KR101177049B1 - System for detecting abnormal VoIP traffic using heuristic statistic-information - Google Patents

System for detecting abnormal VoIP traffic using heuristic statistic-information Download PDF

Info

Publication number
KR101177049B1
KR101177049B1 KR1020100133529A KR20100133529A KR101177049B1 KR 101177049 B1 KR101177049 B1 KR 101177049B1 KR 1020100133529 A KR1020100133529 A KR 1020100133529A KR 20100133529 A KR20100133529 A KR 20100133529A KR 101177049 B1 KR101177049 B1 KR 101177049B1
Authority
KR
South Korea
Prior art keywords
traffic
sip
ddos attack
analysis
detection
Prior art date
Application number
KR1020100133529A
Other languages
Korean (ko)
Other versions
KR20120071831A (en
Inventor
이창용
김환국
고경희
김정욱
정현철
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020100133529A priority Critical patent/KR101177049B1/en
Publication of KR20120071831A publication Critical patent/KR20120071831A/en
Application granted granted Critical
Publication of KR101177049B1 publication Critical patent/KR101177049B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Abstract

체계적인 단계에 따라 VoIP 네트워크 상의 비정상 SIP 트래픽을 탐지할 수 있는 휴리스틱 통계정보 기반 비정상 VoIP 트래픽 탐지 시스템이 제공된다. 비정상 VoIP 트래픽 탐지 시스템은, 네트워크 상의 트래픽 정보를 수신하는 수신 모듈, 수신 모듈로부터 트래픽 정보를 제공받고 트래픽을 분석하여, 네트워크에 SIP DDoS 공격, SIP SCAN 공격 또는 RTP DDoS 공격이 있는지 탐지하는 탐지 모듈, 및 탐지 모듈이 트래픽을 분석하는데 필요한 다수의 기준값을 제공하는 통계 DB를 포함하되, SIP DDoS 공격 트래픽을 탐지하는 것는, 네트워크 상의 트래픽에 대해 행위기반 분석과 휴리스틱 SIP 패턴 변동량 분석을 수행하여 잠재적 SIP DDoS 공격 트래픽을 탐지하는 것과, 잠재적 SIP DDoS 공격 트래픽에 대해 요청 메소드 및 응답 매소드를 분석하여 잠재적 SIP DDoS 공격 트래픽을 SIP DDoS 공격 트래픽으로 탐지하는 것을 포함한다.According to a systematic step, an abnormal VoIP traffic detection system based on heuristic statistics information for detecting abnormal SIP traffic on a VoIP network is provided. An abnormal VoIP traffic detection system includes: a receiving module receiving traffic information on a network, a detecting module receiving traffic information from a receiving module and analyzing the traffic to detect whether there is a SIP DDoS attack, a SIP SCAN attack, or an RTP DDoS attack on the network; And a statistics DB providing a number of reference values for the detection module to analyze the traffic, wherein detecting the SIP DDoS attack traffic includes conducting behavior-based analysis and heuristic SIP pattern variation analysis of traffic on the network to perform potential SIP DDoS Detecting attack traffic and analyzing request method and response method for potential SIP DDoS attack traffic to detect potential SIP DDoS attack traffic as SIP DDoS attack traffic.

Figure R1020100133529
Figure R1020100133529

Description

휴리스틱 통계정보 기반 비정상 VoIP 트래픽 탐지 시스템{System for detecting abnormal VoIP traffic using heuristic statistic-information}System for detecting abnormal VoIP traffic using heuristic statistic-information}

본 발명은 휴리스틱 통계정보 기반 비정상 VoIP 트래픽 탐지 시스템에 관한 것이다.The present invention relates to a heuristic statistical information based abnormal VoIP traffic detection system.

네트워크 상의 비정상 트래픽 탐지 시스템에 관한 종래의 기술들은 IP 트래픽의 5-tuple 정보(발신지 IP, 발신지 port, 목적지 IP, 목적지 port, 프로토콜(TCP, UDP, ICMP))만을 이용하여 IP 트래픽의 특성을 분석하고 비정상 트래픽을 탐지하였다. 하지만, 인터넷 전화 등의 발달로 인해 근래 폭발적으로 서비스되고 있는 SIP 응용서비스의 경우 지금까지의 IP 트래픽 모니터링 기술 및 비정상 IP 트래픽 탐지 기술은 이와 같은 SIP 트래픽을 효과적으로 모니터링 하거나 비정상 SIP 트래픽 공격을 탐지할 수 없었다.Conventional techniques related to an abnormal traffic detection system on a network analyze IP characteristics using only 5-tuple information (source IP, source port, destination IP, destination port, protocol (TCP, UDP, ICMP)) of IP traffic. And abnormal traffic was detected. However, in the case of SIP application service which is being exploded in recent years due to the development of Internet telephony, IP traffic monitoring technology and abnormal IP traffic detection technology can effectively monitor such SIP traffic or detect abnormal SIP traffic attack. There was no.

이는 먼저, SIP 트래픽의 경우 상기 IP, port 정보 외에 응용서비스 제공을 위한 식별자인 URI를 추가로 사용하고 있는데 종래 기술로는 이러한 URI를 제대로 모니터링 할 수 없기 때문이고, 다음으로, SIP는 호 설정을 위한 SIP 트래픽과 미디어 전송을 위한 RTP 트래픽이 실제로 같은 응용서비스 세션내부의 트래픽임에도 불구하고 전달 경로가 다를 수 있지만, 기존의 IP 트래픽 모니터링 장비 또는 IP 기반 보안장비들은 이를 인식하여 처리할 수 없었기 때문이다.This is because, firstly, in case of SIP traffic, a URI, which is an identifier for providing an application service, is additionally used in addition to the IP and port information. This is because the conventional technology cannot properly monitor such a URI. Next, SIP performs call setup. Although the delivery path may be different even though SIP traffic for RTP and RTP traffic for media transmission are actually traffic inside the same application service session, existing IP traffic monitoring devices or IP-based security devices could not recognize and process them. .

따라서, 이러한 네트워크 상의 비정상 SIP 트래픽(예를 들어, DDoS 공격 트래픽이나 SCAN 공격 트래픽 등)을 체계적인 단계에 따라 탐지할 수 있는 탐지 시스템이 필요하다.Therefore, there is a need for a detection system capable of detecting abnormal SIP traffic (for example, DDoS attack traffic or SCAN attack traffic) on such a network according to systematic steps.

본 발명이 해결하고자 하는 기술적 과제는 체계적인 단계에 따라 VoIP 네트워크 상의 비정상 SIP 트래픽을 탐지할 수 있는 비정상 VoIP 트래픽 탐지 시스템을 제공하는 것이다.The technical problem to be solved by the present invention is to provide an abnormal VoIP traffic detection system that can detect abnormal SIP traffic on the VoIP network according to a systematic step.

본 발명의 기술적 과제들은 이상에서 언급한 기술적 과제로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.Technical problems of the present invention are not limited to the technical problems mentioned above, and other technical problems not mentioned will be clearly understood by those skilled in the art from the following description.

상기 기술적 과제를 달성하기 위한 본 발명의 비정상 VoIP 트래픽 탐지 시스템의 일 태양(aspect)은, 네트워크 상의 트래픽 정보를 수신하는 수신 모듈, 수신 모듈로부터 트래픽 정보를 제공받고 트래픽을 분석하여, 네트워크에 SIP DDoS 공격, SIP SCAN 공격 또는 RTP DDoS 공격이 있는지 탐지하는 탐지 모듈, 및 탐지 모듈이 트래픽을 분석하는데 필요한 다수의 기준값을 제공하는 통계 DB를 포함하되, SIP DDoS 공격 트래픽을 탐지하는 것는, 네트워크 상의 트래픽에 대해 행위기반 분석과 휴리스틱 SIP 패턴 변동량 분석을 수행하여 잠재적 SIP DDoS 공격 트래픽을 탐지하는 것과, 잠재적 SIP DDoS 공격 트래픽에 대해 요청 메소드 및 응답 매소드를 분석하여 잠재적 SIP DDoS 공격 트래픽을 SIP DDoS 공격 트래픽으로 탐지하는 것을 포함한다.An aspect of the abnormal VoIP traffic detection system of the present invention for achieving the above technical problem is a receiving module for receiving traffic information on a network, receiving the traffic information from the receiving module and analyzing the traffic, SIP DDoS to the network A detection module that detects whether there is an attack, a SIP SCAN attack, or an RTP DDoS attack, and a statistics database that provides a number of thresholds for the detection module to analyze the traffic, wherein detecting the SIP DDoS attack traffic includes: Detect potential SIP DDoS attack traffic by conducting behavior-based analysis and heuristic SIP pattern variability analysis, and detect potential SIP DDoS attack traffic as SIP DDoS attack traffic by analyzing request methods and response methods for potential SIP DDoS attack traffic. It involves doing.

기타 실시예들의 구체적인 사항들은 상세한 설명 및 도면들에 포함되어 있다.Specific details of other embodiments are included in the detailed description and the drawings.

본 발명의 일 실시예에 따른 비정상 VoIP 트래픽 탐지 시스템은 응용 레벨에서 다양한 정보를 바탕으로 DDoS 공격 트래픽을 탐지하기 때문에 IP 레벨에서 탐지 불가능한 SIP DDoS 공격 트래픽의 탐지가 가능하다.The abnormal VoIP traffic detection system according to an embodiment of the present invention detects the DDoS attack traffic based on various information at the application level, thereby detecting the SIP DDoS attack traffic that cannot be detected at the IP level.

또한, 본 발명의 일 실시예에 따른 비정상 VoIP 트래픽 탐지 시스템은 앞서 설명한 것과 같이 행위기반 분석과 휴리스틱 SIP 패턴 변동량 분석을 단계적으로 수행하여 잠재적 SIP DDoS 공격 트래픽을 탐지하고, 이러한 잠재적 SIP DDoS 공격 트래픽에 대해 요청 메소드 및 응답 매소드를 분석하여 잠재적 SIP DDoS 공격 트래픽을 SIP DDoS 공격 트래픽으로 탐지하기 때문에, 체계적인 단계에 따라 VoIP 네트워크 상의 비정상 SIP 트래픽을 탐지하는 것이 가능하다.In addition, the abnormal VoIP traffic detection system according to an embodiment of the present invention detects potential SIP DDoS attack traffic by performing behavior-based analysis and heuristic SIP pattern variation analysis as described above, and applies to such potential SIP DDoS attack traffic. By analyzing the request method and response method, the potential SIP DDoS attack traffic is detected as SIP DDoS attack traffic. Therefore, according to the systematic steps, it is possible to detect abnormal SIP traffic on the VoIP network.

마지막으로, 본 발명의 일 실시에에 따른 비정상 VoIP 트래픽 탐지 시스템의 탐지 기준값은 탐지 모듈의 트래픽 분석 결과에 따라 실시간으로 그 값이 갱신되기 때문에, 실시간으로 변동되는 트래픽 상황을 반영하여 비정상 SIP 트래픽을 탐지하는 것이 가능하다.Lastly, since the detection reference value of the abnormal VoIP traffic detection system according to an embodiment of the present invention is updated in real time according to the traffic analysis result of the detection module, the abnormal SIP traffic is reflected to reflect the traffic situation that changes in real time. It is possible to detect.

본 발명의 효과들은 이상에서 언급한 효과로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.Effects of the present invention are not limited to the above-mentioned effects, and other effects not mentioned will be clearly understood by those skilled in the art from the following description.

도 1은 본 발명의 일 실시예에 따른 비정상 VoIP 트래픽 탐지 시스템의 블록 개념도이다.
도 2는 본 발명의 일 실시예에 따른 비정상 VoIP 트래픽 탐지 시스템의 수신 모듈이 수신하는 SIP 트래픽 정보의 일 예이다.
도 3은 본 발명의 일 실시예에 따른 비정상 VoIP 트래픽 탐지 시스템의 탐지 모듈이 분석하는 행위기반 분석 항목들의 구체적인 예시이다.
도 4는 본 발명의 일 실시예에 따른 비정상 VoIP 트래픽 탐지 시스템의 SIP DDoS 탐지 모듈의 동작을 설명하기 위한 순서도이다.
도 5는 본 발명의 일 실시예에 따른 비정상 VoIP 트래픽 탐지 시스템의 SIP DDoS 탐지 모듈의 SIP DDoS 공격 트래픽 탐지 동작을 설명하기 위한 도면이다.
도 6은 본 발명의 일 실시예에 따른 비정상 VoIP 트래픽 탐지 시스템의 SIP SCAN 탐지 모듈의 동작을 설명하기 위한 순서도이다.
도 7은 본 발명의 일 실시예에 따른 비정상 VoIP 트래픽 탐지 시스템의 RTP DDoS 탐지 모듈의 동작을 설명하기 위한 순서도이다.
도 8은 본 발명의 일 실시예에 따른 비정상 VoIP 트래픽 탐지 시스템의 효과를 설명하기 위한 도면이다.1 is a block diagram of an abnormal VoIP traffic detection system according to an embodiment of the present invention.
2 is an example of SIP traffic information received by a receiving module of an abnormal VoIP traffic detection system according to an embodiment of the present invention.
3 is a detailed example of behavior-based analysis items analyzed by a detection module of an abnormal VoIP traffic detection system according to an embodiment of the present invention.
4 is a flowchart illustrating an operation of a SIP DDoS detection module of an abnormal VoIP traffic detection system according to an embodiment of the present invention.
5 is a diagram illustrating a SIP DDoS attack traffic detection operation of the SIP DDoS detection module of an abnormal VoIP traffic detection system according to an embodiment of the present invention.
6 is a flowchart illustrating an operation of a SIP SCAN detection module of an abnormal VoIP traffic detection system according to an embodiment of the present invention.
7 is a flowchart illustrating the operation of the RTP DDoS detection module of the abnormal VoIP traffic detection system according to an embodiment of the present invention.
8 is a view for explaining the effect of the abnormal VoIP traffic detection system according to an embodiment of the present invention.

본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 도면에서 표시된 구성요소의 크기 및 상대적인 크기는 설명의 명료성을 위해 과장된 것일 수 있다.Advantages and features of the present invention and methods for achieving them will be apparent with reference to the embodiments described below in detail with the accompanying drawings. However, the present invention is not limited to the embodiments disclosed below, but will be implemented in various forms, and only the present embodiments are intended to complete the disclosure of the present invention, and the general knowledge in the art to which the present invention pertains. It is provided to fully convey the scope of the invention to those skilled in the art, and the present invention is defined only by the scope of the claims. The size and relative size of the components shown in the drawings may be exaggerated for clarity of explanation.

명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭하며, "및/또는"은 언급된 아이템들의 각각 및 하나 이상의 모든 조합을 포함한다.Like reference numerals refer to like elements throughout the specification, and "and / or" includes each and every combination of one or more of the mentioned items.

본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "이루어지다(made of)"는 언급된 구성요소, 단계, 동작 및/또는 소자는 하나 이상의 다른 구성요소, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.The terminology used herein is for the purpose of describing particular embodiments only and is not intended to be limiting of the invention. In the present specification, the singular form includes plural forms unless otherwise specified in the specification. As used herein, the terms "comprises" and / or "made of" means that a component, step, operation, and / or element may be embodied in one or more other components, steps, operations, and / And does not exclude the presence or addition thereof.

비록 제1, 제2 등이 다양한 구성요소들을 서술하기 위해서 사용되나, 이들 구성요소들은 이들 용어에 의해 제한되지 않음은 물론이다. 이들 용어들은 단지 하나의 구성요소를 다른 구성요소와 구별하기 위하여 사용하는 것이다. 따라서, 이하에서 언급되는 제1 구성요소는 본 발명의 기술적 사상 내에서 제2 구성요소일 수도 있음은 물론이다.Although the first, second, etc. are used to describe various components, it goes without saying that these components are not limited by these terms. These terms are used only to distinguish one component from another. Therefore, it goes without saying that the first component mentioned below may be the second component within the technical scope of the present invention.

다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.Unless otherwise defined, all terms (including technical and scientific terms) used in the present specification may be used in a sense that can be commonly understood by those skilled in the art. Also, commonly used predefined terms are not ideally or excessively interpreted unless explicitly defined otherwise.

이하 도 1 내지 도 7을 참조하여, 본 발명의 일 실시예에 따른 비정상 VoIP 트래픽 탐지 시스템에 대해 설명한다.Hereinafter, an abnormal VoIP traffic detection system according to an embodiment of the present invention will be described with reference to FIGS. 1 to 7.

도 1은 본 발명의 일 실시예에 따른 비정상 VoIP 트래픽 탐지 시스템의 블록 개념도이고, 도 2는 본 발명의 일 실시예에 따른 비정상 VoIP 트래픽 탐지 시스템의 수신 모듈이 수신하는 SIP 트래픽 정보의 일 예이다.1 is a block diagram of an abnormal VoIP traffic detection system according to an embodiment of the present invention, Figure 2 is an example of SIP traffic information received by the receiving module of the abnormal VoIP traffic detection system according to an embodiment of the present invention .

먼저, 도 1을 참조하면, 본 발명의 일 실시예에 따른 비정상 VoIP 트래픽 탐지 시스템(100)은 수신 모듈(10), 탐지 모듈(40), 수집 DB(80), 통계 DB(85), 로그 DB(90)를 포함할 수 있다.First, referring to FIG. 1, an abnormal VoIP traffic detection system 100 according to an embodiment of the present invention includes a reception module 10, a detection module 40, a collection DB 80, a statistics DB 85, and a log. DB 90 may be included.

수신 모듈(10)은 네트워크 상의 트래픽 정보를 수신하는 모듈일 수 있다. 본 발명의 실시예에서 이러한 네트워크는 음성 트래픽이 전송되는 VoIP(Voice over Internet Protocol) 네트워크일 수 있고, 이러한 네트워크로부터 수신 모듈(10)에 수신되는 트래픽 정보는 도 2에 도시된 것과 같이 SIP 트래픽에 관한 정보 및 RTP 트래픽에 관한 정보들을 포함하는 넷플로우(netfolw) 기반의 SIP 트래픽 정보일 수 있다.The receiving module 10 may be a module for receiving traffic information on a network. In an embodiment of the present invention, such a network may be a Voice over Internet Protocol (VoIP) network through which voice traffic is transmitted, and the traffic information received by the receiving module 10 from such a network is transmitted to SIP traffic as shown in FIG. Netfolw based SIP traffic information including information about the information and about the RTP traffic.

이렇게 수신 모듈(10)을 통해 수신된 트래픽 정보는 임시큐(20) 및 임시 DB(30)을 거쳐 탐지 모듈(40)에 제공될 수 있다. 비록, 도 1에서는 트래픽 처리의 효율성을 높이기 위해 트래픽 정보가 임시큐(20) 및 임시 DB(30)을 거쳐 탐지 모듈(40)에 제공되는 것이 도시되어 있으나, 본 발명이 도 1에 도시된 것에 제한되는 것은 아니다. 즉, 필요에 따라 이러한, 임시큐(20) 및 임시 DB(30)는 생략될 수도 있다.The traffic information received through the reception module 10 may be provided to the detection module 40 via the temporary queue 20 and the temporary DB 30. Although FIG. 1 illustrates that the traffic information is provided to the detection module 40 via the temporary queue 20 and the temporary DB 30 to increase the efficiency of traffic processing, the present invention is illustrated in FIG. It is not limited. That is, the temporary queue 20 and the temporary DB 30 may be omitted as necessary.

탐지 모듈(40)은 수신 모듈(10)로부터 트래픽 정보를 제공받고 트래픽을 분석하여, 네트워크에 SIP DDoS 공격, SIP SCAN 공격 또는 RTP DDoS 공격이 있는지 탐지하는 모듈일 수 있다. 구체적으로 탐지 모듈(40)은 수신 모듈(10)로부터 제공받은 각 항목별 트래픽 정보를 통계 DB(85)에서 제공하는 각 항목별 기준값과 비교하여 네트워크에 SIP DDoS 공격, SIP SCAN 공격 또는 RTP DDoS 공격이 있는지 탐지하는 모듈일 수 있다. 이러한 탐지 모듈(40)은 SIP DDoS 공격을 탐지 하기 위한 SIP DDoS 공격 탐지 모듈(50)과, SIP SCAN 공격을 탐지하기 위한 SIP SCAN 공격 탐지 모듈(60)과, RTP DDoS 공격을 탐지 하기 위한 RTP DDoS 공격 탐지 모듈(70)로 구성될 수 있는데, 각 모듈에 대한 상세 동작은 추후 구체적으로 설명하도록 한다.The detection module 40 may be a module that receives traffic information from the receiving module 10 and analyzes the traffic to detect whether there is a SIP DDoS attack, a SIP SCAN attack, or an RTP DDoS attack in the network. Specifically, the detection module 40 compares the traffic information of each item provided from the receiving module 10 with a reference value of each item provided by the statistics DB 85 to perform a SIP DDoS attack, a SIP SCAN attack, or an RTP DDoS attack on the network. It may be a module that detects the presence of a message. The detection module 40 includes a SIP DDoS attack detection module 50 for detecting a SIP DDoS attack, a SIP SCAN attack detection module 60 for detecting a SIP SCAN attack, and an RTP DDoS for detecting an RTP DDoS attack. Attack detection module 70 may be configured, and detailed operations of each module will be described later in detail.

한편, 본 발명의 일 실시예에 따른 비정상 VoIP 트래픽 탐지 시스템(100)의 탐지 모듈(40)은 제공 받은 네트워크 상의 트래픽에 대해 행위기반 분석 및/또는 휴리스틱 SIP 패턴 변동량 분석을 수행하여 네트워크 상의 트래픽이 공격 트래픽인지 탐지할 수 있다. 구체적으로, 탐지 모듈(40)은 제공 받은 네트워크 상의 트래픽에 대해 행위기반 분석과 휴리스틱 SIP 패턴 변동량 분석을 단계적으로 수행하여 잠재적 SIP DDoS 공격 트래픽을 탐지하고, 탐지된 잠재적 SIP DDoS 공격 트래픽에 대해 요청 메소드 및 응답 매소드를 분석하여 SIP DDoS 공격 트래픽을 탐지할 수 있다. 또한, 탐지 모듈(40)은 제공 받은 네트워크 상의 트래픽에 대해 행위기반 분석을 수행하여 SIP SCAN 공격 트래픽과 RTP DDoS 공격 트래픽을 탐지할 수 있다.On the other hand, the detection module 40 of the abnormal VoIP traffic detection system 100 according to an embodiment of the present invention performs the behavior-based analysis and / or heuristic SIP pattern variation analysis for the traffic on the provided network traffic traffic It can detect whether it is attack traffic. Specifically, the detection module 40 detects potential SIP DDoS attack traffic by performing behavior-based analysis and heuristic SIP pattern variation analysis step by step on the provided network traffic, and request method for detected potential SIP DDoS attack traffic. And response method may be analyzed to detect SIP DDoS attack traffic. In addition, the detection module 40 may detect the SIP SCAN attack traffic and the RTP DDoS attack traffic by performing behavior-based analysis on the provided traffic on the network.

여기서, 행위기반 분석은 구체적으로 사용자 분포 패턴 분석, 콜행위 패턴 분석 및 네트워크 상태 분석 등을 포함할 수 있다. 각각에 대해 보다 구체적으로 살펴보면, 사용자 분포 패턴 분석은 SIP 주소 분포 분석과 SIP 주소-IP 주소 연계 분석을 포함할 수 있고, 콜행위 패턴 분석은 요청메시지 전송 수 및 비율 분석과, 콜 트랜잭션 비율 분석을 포함할 수 있으며, 네트워크 상태 분석은 SIP 응용트래픽 볼륨 분석과, 미디어 트래픽 품질 분석을 포함할 수 있다. 각각에 대한 자세한 예시적인 분석 항목은 도 3에 정리해 놓았다.Here, the behavior-based analysis may specifically include user distribution pattern analysis, call behavior pattern analysis, network state analysis, and the like. More specifically, the user distribution pattern analysis may include SIP address distribution analysis and SIP address-to-IP address association analysis, and call behavior pattern analysis may include request message transmission rate and rate analysis and call transaction rate analysis. The network state analysis may include SIP application traffic volume analysis and media traffic quality analysis. Detailed exemplary analysis items for each are summarized in FIG. 3.

도 3은 본 발명의 일 실시예에 따른 비정상 VoIP 트래픽 탐지 시스템의 탐지 모듈이 분석하는 행위기반 분석 항목들의 구체적인 예시이다.3 is a detailed example of behavior-based analysis items analyzed by a detection module of an abnormal VoIP traffic detection system according to an embodiment of the present invention.

도 3을 참조하면, SIP 주소 분포 분석은 트래픽의 From-To 비율 분석을, 그리고 SIP 주소-IP 주소 연계 분석은 From-SrcIP 비율 분석을 의미할 수 있다. 또한, 요청메시지 전송 수 및 비율 분석은 INVITE 메시지 전송수 및 비율 분석과, REGISTER 메시지 전송수 및 비율 분석과, BYE 메시지 전송수 및 비율 분석과, CANCEL 메시지 전송수 및 비율 분석과, OPTION 메시지 전송수 및 비율 분석과, MESSAGE 메시지 전송수 및 비율 분석을 포함할 수 있고, 콜 트랜잭션 비율 분석은 INVITE 메시지 대 100Trying 비율 분석과, INVITE 메시지 대 200OK 비율 분석과, REGISTER 메시지 대 200OK 비율 분석과, OPTION 메시지 대 200OK 비율 분석과, MESSAGE 메시지 대 200OK 비율 분석을 포함할 수 있다. 마지막으로, SIP 응용트래픽 볼륨 분석은 SIP bps 분석과, RTP bps 분석과, SIP bytes 비율 분석과, RTP bytes 비율 분석과, RTP bytes 대 세션수 비율 분석을 포함할 수 있으며, 미디어 트래픽 품질 분석은 MoS 분석을 의미할 수 있다. 각 항목에 대한 실제적인 분석 방법의 예시는 도 3에 표시된 설명란을 참고하기 바란다.Referring to FIG. 3, an SIP address distribution analysis may mean a traffic from-to rate analysis, and a SIP address-IP address association analysis may mean a from-srcIP rate analysis. In addition, the request message transmission rate and rate analysis includes INVITE message transmission rate and rate analysis, REGISTER message transmission rate and rate analysis, BYE message transmission rate and rate analysis, CANCEL message transmission rate and rate analysis, and OPTION message transmission number. And rate analysis, MESSAGE message transfer and rate analysis, call transaction rate analysis may include INVITE message to 100Trying rate analysis, INVITE message to 200OK rate analysis, REGISTER message to 200OK rate analysis, and OPTION message to 200OK rate analysis and MESSAGE message to 200OK rate analysis. Finally, SIP application traffic volume analysis can include SIP bps analysis, RTP bps analysis, SIP bytes ratio analysis, RTP bytes ratio analysis, and RTP bytes to session ratio analysis. May mean analysis. For an example of the actual analysis method for each item, please refer to the explanation column shown in FIG. 3.

한편, 휴리스틱 SIP 패턴 변동량 분석은 앞서 설명한 행위기반 분석 항목 중, 그 분석 결과가 비정상으로 탐지된 항목에 대해서 수행될 수 있다. 즉, 휴리스틱 SIP 패턴 변동량 분석은 행위기반 분석 항목 모두에 대해 수행되는 것이 아니고, 상기 행위기반 분석 결과가 비정상으로 탐지된 항목들에 대해서만 그 항목의 최근 변동량을 분석하는 방법으로 수행될 수 있다. 예를 들어, 트래픽에 대한 행위기반 분석 결과, From-To 비율 분석 항목에서 비정상임이 감지되었다면, 탐지 모듈(40)은 분석 대상 트래픽의 최근 From-To 비율 변동량을 기준으로, From-To 비율 분석 항목에 대해 휴리스틱 SIP 패턴 변동량 분석을 수행할 수 있는 것이다.Meanwhile, the heuristic SIP pattern variation analysis may be performed on an item in which the analysis result is abnormally detected among the behavior-based analysis items described above. That is, the heuristic SIP pattern variation analysis may not be performed on all of the behavior-based analysis items, but may be performed by analyzing the recent variation of the items only for those items in which the behavior-based analysis result is abnormally detected. For example, if a behavior-based analysis of the traffic results in abnormality in the From-To ratio analysis item, the detection module 40 determines the From-To rate analysis item based on the recent variation of the From-To rate of the traffic to be analyzed. Heuristic SIP pattern variation analysis can be performed for.

결국, 탐지 모듈(40)은 이러한 행위기반 분석결과와 이러한 휴리스틱 SIP 패턴 변동량 분석 결과를 바탕으로 탐지 점수를 산정하여 그 점수가 일정 임계치 이상이면 분석 대상 트래픽을 공격 트래픽으로 탐지하게 된다. 이에 관한 보다 구체적인 기준 및 그에 관한 상세한 설명은, 추후 본 발명의 일 실시예에 따른 비정상 VoIP 트래픽 탐지 시스템(100)의 탐지 모듈(40)의 동작을 설명하면서 같이 하도록 한다.As a result, the detection module 40 calculates a detection score based on the behavior-based analysis result and the heuristic SIP pattern variation analysis result, and detects the analysis target traffic as the attack traffic when the score is above a predetermined threshold. More specific criteria and detailed description thereof will be described later with the operation of the detection module 40 of the abnormal VoIP traffic detection system 100 according to an embodiment of the present invention.

다시, 도 1을 참조하면, 수집 DB(80)는 탐지 모듈(40)에서 분석 및 탐지한 트래픽 정보를 저장하는 저장소일 수 이고, 통계 DB(85)는 수집 DB(80)로부터 트래픽 정보를 제공받아 탐지 모듈(40)이 트래픽을 분석하는데 필요한 다수의 기준값을 제공하는 저장소일 수 있다. 여기서, 본 발명의 일 실시에에 따른 비정상 VoIP 트래픽 탐지 시스템(100)의 통계 DB(85)가 탐지 모듈(40)에 제공하는 각각의 기준값은 탐지 모듈(40)의 앞서 설명한 트래픽 분석 결과에 따라 실시간으로 그 값이 갱신될 수 있다. 즉, 통계 DB(85)가 탐지 모듈(40)에 제공하는 각각의 기준값은 트래픽 상황이 변동됨에 따라 그 값이 갱신되는, 즉, 트래픽 상황을 실시간으로 반영하는 값일 수 있다.Referring again to FIG. 1, the collection DB 80 may be a store that stores the traffic information analyzed and detected by the detection module 40, and the statistics DB 85 provides the traffic information from the collection DB 80. May be a repository that provides a number of reference values needed for detection module 40 to analyze the traffic. Here, each reference value provided to the detection module 40 by the statistics DB 85 of the abnormal VoIP traffic detection system 100 according to an embodiment of the present invention is determined according to the above-described traffic analysis result of the detection module 40. The value can be updated in real time. That is, each reference value provided by the statistics DB 85 to the detection module 40 may be a value that is updated as the traffic situation changes, that is, reflects the traffic situation in real time.

마지막으로, 로그 DB(90)는 탐지 모듈(40)이 분석 대상 트래픽을 공격 트래픽으로 탐지할 경우, 이에 대한 로그를 저장하는 저장소일 수 있다.Finally, when the detection module 40 detects the traffic to be analyzed as the attack traffic, the log DB 90 may be a store that stores a log thereof.

다음 도 4 내지 도 8을 참조하여, 본 발명의 일 실시예에 따른 비정상 VoIP 트래픽 탐지 시스템(100)의 탐지 모듈(40)의 동작에 대해 설명하도록 한다. 먼저, 도 4 및 도 5를 참조하여, SIP DDoS 공격 탐지 모듈(50)의 동작에 대해 설명하도록 한다.4 to 8, the operation of the detection module 40 of the abnormal VoIP traffic detection system 100 according to an embodiment of the present invention will be described. First, the operation of the SIP DDoS attack detection module 50 will be described with reference to FIGS. 4 and 5.

도 4는 본 발명의 일 실시예에 따른 비정상 VoIP 트래픽 탐지 시스템의 SIP DDoS 탐지 모듈의 동작을 설명하기 위한 순서도이고, 도 5는 본 발명의 일 실시예에 따른 비정상 VoIP 트래픽 탐지 시스템의 SIP DDoS 탐지 모듈의 SIP DDoS 공격 트래픽 탐지 동작을 설명하기 위한 도면이다.4 is a flowchart illustrating an operation of a SIP DDoS detection module of an abnormal VoIP traffic detection system according to an embodiment of the present invention, and FIG. 5 is a SIP DDoS detection of an abnormal VoIP traffic detection system according to an embodiment of the present invention. A diagram illustrating the SIP DDoS attack traffic detection operation of the module.

도 4를 참조하면, 수신 모듈(10)이 넷플로우 기반의 SIP 트래픽 정보를 수신한다(S100). 그리고, 이렇게 수신 모듈(10)을 통해 수신된 트래픽 정보는 임시큐(20) 및 임시 DB(30)을 거쳐 SIP DDoS 공격 탐지 모듈(50)에 제공된다(S102).Referring to FIG. 4, the reception module 10 receives netflow-based SIP traffic information (S100). Then, the traffic information received through the receiving module 10 is provided to the SIP DDoS attack detection module 50 via the temporary queue 20 and the temporary DB 30 (S102).

다음 트래픽 정보를 제공 받은 SIP DDoS 공격 탐지 모듈(50)은 이를 목적지 IP별로 그룹핑한다(S104). 그리고, 각 그룹에 대해 행위기반 분석을 수행한다(S106, S108).The SIP DDoS attack detection module 50 provided with the following traffic information groups them by destination IP (S104). Then, behavior-based analysis is performed for each group (S106 and S108).

구체적으로, SIP DDoS 공격 탐지 모듈(50)은 각 그룹에 대해 아래 표 1에 표시된 항목에 대해 분석을 수행한다. 즉, 트래픽의 From-To 비율, SIP bps, SIP bytes 비율, SIP 요청메시지 전송수 및 비율, 콜 트랜잭션 비율을 표 1에 표시된 기준값과 비교한다. 여기서, 기준값은 앞서 설명한 바와 같이 통계 DB(85)로부터 제공된 값일 수 있다.Specifically, the SIP DDoS attack detection module 50 performs analysis on the items shown in Table 1 below for each group. That is, the traffic from-to rate, SIP bps, SIP bytes rate, SIP request message transmission rate and rate, and call transaction rate are compared with the reference values shown in Table 1. Here, the reference value may be a value provided from the statistics DB 85 as described above.

분석항목Analysis item 기준값Reference value 탐지 방법Detection method From-To 비율From-To Ratio 지난 1달간 동일 요일 동일 시간대 해당항목 평균 + (표준편차*2)
또는,
사용자 지정 고정값 중 더 큰 값Same day over the past month Same time zone Average + (standard deviation * 2)
or,
Larger of user-specified fixed values 기준값 이상 발생시 탐지Detects when a threshold is exceeded SIP bpsSIP bps SIP bytes 비율SIP bytes rate SIP 요청메시지 전송수 및 비율SIP Request Message Transmissions and Rates 요청메시지 전송수 n 회 이상이고, 전송비율이 기준값 넘을 경우 탐지Detects when the requested message is transmitted more than n times and the transmission rate exceeds the threshold 콜 트랜잭션 비율Call transaction rate 기준값 이상 발생시 탐지Detects when a threshold is exceeded

만약, 이 중에서 기준값을 넘는 항목이 존재한다면, 해당 항목에 아래 표 2에 표시된 것과 같은 탐지 점수를 부여한다.If there is an item exceeding the reference value among these, the item is given a detection score as shown in Table 2 below.

분석항목Analysis item From-To 비율From-To Ratio SIP bpsSIP bps SIP bytes 비율SIP bytes rate SIP 요청메시지 전송수 및 비율SIP Request Message Transmissions and Rates 콜 트랜잭션 비율Call transaction rate 탐지 점수Detection score 22 44 33 22 22

즉, 예를 들어 트래픽의 From-To 비율과 SIP bps가 기준값을 넘었다면 그에 해당하는 탐지점수 2+4=6을 부여한다.That is, for example, if the traffic From-To ratio and the SIP bps exceed the reference value, the corresponding detection score 2 + 4 = 6 is assigned.

다음 다시 도 4를 참조하면, 행위기반 분석 결과가 비정상으로 탐지된 항목들에 대해서 휴리스틱 SIP 패턴 변동량 분석을 수행한다(S110, S112).Next, referring back to FIG. 4, heuristic SIP pattern variation analysis is performed on items whose behavior-based analysis results are abnormally detected (S110 and S112).

앞선 예에서, 트래픽의 From-To 비율과 SIP bps만 기준값을 넘었다면, 트래픽의 From-To 비율과 SIP bps에 대해 휴리스틱 SIP 패턴 변동량 분석을 수행한다. 이러한 휴리스틱 SIP 패턴 변동량 분석은 다음과 같이 수행한다.In the previous example, if only the From-To ratio and the SIP bps of the traffic exceeded the reference value, the heuristic SIP pattern variation analysis is performed on the From-To ratio and the SIP bps of the traffic. This heuristic SIP pattern variation analysis is performed as follows.

먼저 각 항목에 대해 아래의 수학식 1에 의해 산정된 T 값을 각각 산정한다.First, T values calculated by Equation 1 below are calculated for each item.

<수학식 1>&Quot; (1) &quot;

T = S + E (여기서, S는 지난 N분간 30초 단위 증가치의 평균, E는 지난 N분간 30초 단위 증가치 변량의 표준편차 * 2)
T = S + E (where S is the mean of 30-second increments over the last N minutes, E is the standard deviation of the variance in 30-second increments over the last N minutes * 2)

그리고, 해당 항목이 산정된 T 값보다 크다면, 그 항목에 대한 표 2에 도시된 탐지 점수에 2를 곱한다.If the item is larger than the calculated T value, the detection score shown in Table 2 for the item is multiplied by two.

즉, 앞선 예에서, 트래픽의 From-To 비율과 SIP bps 중 From-To 비율은 산정된 T 값을 넘지 못했으나, SIP bps는 산정된 T 값을 넘었다면, From-To 비율 항목의 탐지 점수는 그대로 2이나, SIP bps 항목의 탐지 점수는 4에 2를 곱한 8이 된다.That is, in the previous example, if the From-To ratio of the traffic and the From-To ratio of the SIP bps did not exceed the calculated T value, but the SIP bps exceeded the calculated T value, the detection score of the From-To ratio item would be As it is 2, the SIP bps entry's detection score is 4 times 8 times 2.

다음, 도 4를 다시 참조하면, 이렇게 가중치가 반영된 탐지점수를 모두 합한다(S114). 그리고 탐지 점수의 합이 일정 임계치(예를 들어, 10) 이상이면 분석 대상 트래픽을 잠재적 SIP DDoS 공격 트래픽으로 탐지한다(S116).Next, referring back to FIG. 4, all the detection scores reflecting the weights are summed (S114). If the sum of the detection scores is equal to or greater than a predetermined threshold (eg, 10), the traffic to be analyzed is detected as potential SIP DDoS attack traffic (S116).

앞선, 예에서 트래픽의 From-To 비율 탐지 점수는 2이고, SIP bps 탐지 점수는 8이고, SIP bytes 비율, SIP 요청메시지 전송수 및 비율, 콜 트랜잭션 비율의 탐지 점수는 0이므로, 그 합은 10이 된다. 따라서, SIP DDoS 공격 탐지 모듈(50)은 분석 대상 트래픽을 잠재적 SIP DDoS 공격 트래픽으로 탐지한다.Earlier, in the example, the traffic from-to-rate detection score was 2, the SIP bps detection score was 8, the SIP bytes rate, the number and rate of SIP request message transmissions, and the call transaction rate were 0, so the sum is 10 Becomes Accordingly, the SIP DDoS attack detection module 50 detects the traffic to be analyzed as potential SIP DDoS attack traffic.

다음, 탐지된 잠재적 SIP DDoS 공격 트래픽에 대해 요청 메소드 및 응답 매소드를 분석하여 SIP DDoS 공격 트래픽인지 탐지한다(S118, S120). 즉, SIP DDoS 공격 탐지 모듈(50)은 잠재적 SIP DDoS 공격 트래픽에 요청 메소드 개수는 0보다 크나 ACK 메소드가 0인 경우, 또는 요청 메소드 개수에 대한 응답 메소드 개수의 비율이 5를 초과하는 경우, 잠재적 SIP DDoS 공격 트래픽을 SIP DDoS 공격 트래픽으로 탐지한다.Next, it analyzes the request method and response method for the detected potential SIP DDoS attack traffic and detects whether it is SIP DDoS attack traffic (S118, S120). That is, the SIP DDoS attack detection module 50 may determine that the number of request methods is greater than zero in the potential SIP DDoS attack traffic when the ACK method is 0, or when the ratio of the number of response methods to the number of request methods exceeds 5, SIP DDoS attack traffic is detected as SIP DDoS attack traffic.

일반적으로 분석 대상 트래픽이 SIP DDoS 공격 트래픽이라면, 도 5의 (a)에 도시된 정상적인 상황과 달리 도 5의 (b)도시된 것처럼, 트래픽 내에 ACK 메소드가 존재하지 않거나, 요청(Request) 메소드에 대한 응답(Response) 메소드의 비율이 지나치게 높을 수(예를 들어, 응답 메소드 개수/ 요청 메소드 개수 > 5) 있다. 따라서, SIP DDoS 공격 탐지 모듈(50)은 분석 트래픽의 ACK 메소드 개수가 없거나, 요청 메소드에 대한 응답 메소드의 비율이 5를 초과하면, 분석 대상 트래픽을 SIP DDoS 공격 트래픽으로 탐지한다.In general, if the traffic to be analyzed is SIP DDoS attack traffic, unlike in the normal situation illustrated in FIG. 5A, as shown in FIG. 5B, there is no ACK method in the traffic or a request method. The ratio of response methods to the response may be too high (for example, the number of response methods / the number of request methods> 5). Accordingly, the SIP DDoS attack detection module 50 detects the traffic to be analyzed as SIP DDoS attack traffic when there is no ACK method number of analysis traffic or the ratio of response methods to the request method exceeds 5.

다음, SIP DDoS 공격 트래픽으로 탐지된 트래픽에는 태그(Tag)를 부착하고(S122), 정상 트래픽은 태그를 부착하지 않은 상태로 이들을 수집 DB(80)에 저장한다(S200). 그리고, 통계 DB(85)는 수집 DB(80)에 저장된 트래픽 정보 중 태그가 부착되지 않은 정상 트래픽 정보만을 가져와 기존에 저장된 각 분석 항목별 기준값을 갱신한다(S210, S220).Next, a tag (Tag) is attached to the traffic detected as SIP DDoS attack traffic (S122), and normal traffic stores them in the collection DB 80 without tagging (S200). In addition, the statistics DB 85 obtains only normal traffic information without tagging among the traffic information stored in the collection DB 80, and updates the reference values for the respective analysis items previously stored (S210 and S220).

다음, 도 6을 참조하여, SIP SCAN 공격 탐지 모듈(60)의 동작에 대해 설명하도록 한다.Next, the operation of the SIP SCAN attack detection module 60 will be described with reference to FIG. 6.

도 6은 본 발명의 일 실시예에 따른 비정상 VoIP 트래픽 탐지 시스템의 SIP SCAN 탐지 모듈의 동작을 설명하기 위한 순서도이다.6 is a flowchart illustrating an operation of a SIP SCAN detection module of an abnormal VoIP traffic detection system according to an embodiment of the present invention.

도 6을 참조하면, 수신 모듈(10)이 넷플로우 기반의 SIP 트래픽 정보를 수신한다(S100). 그리고, 이렇게 수신 모듈(10)을 통해 수신된 트래픽 정보는 임시큐(20) 및 임시 DB(30)을 거쳐 SIP SCAN 공격 탐지 모듈(60)에 제공된다(S102).Referring to FIG. 6, the receiving module 10 receives netflow based SIP traffic information (S100). Then, the traffic information received through the receiving module 10 is provided to the SIP SCAN attack detection module 60 via the temporary queue 20 and the temporary DB 30 (S102).

다음, 트래픽 정보를 제공 받은 SIP SCAN 공격 탐지 모듈(60)은 이를 발신지 IP별로 그룹핑한다(S130). 그리고, 각 그룹에 대해 행위기반 분석을 수행한다(S132, S134).Next, the SIP SCAN attack detection module 60 provided with the traffic information groups them by source IP (S130). Then, behavior-based analysis is performed for each group (S132, S134).

구체적으로, SIP SCAN 공격 탐지 모듈(60)은 각 그룹에 대해 아래 표 3에 표시된 항목에 대해 분석을 수행한다. 이러한 분석 방법은 앞서 설명한 SIP DDoS 공격 탐지 모듈(50)과 유사한바, 중복된 자세한 설명은 생략하도록 한다.Specifically, the SIP SCAN attack detection module 60 performs an analysis on the items shown in Table 3 below for each group. This analysis method is similar to the SIP DDoS attack detection module 50 described above, and thus redundant description will be omitted.

분석항목Analysis item 기준값Reference value 탐지 방법Detection method SIP bps SIP bps 지난 1주일간 최대 콜 발신자의 해당항목 평균 + (표준편차*2)
또는,
사용자 지정 고정값 중 더 큰 값Average of the callers' maximum for the last week plus + (standard deviation * 2)
or,
Larger of user-specified fixed values 기준값 이상 발생시 탐지Detects when a threshold is exceeded SIP byte 비율SIP byte rate SIP 요청메시지 전송수 및 비율SIP Request Message Transmissions and Rates 요청메시지 전송수 n 회 이상이고, 전송비율이 기준값 넘을 경우 탐지Detects when the requested message is transmitted more than n times and the transmission rate exceeds the threshold 콜 트랜잭션 비율Call transaction rate 기준값 이상 발생시 탐지Detects when a threshold is exceeded

만약, 이 중에서 기준값을 넘는 항목이 존재한다면, 해당 항목에 아래 표 4에 표시된 것과 같은 탐지 점수를 부여한다.If there is an item exceeding the reference value among these, the item is given a detection score as shown in Table 4 below.

분석항목Analysis item SIP bpsSIP bps SIP bytes 비율SIP bytes rate SIP 요청메시지 전송수 및 비율SIP Request Message Transmissions and Rates 콜 트랜잭션 비율Call transaction rate 탐지 점수Detection score 55 44 88 66

그리고, 항목별 탐지 점수 들을 합산한다(S136). 그리고 탐지 점수의 합이 일정 임계치(예를 들어, 10) 이상이면 분석 대상 트래픽을 SIP SCAN 공격 트래픽으로 탐지한다(S138).Then, the detection scores for each item are added up (S136). If the sum of the detection scores is equal to or greater than a predetermined threshold (eg, 10), the traffic to be analyzed is detected as SIP SCAN attack traffic (S138).

다음, SIP SCAN 공격 트래픽으로 탐지된 트래픽에는 태그(Tag)를 부착하고(S140), 정상 트래픽은 태그를 부착하지 않은 상태로 이들을 수집 DB(80)에 저장한다(S200). 그리고, 통계 DB(85)는 수집 DB(80)에 저장된 트래픽 정보 중 태그가 부착되지 않은 정상 트래픽 정보만을 가져와 기존에 저장된 각 분석 항목별 기준값을 갱신한다(S210, S220).Next, a tag (Tag) is attached to the traffic detected as SIP SCAN attack traffic (S140), and normal traffic stores them in the collection DB 80 without tagging (S200). In addition, the statistics DB 85 obtains only normal traffic information without tagging among the traffic information stored in the collection DB 80, and updates the reference values for the respective analysis items previously stored (S210 and S220).

다음, 도 7을 참조하여, RTP DDoS 공격 탐지 모듈(70)의 동작에 대해 설명하도록 한다.Next, the operation of the RTP DDoS attack detection module 70 will be described with reference to FIG. 7.

도 7은 본 발명의 일 실시예에 따른 비정상 VoIP 트래픽 탐지 시스템의 RTP DDoS 탐지 모듈의 동작을 설명하기 위한 순서도이다.7 is a flowchart illustrating the operation of the RTP DDoS detection module of the abnormal VoIP traffic detection system according to an embodiment of the present invention.

도 7을 참조하면, 수신 모듈(10)이 넷플로우 기반의 SIP 트래픽 정보를 수신한다(S100). 그리고, 이렇게 수신 모듈(10)을 통해 수신된 트래픽 정보는 임시큐(20) 및 임시 DB(30)을 거쳐 RTP DDoS 공격 탐지 모듈(70)에 제공된다(S102).Referring to FIG. 7, the receiving module 10 receives netflow-based SIP traffic information (S100). Then, the traffic information received through the receiving module 10 is provided to the RTP DDoS attack detection module 70 via the temporary queue 20 and the temporary DB 30 (S102).

다음, 트래픽 정보를 제공 받은 RTP DDoS 공격 탐지 모듈(70)은 이를 발신지 IP별로 그룹핑한다(S150). 그리고, 각 그룹에 대해 행위기반 분석을 수행한다(S152, S154).Next, the RTP DDoS attack detection module 70 provided with the traffic information groups them by source IP (S150). Then, behavior-based analysis is performed for each group (S152 and S154).

구체적으로, RTP DDoS 공격 탐지 모듈(70)은 각 그룹에 대해 아래 표 5에 표시된 항목에 대해 분석을 수행한다. 이러한 분석 방법 역시 앞서 설명한 SIP DDoS 공격 탐지 모듈(50) 및 SIP SCAN 공격 탐지 모듈(60)과 유사한바, 중복된 자세한 설명은 생략하도록 한다.Specifically, the RTP DDoS attack detection module 70 performs analysis on the items shown in Table 5 below for each group. This analysis method is also similar to the SIP DDoS attack detection module 50 and the SIP SCAN attack detection module 60 described above, so the detailed description thereof will be omitted.

분석항목Analysis item 기준값Reference value 탐지 방법Detection method RTP bps RTP bps 지난 1달간 동일 요일 동일 시간대 해당항목 평균 + (표준편차*2)
또는,
사용자 지정 고정값 중 더 큰 값 Same day over the past month Same time zone Average + (standard deviation * 2)
or,
Larger of user-specified fixed values 기준값 이상 발생시 탐지Detects when a threshold is exceeded RTP byte 비율RTP byte rate MoSMoS 사용자 지정 고정값Custom fixed value 기준값 이하 발생시 탐지Detect when below standard value

만약, 이 중에서 기준값 이상인 항목(RTP bps, RTP byte 비율)이 존재하거나, 기준값 이하인 항목(MoS)이 존재하한다면, 해당 항목에 아래 표 6에 표시된 것과 같은 탐지 점수를 부여한다.If there is an item (RTP bps, RTP byte ratio) that is greater than or equal to the reference value or an item (MoS) that is less than or equal to the reference value, a detection score as shown in Table 6 below is assigned to the item.

분석항목Analysis item RTP bpsRTP bps RTP bytes 비율RTP bytes rate MoSMoS 탐지 점수Detection score 22 88 1010

그리고, 항목별 탐지 점수 들을 합산한다(S156). 그리고 탐지 점수의 합이 일정 임계치(예를 들어, 10) 이상이면 분석 대상 트래픽을 잠재적 RTP DDoS 공격 트래픽으로 탐지한다(S158).Then, the detection scores for each item are added up (S156). If the sum of the detection scores is equal to or greater than a predetermined threshold (eg, 10), the traffic to be analyzed is detected as potential RTP DDoS attack traffic (S158).

다음, 탐지된 잠재적 RTP DDoS 공격 트래픽이 매칭되는 매칭되는 SIP 세션이 없는 RTP 플로우 이거나, 잠재적 RTP DDoS 공격 트래픽의 (InBytes/OutBytes*100) 값이 특정값(예를 들어, k)보다 크면 잠재적 RTP DDoS 공격 트래픽을 RTP DDoS 공격 트래픽으로 탐지한다(S1160, S162). 그리고, RTP DDoS 공격 트래픽으로 탐지된 트래픽에는 태그(Tag)를 부착하고(S164), 정상 트래픽은 태그를 부착하지 않은 상태로 이들을 수집 DB(80)에 저장한다(S200). 그리고, 통계 DB(85)는 수집 DB(80)에 저장된 트래픽 정보 중 태그가 부착되지 않은 정상 트래픽 정보만을 가져와 기존에 저장된 각 분석 항목별 기준값을 갱신한다(S210, S220).Next, if the detected potential RTP DDoS attack traffic has no matching SIP session matching, or if the value of (InBytes / OutBytes * 100) of the potential RTP DDoS attack traffic is greater than a certain value (e.g., k), then the potential RTP DDoS attack traffic is detected as RTP DDoS attack traffic (S1160, S162). Then, a tag (Tag) is attached to the traffic detected as RTP DDoS attack traffic (S164), and normal traffic stores them in the collection DB 80 without tagging (S200). In addition, the statistics DB 85 obtains only normal traffic information without tagging among the traffic information stored in the collection DB 80, and updates the reference values for the respective analysis items previously stored (S210 and S220).

다음, 도 8을 참조하여 본 발명의 일 실시예에 따른 비정상 VoIP 트래픽 탐지 시스템의 효과에 대해 설명한다.Next, with reference to Figure 8 will be described the effect of the abnormal VoIP traffic detection system according to an embodiment of the present invention.

도 8은 본 발명의 일 실시예에 따른 비정상 VoIP 트래픽 탐지 시스템의 효과를 설명하기 위한 도면이다.8 is a view for explaining the effect of the abnormal VoIP traffic detection system according to an embodiment of the present invention.

본 발명의 일 실시예에 따른 비정상 VoIP 트래픽 탐지 시스템(100)의 경우, 네트워크(예를 들어, VoIP 네트워크) 상의 비정상 SIP 트래픽이 탐지 가능할 수 있다. 도 8을 참조하여 보다 구체적으로 설명하면, 종래의 비정상 트래픽 탐지 시스템의 경우, 5-tuple 정보에 의해서만 비정상 트래픽을 탐지했기 때문에 도 8과 같이 IP 레벨에서 하나의 발신지(source)에서 하나의 목적지(destination)으로 흐르는 트래픽의 경우에는 비록, 응용 레벨에서 서로 다른 여러 개의 URI(서로 다른 여러 개의 From)를 사용하여 하나의 타겟(하나의 To)을 공격한다 하더라도 이를 DDoS 공격으로 탐지하지 못하였다.In the case of an abnormal VoIP traffic detection system 100 according to an embodiment of the present invention, abnormal SIP traffic on a network (for example, a VoIP network) may be detected. Referring to FIG. 8, in the case of the conventional abnormal traffic detection system, since abnormal traffic is detected only by 5-tuple information, one destination (one source) at one source (IP) at the IP level as shown in FIG. In the case of traffic flowing to a destination, even though a different URI (multiple different From) is used to attack one target (one To) at the application level, it is not detected as a DDoS attack.

하지만, 본 발명의 일 실시예에 따른 비정상 VoIP 트래픽 탐지 시스템(100)은 응용 레벨에서 앞서 설명한 바와 같이 다양한 정보를 바탕으로 DDoS 공격 트래픽을 탐지하기 때문에, 도 8에 도시된 것과 같은 SIP DDoS 공격 트래픽의 탐지가 가능하다.However, since the abnormal VoIP traffic detection system 100 according to an embodiment of the present invention detects the DDoS attack traffic based on various information as described above at the application level, the SIP DDoS attack traffic as shown in FIG. Detection is possible.

또한, 본 발명의 일 실시예에 따른 비정상 VoIP 트래픽 탐지 시스템(100)은 앞서 설명한 것과 같이 행위기반 분석과 휴리스틱 SIP 패턴 변동량 분석을 단계적으로 수행하여 잠재적 SIP DDoS 공격 트래픽을 탐지하고, 이러한 잠재적 SIP DDoS 공격 트래픽에 대해 요청 메소드 및 응답 매소드를 분석하여 잠재적 SIP DDoS 공격 트래픽을 SIP DDoS 공격 트래픽으로 탐지하기 때문에, 체계적인 단계에 따라 VoIP 네트워크 상의 비정상 SIP 트래픽을 탐지하는 것이 가능하다.In addition, the abnormal VoIP traffic detection system 100 according to an embodiment of the present invention detects potential SIP DDoS attack traffic by performing behavior-based analysis and heuristic SIP pattern variation analysis in stages as described above, and this potential SIP DDoS. By analyzing the request method and response method for attack traffic and detecting potential SIP DDoS attack traffic as SIP DDoS attack traffic, it is possible to detect abnormal SIP traffic on VoIP network according to systematic steps.

이상 첨부된 도면을 참조하여 본 발명의 실시예들을 설명하였으나, 본 발명은 상기 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 제조될 수 있으며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.Although the embodiments of the present invention have been described above with reference to the accompanying drawings, the present invention is not limited to the above embodiments but may be manufactured in various forms, and having ordinary skill in the art to which the present invention pertains. It will be understood by those skilled in the art that the present invention may be embodied in other specific forms without changing the technical spirit or essential features of the present invention. It is therefore to be understood that the above-described embodiments are illustrative in all aspects and not restrictive.

10: 수신 모듈 40: 탐지 모듈
50: SIP DDoS 공격 탐지 모듈 60: SIP SCAN 공격 탐지 모듈
70: RTP DDoS 공격 탐지 모듈 80: 수집 DB
85: 통계 DB 90: 로그 DB10: receiving module 40: detection module
50: SIP DDoS attack detection module 60: SIP SCAN attack detection module
70: RTP DDoS attack detection module 80: collection DB
85: statistics DB 90: logs DB

Claims (13)

네트워크 상의 트래픽 정보를 수신하는 수신 모듈;
상기 수신 모듈로부터 상기 트래픽 정보를 제공받고 상기 트래픽을 분석하여, 상기 네트워크에 SIP DDoS 공격, SIP SCAN 공격 또는 RTP DDoS 공격이 있는지 탐지하는 탐지 모듈; 및
상기 탐지 모듈이 상기 트래픽을 분석하는데 필요한 다수의 기준값을 제공하는 통계 DB를 포함하되,
상기 SIP DDoS 공격 트래픽을 탐지하는 것은, 상기 네트워크 상의 트래픽에 대해 행위기반 분석과 휴리스틱 SIP 패턴 변동량 분석을 수행하여 잠재적 SIP DDoS 공격 트래픽을 탐지하는 것과, 상기 잠재적 SIP DDoS 공격 트래픽에 대해 요청 메소드 및 응답 매소드를 분석하여 상기 잠재적 SIP DDoS 공격 트래픽을 상기 SIP DDoS 공격 트래픽으로 탐지하는 것을 포함하고,
상기 휴리스틱 SIP 패턴 변동량 분석은 상기 행위기반 분석 결과 비정상으로 판단된 항목의 최근 변동량을 분석하는 것을 포함하는 비정상 VoIP 트래픽 탐지 시스템.A receiving module for receiving traffic information on the network;
A detection module receiving the traffic information from the receiving module and analyzing the traffic to detect whether there is a SIP DDoS attack, a SIP SCAN attack or an RTP DDoS attack in the network; And
A statistics DB providing the plurality of reference values needed for the detection module to analyze the traffic,
Detecting the SIP DDoS attack traffic includes detecting behavioral SIP DDoS attack traffic by performing behavior-based analysis and heuristic SIP pattern variation analysis on the traffic on the network, and requesting method and response to the potential SIP DDoS attack traffic. Analyzing a method to detect the potential SIP DDoS attack traffic as the SIP DDoS attack traffic,
The heuristic SIP pattern variation analysis includes analyzing a recent variation of an item determined as abnormal as a result of the behavior-based analysis. 제 1항에 있어서,
상기 네트워크는 VoIP 네트워크를 포함하고,
상기 트래픽 정보는 넷플로우(netflow) 기반의 SIP 트래픽 정보를 포함하는 비정상 VoIP 트래픽 탐지 시스템.The method of claim 1,
The network comprises a VoIP network,
The traffic information abnormal VoIP traffic detection system including netflow (Netflow) based SIP traffic information. 제 1항에 있어서,
상기 행위기반 분석은 사용자 분포 패턴 분석, 콜행위 패턴 분석 및 네트워크 상태 분석을 포함하는 비정상 VoIP 트래픽 탐지 시스템.The method of claim 1,
The behavior-based analysis includes abnormal VoIP traffic detection system including user distribution pattern analysis, call behavior pattern analysis, and network state analysis. 제 3항에 있어서,
상기 사용자 분포 패턴 분석은 SIP 주소 분포 분석과 SIP 주소-IP 주소 연계 분석을 포함하고,
상기 콜행위 패턴 분석은 요청메시지 전송 수 및 비율 분석과, 콜 트랜잭션 비율 분석을 포함하고,
상기 네트워크 상태 분석은 SIP 응용트래픽 볼륨 분석과, 미디어 트래픽 품질 분석을 포함하는 비정상 VoIP 트래픽 탐지 시스템.The method of claim 3, wherein
The user distribution pattern analysis includes SIP address distribution analysis and SIP address-IP address association analysis,
The call behavior pattern analysis includes request message transmission number and rate analysis and call transaction rate analysis.
The network state analysis includes an SIP application traffic volume analysis and media traffic quality analysis. 삭제delete 제 1항에 있어서,
상기 SIP DDoS 공격에 대한 탐지는 상기 행위기반 분석결과와 상기 휴리스틱 SIP 패턴 변동량 분석 결과를 바탕으로 탐지 점수를 산정하여 그 점수가 일정 임계치 이상이면 상기 트래픽을 SIP DDoS 공격 트래픽으로 탐지하는 것을 포함하는 비정상 VoIP 트래픽 탐지 시스템.The method of claim 1,
The detection of the SIP DDoS attack includes calculating a detection score based on the behavior-based analysis result and the heuristic SIP pattern variation analysis result, and detecting the traffic as the SIP DDoS attack traffic when the score is above a predetermined threshold. VoIP traffic detection system. 제 1항에 있어서,
상기 탐지 모듈은 SIP DDoS 공격 탐지 모듈, SIP SCAN 공격 탐지 모듈 및 RTP DDoS 공격 탐지 모듈을 포함하는 비정상 VoIP 트래픽 탐지 시스템.The method of claim 1,
The detection module is an abnormal VoIP traffic detection system including a SIP DDoS attack detection module, SIP SCAN attack detection module and RTP DDoS attack detection module. 제 7항에 있어서,
상기 SIP DDoS 공격 탐지 모듈은 상기 트래픽의 From-To 비율, SIP bps, SIP bytes 비율, SIP 요청메시지 전송수 및 비율, 콜 트랜잭션 비율 중 어느 하나의 항목이 상기 각각의 기준값보다 크면 그에 해당하는 탐지 점수를 산정하고,
상기 기준값보다 큰 항목이 아래의 수식으로 산정된 T값보다도 크면, 해당 탐지 점수에 2를 곱하고,
상기 모든 항목에 대한 상기 탐지 점수의 합이 일정 임계치 이상이면 상기 트래픽을 상기 잠재적 SIP DDoS 공격 트래픽으로 탐지하는 비정상 VoIP 트래픽 탐지 시스템.

T=S+E (여기서, S는 지난 N분간 30초 단위 증가치의 평균, E는 지난 N분간 30초 단위 증가치 변량의 표준편차 * 2)8. The method of claim 7,
The SIP DDoS attack detection module detects a corresponding score if any one of the From-To rate, the SIP bps, the SIP bytes rate, the number and rate of SIP request message transmissions, and the call transaction rate is greater than each reference value. Calculate the
If the item larger than the reference value is larger than the T value calculated by the following equation, the detection score is multiplied by 2,
An abnormal VoIP traffic detection system for detecting the traffic as the potential SIP DDoS attack traffic if the sum of the detection scores for all the items is equal to or greater than a predetermined threshold.

T = S + E, where S is the mean of 30 second increments over the last N minutes, and E is the standard deviation of the variance over 30 seconds increments over the last N minutes * 2 제 8항에 있어서,
상기 SIP DDoS 공격 탐지 모듈은 상기 잠재적 SIP DDoS 공격 트래픽에 요청 메소드 개수는 0보다 크나 ACK 메소드가 0인 경우, 또는 요청 메소드 개수에 대한 응답 메소드 개수의 비율이 5를 초과하는 경우, 상기 잠재적 SIP DDoS 공격 트래픽을 상기 SIP DDoS 공격 트래픽으로 탐지하는 비정상 VoIP 트래픽 탐지 시스템.The method of claim 8,
The SIP DDoS attack detection module determines that the potential SIP DDoS attacks have potential SIP DDoS attack traffic when the number of request methods is greater than zero but the ACK method is zero, or when the ratio of the number of response methods to the number of request methods exceeds five. An abnormal VoIP traffic detection system for detecting attack traffic as the SIP DDoS attack traffic. 제 7항에 있어서,
상기 SIP SCAN 공격 탐지 모듈은 상기 트래픽의 SIP bps, SIP bytes 비율, SIP 요청메시지 전송수 및 비율, 콜 트랜잭션 비율 중 어느 하나의 항목이 상기 각각의 기준값보다 크면 그에 해당하는 탐지 점수를 산정하고,
상기 모든 항목에 대한 상기 탐지 점수의 합이 일정 임계치 이상이면 상기 트래픽을 상기 SIP SCAN 공격 트래픽으로 탐지하는 비정상 VoIP 트래픽 탐지 시스템.8. The method of claim 7,
The SIP SCAN attack detection module calculates a detection score corresponding to any one item of the SIP bps, the SIP bytes rate, the number and rate of SIP request message transmissions, and the call transaction rate of the traffic that is greater than each reference value.
And detecting the traffic as the SIP SCAN attack traffic when the sum of the detection scores for all the items is equal to or greater than a predetermined threshold. 제 7항에 있어서,
상기 RTP DDoS 공격 탐지 모듈은 상기 트래픽의 RTP bps, RTP bytes 비율, MoS값 중 어느 하나의 항목이 상기 각각의 기준값보다 크거나 작으면 그에 해당하는 점수를 산정하고,
상기 모든 항목에 대한 상기 탐지 점수의 합이 일정 임계치 이상이면 상기 트래픽을 상기 잠재적 RTP DDoS 공격 트래픽으로 탐지하는 비정상 VoIP 트래픽 탐지 시스템.8. The method of claim 7,
The RTP DDoS attack detection module calculates a corresponding score when any one item of the RTP bps, RTP bytes rate, and MoS value of the traffic is larger or smaller than each reference value.
An abnormal VoIP traffic detection system for detecting the traffic as the potential RTP DDoS attack traffic if the sum of the detection scores for all the items is equal to or greater than a predetermined threshold. 제 11항에 있어서,
상기 RTP DDoS 공격 탐지 모듈은 상기 잠재적 RTP DDoS 공격 트래픽이 매칭되는 매칭되는 SIP 세션이 없는 RTP 플로우 이거나, 상기 잠재적 RTP DDoS 공격 트래픽의 (InBytes/OutBytes*100) 값이 특정값보다 크면 상기 잠재적 RTP DDoS 공격 트래픽을 상기 RTP DDoS 공격 트래픽으로 탐지하는 비정상 VoIP 트래픽 탐지 시스템.12. The method of claim 11,
The RTP DDoS attack detection module is an RTP flow without a matching SIP session to which the potential RTP DDoS attack traffic is matched, or if the value of (InBytes / OutBytes * 100) of the potential RTP DDoS attack traffic is greater than a specific value, the potential RTP DDoS attack traffic module. An abnormal VoIP traffic detection system for detecting attack traffic as the RTP DDoS attack traffic. 제 1항에 있어서,
상기 기준값은 상기 탐지 모듈의 상기 트래픽 분석 결과에 따라 실시간으로 갱신되는 비정상 VoIP 트래픽 탐지 시스템.The method of claim 1,
The reference value is abnormal VoIP traffic detection system is updated in real time according to the traffic analysis result of the detection module.
KR1020100133529A 2010-12-23 2010-12-23 System for detecting abnormal VoIP traffic using heuristic statistic-information KR101177049B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100133529A KR101177049B1 (en) 2010-12-23 2010-12-23 System for detecting abnormal VoIP traffic using heuristic statistic-information

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100133529A KR101177049B1 (en) 2010-12-23 2010-12-23 System for detecting abnormal VoIP traffic using heuristic statistic-information

Publications (2)

Publication Number Publication Date
KR20120071831A KR20120071831A (en) 2012-07-03
KR101177049B1 true KR101177049B1 (en) 2012-08-27

Family

ID=46706736

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100133529A KR101177049B1 (en) 2010-12-23 2010-12-23 System for detecting abnormal VoIP traffic using heuristic statistic-information

Country Status (1)

Country Link
KR (1) KR101177049B1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101492733B1 (en) * 2013-10-02 2015-02-12 서울과학기술대학교 산학협력단 Method for detecting toll fraud attack in Voice over Internet Protocol service using novelty detection technique
KR102616173B1 (en) * 2018-08-02 2023-12-19 주식회사 케이티 Method and apparatus for detecting anomalous traffic

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100809422B1 (en) * 2006-09-29 2008-03-05 한국전자통신연구원 Intrusion prevention apparatus based on alert severity of signiture detection and abnormal traffic and method thereof
US20080141371A1 (en) 2006-12-11 2008-06-12 Bradicich Thomas M Heuristic malware detection

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100809422B1 (en) * 2006-09-29 2008-03-05 한국전자통신연구원 Intrusion prevention apparatus based on alert severity of signiture detection and abnormal traffic and method thereof
US20080141371A1 (en) 2006-12-11 2008-06-12 Bradicich Thomas M Heuristic malware detection

Also Published As

Publication number Publication date
KR20120071831A (en) 2012-07-03

Similar Documents

Publication Publication Date Title
AU2018301643B2 (en) Fraud detection system and method
US10027665B2 (en) Method and system for tracking machines on a network using fuzzy guid technology
US10169460B2 (en) Client application fingerprinting based on analysis of client requests
US10686814B2 (en) Network anomaly detection
US10291539B2 (en) Methods, systems, and computer readable media for discarding messages during a congestion event
US8621638B2 (en) Systems and methods for classification of messaging entities
KR101061375B1 (en) JR type based DDoS attack detection and response device
US8650287B2 (en) Local reputation to adjust sensitivity of behavioral detection system
US8966627B2 (en) Method and apparatus for defending distributed denial-of-service (DDoS) attack through abnormally terminated session
US7676217B2 (en) Method for malicious traffic recognition in IP networks with subscriber identification and notification
US20100122344A1 (en) Systems and methods for detecting and preventing flooding attacks in a network environment
US20030074582A1 (en) Method and apparatus for providing node security in a router of a packet network
US20080101234A1 (en) Identification of potential network threats using a distributed threshold random walk
US20200389487A1 (en) Methods and systems for reducing unwanted data traffic in a computer network
US20140189867A1 (en) DDoS ATTACK PROCESSING APPARATUS AND METHOD IN OPENFLOW SWITCH
US20190158534A1 (en) Isp blacklist feed
US20060174001A1 (en) Responding to malicious traffic using separate detection and notification methods
KR101107739B1 (en) Detection system for abnormal traffic in voip network and method for detecting the same
KR100684602B1 (en) Corresponding system for invasion on scenario basis using state-transfer of session and method thereof
CN106534068A (en) Method and device for cleaning forged source IP in DDOS (Distributed Denial of Service) defense system
EP2053783A1 (en) Method and system for identifying VoIP traffic in networks
KR101177049B1 (en) System for detecting abnormal VoIP traffic using heuristic statistic-information
CN110061998B (en) Attack defense method and device
KR101061377B1 (en) Distribution based DDoS attack detection and response device
EP2109281A1 (en) Method and system for server-load and bandwidth dependent mitigation of distributed denial of service attacks

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150813

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee