장치 및 이를 저장하는 기록매체
KR101379779B1 (ko) 발신 정보가 변조된 보이스 피싱 및 문자 피싱 공격을 탐지 및 차단하는 방법
KR101381614B1 (ko) 블룸 필터를 이용한 sip 서비스 거부 공격 대응 장치 및 방법
EP2634980B1 (en) Method and apparatus for intercepting media contents in ip multimedia subsystem
US8107459B1 (en) Method and apparatus for executing a call blocking function
Hosseinpour et al. Modeling SIP normal traffic to detect and prevent SIP-VoIP flooding attacks using fuzzy logic
Sherr et al. Can they hear me now? A security analysis of law enforcement wiretaps

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150813

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee