KR101190816B1 - SIP DoS 및 SPAM 공격 탐지 시스템 및 그 탐지 방법 - Google Patents

SIP DoS 및 SPAM 공격 탐지 시스템 및 그 탐지 방법 Download PDF

Info

Publication number
KR101190816B1
KR101190816B1 KR1020110005016A KR20110005016A KR101190816B1 KR 101190816 B1 KR101190816 B1 KR 101190816B1 KR 1020110005016 A KR1020110005016 A KR 1020110005016A KR 20110005016 A KR20110005016 A KR 20110005016A KR 101190816 B1 KR101190816 B1 KR 101190816B1
Authority
KR
South Korea
Prior art keywords
sip
packet
attack detection
spam
dos
Prior art date
Application number
KR1020110005016A
Other languages
English (en)
Other versions
KR20120083719A (ko
Inventor
김정욱
이창용
김환국
고경희
정현철
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020110005016A priority Critical patent/KR101190816B1/ko
Publication of KR20120083719A publication Critical patent/KR20120083719A/ko
Application granted granted Critical
Publication of KR101190816B1 publication Critical patent/KR101190816B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/75Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by inhibiting the analysis of circuitry or operation
    • G06F21/755Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by inhibiting the analysis of circuitry or operation with measures against power attack
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/40Transformation of program code
    • G06F8/41Compilation
    • G06F8/44Encoding
    • G06F8/443Optimisation
    • G06F8/4434Reducing the memory space required by the program code
    • G06F8/4435Detection or removal of dead or redundant code
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/30Arrangements for executing machine instructions, e.g. instruction decode
    • G06F9/30003Arrangements for executing specific machine instructions
    • G06F9/30007Arrangements for executing specific machine instructions to perform operations on data operands
    • G06F9/30036Instructions to perform operations on packed data, e.g. vector, tile or matrix operations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1101Session protocols
    • H04L65/1104Session initiation protocol [SIP]

Abstract

실제 트래픽 특성을 반영한 탐지 임계값을 이용하여 SIP DoS 공격을 탐지 및 차단하고, 통화 세션별 통화 패턴을 분석하여 네트워크 상에 존재하는 SPAM 공격을 탐지 및 차단할 수 있는 SIP DoS 및 SPAM 공격 탐지 시스템이 제공된다. SIP DoS 및 SPAM 공격 탐지 시스템은 네트워크로부터 SIP 패킷을 수신 받아 이를 디코딩하는 SIP 패킷 디코딩 모듈, SIP 패킷 디코딩 모듈로부터 디코딩된 SIP 패킷을 제공받아 SIP DoS 공격 탐지 룰별 임계값을 생성하는 임계값 생성 모듈, 임계값 생성 모듈로부터 SIP DoS 공격 탐지 룰별 임계값을 제공 받고, 이를 이용하여 입력 트래픽 중 SIP DoS 공격 패킷을 차단하는 SIP DoS 공격 탐지 모듈, 및 입력 트래픽의 각 통화 세션별 통화 패턴을 분석하여 입력 트래픽에 SPAM 공격이 존재하는지 탐지하는 SIP SPAM 공격 탐지 모듈을 포함한다.

Description

SIP DoS 및 SPAM 공격 탐지 시스템 및 그 탐지 방법{System for detecting SIP Denial of Service attack and SPAM attack and method for detecting the same}
본 발명은 SIP DoS 및 SPAM 공격 탐지 시스템 및 그 탐지 방법에 관한 것이다.
SIP(Session Initiation Protocol)는 멀티 미디어 세션(session)을 설정하고, 변경하며, 종료시키는데 이용되는 응용 계층(application level) 프로토콜이다. 이러한 SIP를 기반으로 한 서비스로는 VoIP(Voice over Internet Protocol) 서비스, 인스턴트 메시지(instant messaging) 서비스, 비디오 컨퍼런스 서비스 등을 들 수 있는데, 이러한 서비스들은 점점 더 현대인들의 생활과 밀접하게 연관되고 있다.
한편, 이러한 SIP 기반 서비스들이 보편화 되면서 이를 이용한 다양한 악성 공격들도 날로 늘어나고 있다. 이러한 악성 공격 대표적으로 예를 들어, SIP 서비스 거부(DoS) 공격을 탐지할 때, 관리자의 단순 경험에 의존해서 탐지 임계값을 설정할 경우, 오탐지 및 미탐지가 발생할 가능성이 높기 때문에, 실제 트래픽 특성을 반영한 탐지 임계값을 설정하는 것이 중요하다. 또한, 네트워크 상에 원 링(one ring) SAPM 및 광고음(ARS) SPAM 등이 증가하고 있지만, 기존 보안 장비로는 이를 탐지 및 대응할 수 없는 문제점이 있다.
본 발명이 해결하고자 하는 기술적 과제는 실제 트래픽 특성을 반영한 탐지 임계값을 이용하여 SIP DoS 공격을 탐지 및 차단하고, 통화 세션별 통화 패턴을 분석하여 네트워크 상에 존재하는 SPAM 공격을 탐지 및 차단할 수 있는 SIP DoS 및 SPAM 공격 탐지 시스템을 제공하는 것이다.
본 발명이 해결하고자 하는 다른 기술적 과제는 실제 트래픽 특성을 반영한 탐지 임계값을 이용하여 SIP DoS 공격을 탐지 및 차단하고, 통화 세션별 통화 패턴을 분석하여 네트워크 상에 존재하는 SPAM 공격을 탐지 및 차단할 수 있는 SIP DoS 및 SPAM 공격 탐지 방법을 제공하는 것이다.
본 발명의 기술적 과제들은 이상에서 언급한 기술적 과제로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
상기 기술적 과제를 달성하기 위한 본 발명의 SIP DoS 및 SPAM 공격 탐지 시스템의 일 태양은, 네트워크로부터 SIP 패킷을 수신 받아 이를 디코딩하는 SIP 패킷 디코딩 모듈, SIP 패킷 디코딩 모듈로부터 디코딩된 SIP 패킷을 제공받아 SIP DoS 공격 탐지 룰별 임계값을 생성하는 임계값 생성 모듈, 임계값 생성 모듈로부터 SIP DoS 공격 탐지 룰별 임계값을 제공 받고, 이를 이용하여 입력 트래픽 중 SIP DoS 공격 패킷을 차단하는 SIP DoS 공격 탐지 모듈, 및 입력 트래픽의 각 통화 세션별 통화 패턴을 분석하여 입력 트래픽에 SPAM 공격이 존재하는지 탐지하는 SIP SPAM 공격 탐지 모듈을 포함한다.
상기 다른 기술적 과제를 달성하기 위한 본 발명의 SIP DoS 및 SPAM 공격 탐지 방법의 일 태양은, 네트워크로부터 SIP 패킷을 수신 받아 이를 디코딩하고, 디코딩된 SIP 패킷을 제공받아 SIP DoS 공격 탐지 룰별 임계값을 생성하고, SIP DoS 공격 탐지 룰별 임계값을 제공 받고, 이를 이용하여 입력 트래픽 중 SIP DoS 공격 패킷을 차단하고, 입력 트래픽의 각 통화 세션별 통화 패턴을 분석하여 입력 트래픽에 SPAM 공격이 존재하는지 탐지하는 것을 포함한다.
기타 실시예들의 구체적인 사항들은 상세한 설명 및 도면들에 포함되어 있다.
본 발명의 일 실시예에 따른 SIP DoS 및 SPAM 공격 탐지 시스템은 네트워크 내에 정상 유저간 통화량 증가에 의해 통화 트래픽이 증가할 경우, 이러한 통화 트래픽 증가 상태를 반영한 임계값을 기준으로 네트워크 내의 SIP DoS 공격 패킷을 탐지하고 차단하므로, 관리자의 단순 경험에 의존해서 탐지할 때 발생할 수 있는 오탐지 및 미탐지를 줄일 수 있다.
또한, 본 발명의 본 발명의 일 실시예에 따른 SIP DoS 및 SPAM 공격 탐지 시스템은 SPAM 콜의 일반적인 특성들을 이용함으로써 보다 효과적으로 SIP SPAM 공격을 탐지하고 차단할 수 있게 된다.
도 1은 본 발명의 일 실시예에 따른 SIP DoS 및 SPAM 공격 탐지 시스템의 블록 개념도이다.
도 2는 본 발명의 일 실시예에 따른 SIP DoS 및 SPAM 공격 탐지 시스템의 임계값 생성 모듈의 임계값 생성 동작을 설명하기 위한 순서도이다.
도 3은 본 발명의 일 실시예에 따른 SIP DoS 및 SPAM 공격 탐지 시스템의 SIP SPAM 공격 탐지 모듈의 SPAM 공격 탐지 동작을 설명하기 위한 순서도이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 도면에서 표시된 구성요소의 크기 및 상대적인 크기는 설명의 명료성을 위해 과장된 것일 수 있다.
명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭하며, "및/또는"은 언급된 아이템들의 각각 및 하나 이상의 모든 조합을 포함한다.
본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "이루어지다(made of)"는 언급된 구성요소, 단계, 동작 및/또는 소자는 하나 이상의 다른 구성요소, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.
이하 도 1을 참조하여, 본 발명의 일 실시예에 따른 SIP DoS 및 SPAM 공격 탐지 시스템에 대해 설명한다.
도 1은 본 발명의 일 실시예에 따른 SIP DoS 및 SPAM 공격 탐지 시스템의 블록 개념도이다. 본 명세서에서는 SIP 서비스 거부(DoS; Denial of Service) 공격의 일 예로 SIP DDoS 공격이나 SIP SCAN 공격을 예시할 것이나, 본 발명이 이러한 예시에만 제한되는 것은 아니며, 일반적으로 알려진 SIP DoS 공격은 본 발명의 범주에 포함될 수 있다.
도 1을 참조하면, 본 발명의 일 실시예에 따른 SIP DoS 및 SPAM 공격 탐지 시스템(100)은 SIP 패킷 디코딩 모듈(10), 임계값 생성 모듈(20), 정책 DB(30), SIP DoS 공격 탐지 모듈(40), 송수신자 프로파일 DB(50), SIP SPAM 공격 탐지 모듈(60)을 포함할 수 있다.
먼저, SIP 패킷 디코딩 모듈(10)은 네트워크(NETWORK)로부터 SIP 패킷을 수신 받고 이를 디코딩(decoding)하는 모듈일 수 있다. 구체적으로 본 발명의 일 실시예에서, 네트워크(NETWORK)는 음성 트래픽이 전송되는 VoIP(Voice over Internet Protocl) 네트워크(NETWORK)를 포함할 수 있고, SIP 패킷 디코딩 모듈(10)은 이러한 네트워크(NETWORK)로부터 SIP 패킷을 수신 받아 패킷에 담긴 음성 트래픽 전송과 관련된 정보를 디코딩할 수 있다.
임계값 생성 모듈(20)은 SIP 패킷 디코딩 모듈(10)로부터 디코딩된 SIP 패킷을 제공받아 SIP DoS 공격 탐지 룰별 임계값을 생성하는 모듈일 수 있고, 정책 DB(30)는 관리자가 생성한 SIP DoS 공격 탐지 룰을 저장하는 데이터베이스일 수 있다. 임계값 생성 모듈(20)은 정책 DB(30)로부터 관리자가 생성한 SIP DoS 공격 탐지 룰을 제공 받고, 디코딩된 SIP 패킷 정보로부터 상기 SIP 패킷이 SIP DoS 공격 탐지 룰에 해당하는 패킷인지 판단한 후, 해당 된다면 이를 이용하여 관리자가 생성한 SIP DoS 공격 탐지 룰의 임계값을 생성할 수 있다. 이렇게 임계값 생성 모듈(20)이 생성한 SIP DoS 공격 탐지 룰별 임계값은 정책 DB(30)에 저장되어 향후, SIP DoS 공격 탐지 모듈(40)이 입력 트래픽 중 SIP DoS 공격 패킷을 차단하는데 이용될 수 있다.
이하, 도 1 및 도 2를 참조하여, 이러한 SIP DoS 공격 탐지 룰별 임계값 생성 과정에 대해 더욱 구체적으로 설명하도록 한다.
도 2는 본 발명의 일 실시예에 따른 SIP DoS 및 SPAM 공격 탐지 시스템의 임계값 생성 모듈의 임계값 생성 동작을 설명하기 위한 순서도이다.
도 2를 참조하면, 네트워크(NETWORK)로부터 SIP 패킷을 수신 받고 이를 디코딩하여 수신 받은 SIP 패킷이 요청(request) 메시지인지 확인한다(S100). 구체적으로, 임계값 생성 모듈(20)은 SIP 패킷 디코딩 모듈(10)로부터 디코딩된 SIP 패킷을 제공받아 대상 SIP 패킷이 요청 메시지인지 확인할 수 있다.
다음, 디코딩된 SIP 패킷으로부터 다수의 필드 정보를 수집한다(S110~S130). 구체적으로, 임계값 생성 모듈(20)은 SIP 패킷이 요청 메시지라면, SIP 패킷으로부터 IP 정보 및 메소드 정보를 수집할 수 있고(S110), SIP 패킷이 요청 메시지가 아니라면, SIP 패킷으로부터 IP 정보 및 상태 코드(status code) 정보를 수집할 수 있다(S120). 그리고 이어서, 임계값 생성 모듈(20)은 SIP 패킷으로부터 From 정보와 To 정보를 포함하는 URI 정보와 콜ID 정보를 수집할 수 있다(S130).
다음, 수집된 다수의 필드 정보를 바탕으로 SIP 패킷이 관리자가 생성한 SIP DoS 공격 탐지 룰에 적용되는 대상 패킷인지 검사한다(S140). 구체적으로, 임계값 생성 모듈(20)은 정책 DB(30)로부터 관리자가 생성한 SIP DoS 공격 탐지 룰을 제공 받고 SIP 패킷이 이에 적용되는 대상 패킷인지 검사할 수 있다.
본 발명의 일 실시예에서, 관리자가 생성한 SIP DoS 공격 탐지 룰은 네트워크 상의 탐지 구간(예를 들어, 송신자-서버 구간, 서버-서버 구간, 서버-수신자 구간)별로 다양하게 생성될 수도 있다. 그리고, 예를 들어 SIP DDoS 공격 또는 SIP SCAN 공격 등 탐지하고자 하는 공격 형태에 따라 다양하게 생성될 수도 있다.
만약 SIP 패킷이 관리자가 생성한 SIP DoS 공격 탐지 룰에 적용되는 대상 패킷이 아니라면, 이는 상기 SIP DoS 공격 탐지 룰의 임계값 생성에 사용될 수 없는 패킷이므로 이는 고려하지 않는다. 반대로 SIP 패킷이 관리자가 생성한 SIP DoS 공격 탐지 룰에 적용되는 대상 패킷이라면, 대상 패킷의 필드 정보(IP 정보, URI 정보 등)를 바탕으로 대상 패킷이 이전에 생성된 엔트리에 포함되는 패킷인지 검사한다(S150). 만약 대상 패킷이 이전에 생성된 엔트리에 포함되지 않는다면 새로운 엔트리를 생성한다(S160).
대상 패킷이 이전에 생성된 엔트리에 포함되는 패킷이라면, 일정 시간(예를 들어, 10초)동안 대상 패킷의 수를 카운트 한다(S170). 그리고 임계치 학습을 통해 관리자가 생성한 SIP DoS 공격 탐지 룰의 새로운 임계값을 생성한다(S180).
구체적으로, 임계값 생성 모듈(20)은 일정 시간(예를 들어, 10초)동안 수신 되는 대상 패킷의 수를 카운트하여 이 값을 기준값과 비교한다. 여기서 기준값은 대상 패킷이 이전에 없던 새로운 엔트리에 포함되는 패킷이라면 관리자가 경험에 의해 설정한 설정값의 120%이고, 대상 패킷이 기존에 존재하던 엔트리에 포함되는 패킷이라면 이전 주기 동안 카운트된 대상 패킷 수의 120%이다.
즉, 본 발명의 일 실시예에 따른 SIP DoS 및 SPAM 공격 탐지 시스템(100)에서는 대상 패킷의 수가 이전 주기 동안 카운트된 대상 패킷 수의 120% 이내라면, 입력 트래픽에 SIP DoS 공격은 없는 것으로 간주하고, 이를 새로운 임계값으로 설정한다. 이에 따라 네트워크 내에 SIP DoS 공격이 없는 상태에서 정상 유저간 통화량 증가에 의해 통화 트래픽이 증가할 경우, 본 발명의 일 실시예에 따른 SIP DoS 및 SPAM 공격 탐지 시스템(100)은 이러한 통화 트래픽 증가 상태를 반영한 임계값을 기준으로 네트워크 내의 SIP DoS 공격 패킷을 차단하게 된다. 한편, 이렇게 새로 생성된 임계값은 정책 DB(30)에 저장되어, 기존에 정책 DB(30)에 저장되어 있던 이전 주기의 임계값을 갱신할 수 있다.
다시 도 1을 참조하면, SIP DoS 공격 탐지 모듈(40)은 임계값 생성 모듈(20)로부터 생성되어 정책 DB(30)에 저장된 SIP DoS 공격 탐지 룰별 임계값을 제공 받고, 이를 이용하여 입력 트래픽 중 SIP DoS 공격 패킷을 차단(Drop)하는 모듈일 수 있다.
예를 들어, 정책 DB(30)에 저장된 SIP DDoS 공격 탐지 룰에 대한 일정 주기(예를 들어, 10초) 동안의 임계값이 10이라면, SIP DoS 공격 탐지 모듈(40)은 일정 주기(예를 들어, 10초) 동안 특정 수신자로 전송되는 SIP 메시지의 수가 10을 초과할 경우, 초과되는 SIP 메시지들을 SIP DoS 공격(여기서는, DDoS 공격) 패킷으로 판단하고 이를 차단(Drop)할 수 있다. 반대로, 정책 DB(30)에 저장된 SIP SCAN 공격 탐지 룰에 대한 일정 주기(예를 들어, 10초) 동안의 임계값이 10이라면, SIP DoS 공격 탐지 모듈(40)은 일정 주기(예를 들어, 10초) 동안 특정 송신자로부터 전송되는 SIP 메시지의 수가 10을 초과할 경우, 초과되는 SIP 메시지들을 SIP DoS 공격(여기서는, SCAN 공격) 패킷으로 판단하고 이를 차단(Drop)할 수 있다
다음, SIP SPAM 공격 탐지 모듈(60)은 입력 트래픽의 각 통화 세션별 통화 패턴을 분석하여, 입력 트래픽에 SPAM 공격이 존재하는지 탐지하는 모듈일 수 있다. 구체적으로, SIP SPAM 공격 탐지 모듈(60)은 송수신자 프로파일 DB(50)에 저장된 각 통화 세션 별로 분류된 입력 트래픽을 제공 받고, 입력 트래픽의 수신자 수, 통화 시간, 통화 주기 또는 통화 실패 수 중 적어도 어느 하나를 분석하여 입력 트래픽에 SPAM 공격이 존재하는지 탐지할 수 있다. 그리고, 만약 입력 트래픽에서 SPAM 공격이 탐지되면, SIP SPAM 공격 탐지 모듈(60)은 SPAM 공격이 탐지된 입력 트래픽의 초청(invite) 메시지를 차단(Drop)하고 이에 대한 로그를 생성할 수 있다.
이하, 도 3을 참조하여 이러한 SIP SPAM 공격 탐지 모듈(60)의 동작에 대해 보다 구체적으로 설명하도록 한다.
도 3은 본 발명의 일 실시예에 따른 SIP DoS 및 SPAM 공격 탐지 시스템의 SIP SPAM 공격 탐지 모듈의 SPAM 공격 탐지 동작을 설명하기 위한 순서도이다.
도 3을 참조하면, 수신된 입력 트래픽의 SIP 패킷이 요청(request) 메시지인지 판단한다(S200). 그리고, 수신된 입력 트래픽의 SIP 패킷이 요청 메시지라면, 초청(invite) 메소드를 포함하고 있는지 판단한다(S210). 여기서, 수신된 입력 트래픽의 SIP 패킷이 요청 메시지가 아니거나, 초청 메소드를 포함하고 있지 않다면 이러한 SIP 패킷은 SPAM 공격과 관련이 없는 패킷이므로 이를 통과 시킨다(S250).
수신된 입력 트래픽의 SIP 패킷이 요청 메시지이고, 초청(invite) 메소드를 포함하고 있다면, 각 통화 세션 별로 분류된 입력 트래픽의 수신자 수, 통화 시간, 통화 주기 또는 통화 실패 수 중 적어도 어느 하나를 분석하여 입력 트래픽에 SPAM 공격이 존재하는지 판단한다(S220).
구체적으로, SIP SPAM 공격 탐지 모듈(60)은 먼저 통화 세션 내에 특정 송신자로부터 메시지를 수신하는 수신자의 수가 새롭게 증가하게 되면 수신자 수 카운트를 증가시키고, 특정 송신자와 특정 수신자간 통화 시간이 관리자가 설정한 통화 시간보다 작으면 통화 시간 카운트를 증가 시킨다. 그리고, 하나의 송신자로부터 발신되는 통화 주기(즉, A라는 송신자가 B라는 수신자에게 전화를 건 후, 다시 C라는 수신자에게 전화를 걸기까지의 시간)가 관리자가 설정한 통화 주기보다 작으면 통화 주기 카운트를 증가 시키고, 특정 송신자로부터 특정 수신자에게 거는 통화의 시간이 0인 경우, 통화 실패 수 카운트를 증가 시킨다.
다음 SIP SPAM 공격 탐지 모듈(60)은 이렇게 카운트된 각 항목의 결과가 관리자가 설정한 각 항목의 임계값 보다 크다면 해당 항목을 비정상으로 판정한다. 즉, 수신자 수 카운트가 임계값 보다 크다면 통화 세션에 비정상적인 수신자 수가 있는 것으로 판정하고, 통화 시간 카운트가 임계값 보다 크다면 통화 세션에 비정상적인 짧은 통화가 많은 것으로 판정한다. 마찬가지로, 통화 주기 카운트가 임계값 보다 크다면 통화 세션에 비정상적인 다수의 콜이 존재하는 것으로 판정하고, 통화 실패 수 카운트가 임계값 보다 크다면 통화 세션에 통화 시간이 0인 비정상 콜이 많은 것으로 판정한다.
관리자는 이 네 가지 변수 중에서 상황에 따라 적절한 변수를 조합하여, 입력 트래픽에 SPAM 공격이 존재하는지 판단하게 할 수 있다. 즉, 관리자가 SIP SPAM 공격 탐지 정책으로 입력 트래픽의 수신자 수, 통화 시간, 통화 주기, 통화 실패 수를 모두 설정해 놓았다면, SIP SPAM 공격 탐지 모듈(60)은 앞서 설명한 네 가지 카운트 수가 모두 임계값 보다 커야 입력 트래픽에 SPAM 공격이 존재한다고 판단한다. 만약 예를 들어, 관리자가 필요에 의해 통화 실패 수를 탐지 정책에서 생략한다면, SIP SPAM 공격 탐지 모듈(60)은 앞서 설명한 수신자 수 카운트, 통화 시간 카운트, 통화 주기 카운트만 임계값 보다 크다면, 입력 트래픽에 SPAM 공격이 존재한다고 판단하게 된다.
다시 도 3을 참조하면, 입력 트래픽에 SPAM 공격이 존재한다면 SIP SPAM 공격 탐지 모듈(60)은 이에 대한 로그(Log)를 생성하고(S230), SPAM 공격이 탐지된 입력 트래픽의 초청 메시지를 차단한다(S240).
일반적으로 SPAM 콜은 짧은 시간 동안 여러 사람에게 다수의 통화를 요청하는 특성(통화 주기, 수신자 수)이 있고, 무작위로 통화 시도를 하기 때문에 없는 번호로 통화 시도를 하는 경우가 많아 통화 실패율이 높은 특성(통화 실패 수)이 있다. 그리고 SPAM 콜을 수신하는 수신자는 걸려온 콜이 SPAM 콜인 것을 인지하면 오래 통화하지 않고 바로 끊어버리는 것이 일반적이기 때문에, SPAM 콜은 통화 시간이 매우 짧은 특성(통화 시간)이 있다.
본 발명의 본 발명의 일 실시예에 따른 SIP DoS 및 SPAM 공격 탐지 시스템(100)의 SIP SPAM 공격 탐지 모듈(60)은 이러한 SPAM 콜의 일반적인 특성들을 이용함으로써 보다 효과적으로 SIP SPAM 공격을 탐지하고 차단할 수 있게 된다.
한편, 도 1에 도시한 본 발명의 본 발명의 일 실시예에 따른 SIP DoS 및 SPAM 공격 탐지 시스템(100)에서는 SIP DoS 공격 탐지 모듈(40)과 SIP SPAM 공격 탐지 모듈(60)이 각각의 공격 패킷을 탐지하고 차단하는 것이 도시되어 있으나, 별도의 SIP DoS 및 SPAM 공격 대응 모듈(미도시)를 두어, SIP DoS 및 SPAM 공격에 대해 일괄적으로 대응하는 것도 가능하다.
이상 첨부된 도면을 참조하여 본 발명의 실시예들을 설명하였으나, 본 발명은 상기 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 제조될 수 있으며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.
10: SIP 패킷 디코딩 모듈 20: 임계값 생성 모듈
30: 정책 DB 40: SIP DoS 공격 탐지 모듈
50: 송수신자 프로파일 DB 60: SIP SPAM 공격 탐지 모듈
100: SIP DoS 및 SPAM 공격 탐지 시스템

Claims (14)

  1. 네트워크로부터 SIP 패킷을 수신 받아 이를 디코딩하는 SIP 패킷 디코딩 모듈;
    상기 SIP 패킷 디코딩 모듈로부터 상기 디코딩된 SIP 패킷을 제공받아 SIP DoS 공격 탐지 룰별 임계값을 생성하는 임계값 생성 모듈;
    상기 임계값 생성 모듈로부터 상기 SIP DoS 공격 탐지 룰별 임계값을 제공 받고, 이를 이용하여 입력 트래픽 중 SIP DoS 공격 패킷을 차단하는 SIP DoS 공격 탐지 모듈; 및
    상기 입력 트래픽의 각 통화 세션별 통화 패턴을 분석하여 상기 입력 트래픽에 SPAM 공격이 존재하는지 탐지하는 SIP SPAM 공격 탐지 모듈을 포함하고,
    상기 임계값 생성 모듈은,
    상기 디코딩된 SIP 패킷으로부터 다수의 필드 정보를 수집하고,
    상기 수집된 다수의 필드 정보를 바탕으로 상기 SIP 패킷이 관리자가 생성한 SIP DoS 공격 탐지 룰에 적용되는 대상 패킷인지 검사하고,
    상기 SIP 패킷이 상기 대상 패킷이면, 일정 주기 동안 입력되는 상기 대상 패킷의 수를 카운트하고,
    상기 일정 주기 동안 카운트된 상기 대상 패킷의 수가 기준값 이내일 경우, 이를 상기 관리자가 생성한 SIP DoS 공격 탐지 룰의 임계값으로 생성하고,
    상기 기준값은 이전 주기 동안 카운트된 상기 대상 패킷 수의 120% 또는 상기 관리자가 설정한 설정값의 120%인 SIP DoS 및 SPAM 공격 탐지 시스템.
  2. 제 1항에 있어서,
    상기 네트워크는 음성 트래픽이 전송되는 VoIP 네트워크를 포함하는 SIP DoS 및 SPAM 공격 탐지 시스템.
  3. 삭제
  4. 제 1항에 있어서,
    상기 다수의 필드 정보는 상기 디코딩된 SIP 패킷의 IP 정보, 메소드 정보, 상태 코드 정보, URI 정보 및 콜ID 정보를 포함하는 SIP DoS 및 SPAM 공격 탐지 시스템.
  5. 삭제
  6. 제 1항에 있어서,
    상기 SIP DoS 공격 탐지 모듈은 상기 입력 트래픽 중 상기 대상 패킷의 수가 상기 임계값을 초과하면, 이를 상기 SIP DoS 공격 패킷으로 판단하고 상기 임계값을 초과하는 패킷들을 차단하는 SIP DoS 및 SPAM 공격 탐지 시스템.
  7. 제 1항에 있어서,
    상기 SIP SPAM 공격 탐지 모듈은,
    상기 각 통화 세션 별로 분류된 상기 입력 트래픽을 제공받고,
    상기 입력 트래픽의 수신자 수, 통화 시간, 통화 주기 또는 통화 실패 수 중 적어도 어느 하나를 분석하여 상기 입력 트래픽에 SPAM 공격이 존재하는지 탐지하는 SIP DoS 및 SPAM 공격 탐지 시스템.
  8. 제 7항에 있어서,
    상기 SIP SPAM 공격 탐지 모듈은,
    상기 입력 트래픽에서 상기 SPAM 공격을 탐지하면, 상기 SPAM 공격이 탐지된 입력 트래픽의 초청(invite) 메시지를 차단하고 이에 대한 로그를 생성하는 SIP DoS 및 SPAM 공격 탐지 시스템.
  9. 네트워크로부터 SIP 패킷을 수신받아 이를 디코딩하고,
    상기 디코딩된 SIP 패킷을 제공받아 SIP DoS 공격 탐지 룰별 임계값을 생성하고,
    상기 SIP DoS 공격 탐지 룰별 임계값을 제공 받고, 이를 이용하여 입력 트래픽 중 SIP DoS 공격 패킷을 차단하고,
    상기 입력 트래픽의 각 통화 세션별 통화 패턴을 분석하여 상기 입력 트래픽에 SPAM 공격이 존재하는지 탐지하는 것을 포함하고,
    상기 디코딩된 SIP 패킷을 제공받아 SIP DoS 공격 탐지 룰별 임계값을 생성하는 것은,
    상기 디코딩된 SIP 패킷으로부터 다수의 필드 정보를 수집하고,
    상기 수집된 다수의 필드 정보를 바탕으로 상기 SIP 패킷이 관리자가 생성한 SIP DoS 공격 탐지 룰에 적용되는 대상 패킷인지 검사하고,
    상기 SIP 패킷이 상기 대상 패킷이면, 일정 주기 동안 입력되는 상기 대상 패킷의 수를 카운트하고,
    상기 일정 주기 동안 카운트된 상기 대상 패킷의 수가 기준값 이내일 경우, 이를 상기 관리자가 생성한 SIP DoS 공격 탐지 룰의 임계값으로 생성하는 것을 포함하고,
    상기 기준값은 이전 주기 동안 카운트된 상기 대상 패킷 수의 120% 또는 상기 관리자가 설정한 설정값의 120%인 SIP DoS 및 SPAM 공격 탐지 방법.
  10. 삭제
  11. 삭제
  12. 제 9항에 있어서,
    상기 SIP DoS 공격 탐지 룰별 임계값을 제공 받고, 이를 이용하여 상기 입력 트래픽 중 상기 SIP DoS 공격 패킷을 차단하는 것은,
    상기 입력 트래픽 중 상기 대상 패킷의 수가 상기 임계값을 초과하면, 이를 상기 SIP DoS 공격 패킷으로 판단하고 상기 임계값을 초과하는 패킷들을 차단하는 것을 포함하는 SIP DoS 및 SPAM 공격 탐지 방법.
  13. 제 9항에 있어서,
    상기 입력 트래픽의 각 통화 세션별 통화 패턴을 분석하여 상기 입력 트래픽에 SPAM 공격이 존재하는지 탐지하는 것은,
    상기 각 통화 세션 별로 분류된 상기 입력 트래픽을 제공받고,
    상기 입력 트래픽의 수신자 수, 통화 시간, 통화 주기 또는 통화 실패 수 중 적어도 어느 하나를 분석하여 상기 입력 트래픽에 SPAM 공격이 존재하는지 탐지하는 SIP DoS 및 SPAM 공격 탐지 방법.
  14. 제 13항에 있어서,
    상기 입력 트래픽에서 상기 SPAM 공격을 탐지하면, 상기 SPAM 공격이 탐지된 입력 트래픽의 초청(invite) 메시지를 차단하고 이에 대한 로그를 생성하는 것을 더 포함하는 SIP DoS 및 SPAM 공격 탐지 방법.
KR1020110005016A 2011-01-18 2011-01-18 SIP DoS 및 SPAM 공격 탐지 시스템 및 그 탐지 방법 KR101190816B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110005016A KR101190816B1 (ko) 2011-01-18 2011-01-18 SIP DoS 및 SPAM 공격 탐지 시스템 및 그 탐지 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110005016A KR101190816B1 (ko) 2011-01-18 2011-01-18 SIP DoS 및 SPAM 공격 탐지 시스템 및 그 탐지 방법

Publications (2)

Publication Number Publication Date
KR20120083719A KR20120083719A (ko) 2012-07-26
KR101190816B1 true KR101190816B1 (ko) 2012-10-15

Family

ID=46714878

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110005016A KR101190816B1 (ko) 2011-01-18 2011-01-18 SIP DoS 및 SPAM 공격 탐지 시스템 및 그 탐지 방법

Country Status (1)

Country Link
KR (1) KR101190816B1 (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101454443B1 (ko) * 2013-01-31 2014-10-27 주식회사 시큐아이 세션 초기화 프로토콜에서의 플러딩 공격을 제어하는 방법 및 장치
KR101489770B1 (ko) * 2013-12-24 2015-02-04 한국인터넷진흥원 정상 프로파일 정보를 이용한 비정상 이용 탐지 방법
KR101466895B1 (ko) * 2014-08-12 2014-12-10 주식회사 크레블 VoIP 불법 검출 방법, 이를 수행하는 VoIP 불법 검출 장치 및 이를 저장하는 기록매체

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070121596A1 (en) * 2005-08-09 2007-05-31 Sipera Systems, Inc. System and method for providing network level and nodal level vulnerability protection in VoIP networks

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070121596A1 (en) * 2005-08-09 2007-05-31 Sipera Systems, Inc. System and method for providing network level and nodal level vulnerability protection in VoIP networks

Also Published As

Publication number Publication date
KR20120083719A (ko) 2012-07-26

Similar Documents

Publication Publication Date Title
Gritzalis et al. The Sphinx enigma in critical VoIP infrastructures: Human or botnet?
US8984627B2 (en) Network security management
KR101088852B1 (ko) 인터넷 전화 과금우회 공격 탐지 시스템 및 그 탐지 방법
EP1533977B1 (en) Detection of denial of service attacks against SIP (session initiation protocol) elements
US20100226261A1 (en) Method and system to prevent spam over internet telephony
Hussain et al. A comprehensive study of flooding attack consequences and countermeasures in session initiation protocol (sip)
Azad et al. Multistage spit detection in transit voip
KR101097419B1 (ko) 넷플로우 통계정보를 이용한 비정상 에스아이피 트래픽 폭주공격 탐지 및 모니터링시스템과 그 방법
KR101190816B1 (ko) SIP DoS 및 SPAM 공격 탐지 시스템 및 그 탐지 방법
Asgharian et al. A framework for SIP intrusion detection and response systems
KR101107741B1 (ko) Sip 기반 비정상 트래픽 차단 시스템 및 그 차단 방법
Asgharian et al. Feature engineering for detection of Denial of Service attacks in session initiation protocol
Ha et al. Design and implementation of SIP-aware DDoS attack detection system
Zhao et al. A chain reaction DoS attack on 3G networks: Analysis and defenses
KR101381614B1 (ko) 블룸 필터를 이용한 sip 서비스 거부 공격 대응 장치 및 방법
Su et al. An approach to resisting malformed and flooding attacks on SIP servers
KR101466895B1 (ko) VoIP 불법 검출 방법, 이를 수행하는 VoIP 불법 검출 장치 및 이를 저장하는 기록매체
Hussain et al. A lightweight countermeasure to cope with flooding attacks against session initiation protocol
Dassouki et al. A SIP delayed based mechanism for detecting VOIP flooding attacks
Hosseinpour et al. An anomaly based VoIP DoS attack detection and prevention method using fuzzy logic
Chikha et al. A spit detection algorithm based on user's call behavior
JP4800272B2 (ja) ナンバースキャンニング検知装置およびナンバースキャンニング検知プログラム
Kamas et al. SPIT detection and prevention
KR20100080728A (ko) 응용계층 url 주소정보기반의 sip 플루딩 공격을 탐지하는 방법
Guang-Yu et al. Spit detection and prevention method based on signal analysis

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20151002

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee