KR101231035B1 - A system of invite flooding attack detection and defense using sip in voip service and the mehtod thereof - Google Patents

A system of invite flooding attack detection and defense using sip in voip service and the mehtod thereof Download PDF

Info

Publication number
KR101231035B1
KR101231035B1 KR1020110090278A KR20110090278A KR101231035B1 KR 101231035 B1 KR101231035 B1 KR 101231035B1 KR 1020110090278 A KR1020110090278 A KR 1020110090278A KR 20110090278 A KR20110090278 A KR 20110090278A KR 101231035 B1 KR101231035 B1 KR 101231035B1
Authority
KR
South Korea
Prior art keywords
attack
message
proxy server
traffic
invite
Prior art date
Application number
KR1020110090278A
Other languages
Korean (ko)
Inventor
김기천
윤상준
Original Assignee
건국대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 건국대학교 산학협력단 filed Critical 건국대학교 산학협력단
Priority to KR1020110090278A priority Critical patent/KR101231035B1/en
Application granted granted Critical
Publication of KR101231035B1 publication Critical patent/KR101231035B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)

Abstract

PURPOSE: An invite flooding attack detection and protection system and a method thereof in a VoIP(Voice over Internet Protocol) service using an SIP(Session Initiation Protocol) are provided to distribute messages from an SIP proxy server to the other SIP proxy server in case of invite flooding attack, one of the DoS/DDoS(Denial of Server/Distributed DoS) of VoIP. CONSTITUTION: The other proxy server except for a proxy server inspects traffic due to increase of messages within a server. The other proxy server confirms IP and Terminal information of a corresponding message. The other proxy server distinguishes a normal message from Invite Message Attack. The other proxy server informs the distinguished result to the proxy server first sent the normal message and attack message information. The proxy server collecting the information operates a DDoS defense system against to the attack message. The proxy server collecting the information normally processes the normal message.

Description

에스아이피를 이용한 브이오아이피 서비스에서의 인바이트 플러딩 공격 탐지 및 방어 시스템 및 그 방법{A system of Invite Flooding Attack Detection and Defense Using SIP in VoIP Service and the mehtod thereof}A system of Invite Flooding Attack Detection and Defense Using SIP in VoIP Service and the mehtod

본 발명은 SIP를 이용한 VoIP 서비스에서의 Invite Flooding 공격 탐지 및 방어 시스템 및 그 방법에 관한 것으로서, 보다 상세하게는 VoIP의 DoS/DDoS 중 하나인 Invite Flooding 공격 시 SIP 프록시 서버에서 메시지 분산시키는 방법과 MAC Address와 사용자 번호 등 IP 이외의 고정적인 사용자 정보를 확인하여 공격을 탐지하고, 공격 Agent에 감염된 Phone을 공격차단서비스로 보내 복구시켜, 자원 고갈 현상을 줄이고, Invite 공격 메시지 검색 기법을 통해 방어할 수 있는 SIP를 이용한 VoIP 서비스에서의 Invite Flooding 공격 탐지 및 방어 시스템 및 그 방법에 대한 것이다.The present invention relates to a system for detecting and defending an Invite Flooding attack in a VoIP service using SIP, and more particularly, to a method for distributing a message in a SIP proxy server during an Invite Flooding attack, one of DoS / DDoS of VoIP, and a MAC. It detects attack by checking fixed user information other than IP such as address and user number, and sends phone infected by attack agent to attack blocking service to reduce resource exhaustion and defend through Invite attack message search technique. An Invite Flooding attack detection and defense system in VoIP service using SIP and a method thereof.

종래 기술로서 한국등록특허 제1037575호는 VoIP 환경하에서 SIP 호 제어 프로토콜 방식을 이용한 디도스 공격 탐지 및 탐지 효율성 측정 방법에 관한 것으로, 특히 (a) 복수의 SIP 메시지 정보를 입수하는 단계; (b) 상기 입수한 SIP 메시지 정보에서 Invite, Register, Ack 중 어느 하나 이상을 처리하여 호접속 연결 설정 변수값 및 Cancel, Bye, OK 중 어느 하나 이상을 처리하여 연결 종료 설정 변수값을 처리하는 단계; (c) 디도스 공격을 받지 않고 연결이 성공할 확률, 디도스공격을 받았으나 연결이 성공할 확률, 디도스 공격을 받지 않고 연결이 정상적으로 종료될 확률 및 디도스 공격을 받았으나 연결이 정상적으로 종료될 확률을 계산하는 단계; (d) 상기 디도스 공격을 받지 않고 연결이 성공할 확률 및 상기 디도스 공격을 받았으나 연결이 성공할 확률로 기설정될 연결 설정 확률함수를 계산하고, 상기 디도스 공격을 받지 않고 연결이 정상적으로 종료될 확률 및 상기 디도스 공격을 받았으나 연결이 정상적으로 종료될 확률로 기설정된 연결 종료 설정 확률함수를 계산하는 단계; 및 (e) 상기 연결 설정 확률함수값이 기설정된 연결 설정 확률함수의 임계값을 초과하거나, 상기 연결 종료 설정 확률함수값이 기설정된 연결 종료 설정 확률함수의 임계값을 초과하는 경우 디도스 공격으로 판단하는 단계;를 포함하는 것을 특징으로 하는 디도스 공격 탐지방법에 대한 것이다.As a prior art, Korean Patent No. 1037575 relates to a DDoS attack detection and detection efficiency measuring method using a SIP call control protocol method in a VoIP environment, and particularly, (a) obtaining a plurality of SIP message information; (b) processing any one or more of Invite, Register, and Ack from the obtained SIP message information to process one or more of call connection connection setting values and Cancel, Bye, and OK to process connection end setting variable values; ; (c) Calculate the probability that the connection will succeed without a DDoS attack, the probability that the connection will be successful after receiving a DDoS attack, the probability that the connection will terminate normally without receiving a DDoS attack, and the probability that the connection is terminated normally after receiving a DDoS attack. Making; (d) Calculate a connection establishment probability function that is set as a probability that the connection is successful without the DDoS attack and the probability that the DDoS attack is received but the connection is successful, and a probability that the connection is normally terminated without the DDoS attack. Calculating a preset connection termination probability function with a probability that the DDoS attack is received but the connection is normally terminated; And (e) when the connection establishment probability function exceeds a threshold of a preset connection establishment probability function, or when the connection termination setup probability function exceeds a threshold of a preset connection termination setup function, a DDoS attack. Decision attack detection method comprising a; step of determining.

또한 한국공개특허 제2011-0055768호는 발생 메세지의 상한값 결정과 이를 사용한 SIP INVITE 플러딩 공격 탐지 방법에 관한 것으로, 이러한 본 발명은 네트워크 상황을 기반으로 하여 실시간으로 단위 시간당 발생 가능한 메세지의 개수를 계산하여 발생 메세지의 상한값을 결정한 후 이를 활용하여 트래픽 패턴에 대한 정보를 취득하고, 이렇게 취득된 트래픽 패턴을 기반으로 정상/경고/공격상태의 탐지 임계치값을 결정하고 갱신하도록 한 것으로, 이에따라 장시간으로 요하는 SIP 트래픽 프로파일링 분석과정을 배제하더라도 지속적이면서도 신속하게 실시간으로 네트워크의 상황을 반영한 SIP INVITE 플러딩 공격을 보다 정밀하게 탐지하고, SIP 트래픽 프로파일링 분석에 따른 불필요한 탐지 준비 기간을 단축하여 공격 탐지를 위해 소용되는 시간 및 비용을 절감한 것이다.In addition, Korean Patent Application Publication No. 2011-0055768 relates to a method for determining an upper limit value of an occurrence message and a SIP INVITE flooding attack detection method using the same. The present invention calculates the number of possible messages per unit time in real time based on a network situation. After determining the upper limit of the occurrence message, it is used to acquire the information on the traffic pattern, and to determine and update the detection threshold value of the normal / warning / attack state based on the traffic pattern thus obtained. Even if you exclude the SIP traffic profiling analysis process, you can detect SIP INVITE flooding attacks more accurately and continuously by reflecting the network situation in real time, and use them for attack detection by shortening unnecessary detection preparation period according to SIP traffic profiling analysis. Time and money It is a reduction.

일반적으로 VoIP(Voice over Internet Protocol) 서비스는 기존의 음성전화 서비스(Public Switched Telephone Network, PSTN)와 달리 IP 프로토콜을 이용한 저렴한 통신비용 등의 장점이 있는 음성통신 기술로써, 기존의 아날로그 음성전화 서비스를 대신하는 서비스이며, 새로운 인터넷 융합서비스로 많은 사용자가 이용하고 있다. 하지만 VoIP 서비스가 인터넷망을 이용함으로 IP Spoofing, DoS (Denial of Server) / DDoS (Distributed Denial of Service), 등의 여러 가지 보안의 문제점을 가지고 있다. VoIP 서비스에서 DDoS 공격은 프록시 서버 등에 대량의 공격 메시지를 보냄으로써 서버의 자원을 고갈시켜 정상적인 서비스를 하지 못하게 한다.In general, VoIP (Voice over Internet Protocol) service is a voice communication technology that has advantages such as low cost of communication using IP protocol, unlike existing public switched telephone network (PSTN). It is a replacement service, and is used by many users as a new Internet convergence service. However, VoIP services have various security problems such as IP Spoofing, DoS (Denial of Server) / DDoS (Distributed Denial of Service), and so on. In VoIP service, DDoS attack sends a large amount of attack messages to proxy server, which exhausts server resources and prevents normal service.

또한 DoS, DDoS 공격 중 Invite Flooding 공격은 1분에 수천 개의 Invite 메시지를 보내 회선의 자원을 고갈시키는 공격이다. 특히 IP/Port 위조하여 공격 경우 공격 패킷 탐지하기 어려우므로 차단할 수 없다.Also, Invite Flooding attack among DoS and DDoS attacks sends thousands of Invite messages per minute, which depletes the resources of the line. Especially in case of attack by forging IP / Port, attack packet cannot be blocked because it is difficult to detect.

구체적으로 2009년 KT를 통한 아이폰 국내 출시 이후 국내 스마트폰시장은 점점 커지고 있다. 오늘날 스마트폰은 기존의 휴대전화와 달리 다양한 애플리케이션으로 사용자에게 맞는 기능을 추가시킬 수 있다는 장점을 가지고 있다. 다시 말해, 기존의 휴대전화는 폐쇄적인 시스템과 업체에서 제공되어왔던 기능만을 사용했던 반면 스마트폰은 아이폰의 앱 스토어와 안드로이드의 마켓을 통해 다양한 기능이 추가할 수 있지만, 스마트폰의 위험은 일반PC와 같은 수준으로 증가하고 있다. 특히, 안드로이드는 오픈 소스 화 된 OS로서 세계적으로 많이 쓰이는 OS이지만 그만큼 위험성은 높다.Specifically, since the launch of the iPhone in Korea through KT in 2009, the domestic smartphone market has been growing. Today's smartphones, unlike traditional mobile phones, have the advantage of being able to add features tailored to users with a variety of applications. In other words, while existing phones only use features that have been provided by closed systems and vendors, smartphones can add a variety of features through the iPhone's App Store and Android's Market, but the risks of smartphones are common PCs. Increasing to the same level. In particular, Android is an open source OS, which is widely used worldwide, but the risk is high.

최근에는 스마트폰의 애플리케이션을 이용하여 VoIP 서비스를 이용할 수 있게 되었으며 대표적으로 스카이프(Skype)를 들 수 있다. 국내의 VoIP 기술은 2005년 7월부터는 상용 인터넷 전화 서비스가 제공되었으며, 기존의 PSTN 망의 전화보다 통화료가 저렴하고, 다양한 부가서비스이용이 가능하다는 장점이 있어 사용자가 급속히 증가하였다.Recently, VoIP services have been available using smartphone applications, such as Skype. Domestic VoIP technology has been provided with commercial Internet telephony service since July 2005, and the number of users has increased rapidly due to the low cost of call and the availability of various additional services than existing PSTN network phones.

도1과 도2에서 보는 바와 같이 VoIP 서비스 중 호 설정에서 사용하는 기술 중 대표적인 것은 SIP(Session Initiation Protocol)과 H.323을 들 수 있다. 특히 SIP은 Text화된 메시지 이용으로 구현의 편의성을 제공하지만 그만큼 조작이 쉽고 DoS, DDoS 등의 공격에 취약하다. DoS, DDoS 공격 중 Invite Flooding 공격은 1분에 수천 개의 Invite 메시지를 보내 회선을 마비시키는 공격으로, IP와 Port 위조하여 공격 시 공격 패킷을 탐지하기 어려워 차단이 불가능하다는 문제점을 가지고 있다.As shown in FIGS. 1 and 2, representative techniques used in call setup among VoIP services include Session Initiation Protocol (SIP) and H.323. In particular, SIP provides the convenience of implementation by using text messages, but it is easy to operate and is vulnerable to attacks such as DoS and DDoS. Invite flooding attack among DoS and DDoS attacks paralyzes the circuit by sending thousands of Invite messages per minute. It has a problem that blocking packets cannot be detected because the attack packets are difficult to detect by forging IP and port.

따라서 VoIP의 DoS/DDoS 중 하나인 Invite Flooding 공격 시 SIP 프록시 서버에서 메시지를 분산시키고, MAC Address와 사용자 번호 등 IP 이외의 고정적인 사용자 정보를 확인하여 공격을 탐지하고, 공격 Agent에 감염된 Phone을 공격차단서비스로 보내 복구시키는 새로운 시스템 및 방법이 필요하게 되었다.Therefore, during Invite Flooding attack, one of DoS / DDoS of VoIP, SIP proxy server distributes messages, checks fixed user information other than IP such as MAC address and user number, detects attack, and attacks infected phone There is a need for new systems and methods to send to interception services for recovery.

상술한 문제점을 해결하기 위하여 본 발명은 VoIP의 DoS/DDoS 중 하나인 Invite Flooding 공격 시 SIP 프록시 서버에서 다른 SIP 프록시 서버로 메시지 분산시키는 방법과 MAC Address와 사용자 번호 등 IP 이외의 고정적인 사용자 정보를 확인하여 공격을 탐지하고, 공격 Agent에 감염된 Phone을 공격차단서비스로 보내 복구시키는 SIP를 이용한 VoIP서비스에서의 Invite Flooding 공격탐지 및 방어 시스템을 제공하는 데 목적이 있다.In order to solve the above problems, the present invention provides a method for distributing messages from a SIP proxy server to another SIP proxy server and a fixed user information other than IP such as MAC address and user number during an Invite Flooding attack, one of DoS / DDoS of VoIP. Its purpose is to provide an Invite Flooding attack detection and defense system in VoIP service using SIP that detects and detects an attack and sends a phone infected with an attack agent to an attack blocking service for recovery.

본 발명은 Invite Message Attack으로 인하여 프록시 서버의 트래픽이 증가하는 경우, 상기 프록시 서버의 메시지를 주변의 연결된 프록시 서버로 메시지를 분산시키는 단계와, 다른 프록시 서버는 서버 내에 메시지 증가에 의한 트래픽을 검사하고, IP 및 해당 메시지의 Terminal 정보를 확인하여 정상메시지와 상기 Invite Message Attack을 구별하고, 정상메시지와 공격메시지의 정보를 처음 발송한 프록시 서버에 알리는 단계와, 정보들을 수집한 프록시 서버는 공격메시지에 대하여 DDoS 방어 시스템을 작동시키고, 정상메시지는 정상 처리하는 단계로 이루어진다.According to the present invention, when the traffic of a proxy server increases due to an Invite Message Attack, distributing the message of the proxy server to the connected proxy servers in the vicinity, and the other proxy server examines the traffic caused by the increase of messages in the server. , Distinguishing the normal message from the Invite Message Attack by checking the IP and terminal information of the corresponding message, informing the proxy server that originally sent the normal message and the attack message information, and the proxy server that collected the information to the attack message. The DDoS defense system is activated and normal messages are processed normally.

본 발명은 갑작스러운 DDoS 공격으로 말미암아 공격받는 상기 프록시 서버에 많은 메시지가 전달되는 부담을 줄이기 위해, 근접한 프록시 서버를 하나의 망으로 연결하고 각각의 CPU 정보를 포함하는 상태정보를 서로 연결된 프록시 서버에 전달하여, 한 프록시 서버에 Invite message가 공격할 때 상기 메시지를 주변의 다른 프록시 서버로 분산시키는 단계가 더 포함된다.The present invention connects proximate proxy servers to one network and sends status information including CPU information to connected proxy servers in order to reduce the burden of delivering a large number of messages to the proxy server attacked by a sudden DDoS attack. Forwarding, distributing the message to other proxy servers in the vicinity when the Invite message attacks the one proxy server.

상기 프록시 서버의 요청받은 메시지를 주변의 연결된 프록시 서버로 메시지를 분산시키는 단계에서 분산되는 트래픽 양은 아래 수학식1과 같다.The amount of traffic distributed in the step of distributing the requested message of the proxy server to the connected proxy server around is expressed by Equation 1 below.

[수학식1][Equation 1]

Figure 112011069647851-pat00001
Figure 112011069647851-pat00001

(여기에서, m : 프록시 서버의 객체 번호, PSC[m] : 프록시 서버 m의 CPU 사용량, PSCRE[m] : (100-PSC[m]) 계산을 위한 유도 식, PSCRE[k] : 각 프록시 서버의 CPU 사용량,

Figure 112011069647851-pat00002
: 각 프록시 서버의 CPU 점유율의 합, AT : INVITE Flooding Attack를 감지한 프록시 서버에서 현재 수신된 전체 메시지의 양 = 증가한 트래픽의 메시지 양, TA[m] : 프록시 서버 m에 전송되는 메시지의 양)(Where m: object number of proxy server, PSC [m]: CPU usage of proxy server m, PSC RE [m]: derivation formula for (100-PSC [m]) calculation, PSC RE [k]: CPU usage of each proxy server,
Figure 112011069647851-pat00002
: Sum of CPU shares of each proxy server, AT: Total amount of messages currently received from the proxy server that detected the INVITE Flooding Attack = Message amount of increased traffic, TA [m]: Amount of messages sent to proxy server m)

상기 SIP를 이용한 VoIP서비스에서의 Invite Flooding공격탐지 및 방어 시스템이 패킷에서 트래픽이 증가하는 공격성이 발견될 경우 발신 IP 주소정보를 가지고 중복메시지 검사를 하여 공격성이 탐지되면 공격으로 간주하고, 공격성이 없을 경우 트래픽을 검사하여 비정상적인 트래픽으로 발생한 트래픽 증가를 검사하고 이상 없을 시 공격이 아닌 것으로 간주하는 단계와, 다시 트래픽 검사를 하고 메시지의 IP 와 통신사의 인증 정보와 MAC Address를 수집하는 단계와, 같은 정보 내에서 여러 Invite 메시지를 보냈을 때 이를 공격으로 인식하고 공격 방어 시스템을 실행하여, 만약 이상 없을시 공격이 아닌 것으로 간주하는 단계와, 공격 발견 시 악성 Bot에서 보내는 메시지를 차단하고, 단말기 유형에 따라 치료를 유도하는 공격방어시스템을 작동시키는 단계로 이루어진다.Invite flooding attack detection and defense system in the VoIP service using SIP is detected as an attack if an attack is detected by performing duplicate message checks with outgoing IP address information when an attack with increasing traffic is detected in a packet. In the case of traffic inspection, it checks the traffic increase caused by abnormal traffic and considers it as not an attack if there is no abnormality, and performs the traffic inspection again and collects the IP and the carrier's authentication information and MAC address of the message. When multiple Invite messages are sent from within, it is recognized as an attack, and the attack defense system is executed. If there is no abnormality, it is regarded as not an attack, and when the attack is found, it blocks the messages sent by the malicious bots. This step is to activate an attack defense system that induces treatment. Lure.

본 발명은 사용자의 위치를 등록해놓은 로케이션 서버와, 요청받은 메시지를 실제 메시지가 전달되어야 할 곳으로 전달하는 프록시 서버들로 구성되되, Invite Message Attack으로 인하여 프록시 서버의 트래픽이 증가하는 경우, 상기 프록시 서버의 요청받은 메시지를 주변의 연결된 프록시 서버로 메시지를 분산시키고, 상기 프록시 서버를 제외한 다른 프록시 서버는 서버 내에 메시지 증가에 의한 트래픽을 검사하고, IP 및 해당 메시지의 Terminal 정보를 확인하여 정상메시지와 상기 Invite Message Attack을 구별하고, 정상메시지와 공격메시지의 정보를 처음 발송한 프록시 서버에 알리며, 정보들을 수집한 프록시 서버는 공격메시지에 대하여 DDoS 방어 시스템을 작동시키고, 정상메시지는 정상 처리한다.The present invention comprises a location server that has registered a location of a user and proxy servers that deliver the requested message to a place where the actual message should be delivered. When the traffic of the proxy server increases due to an Invite Message Attack, the proxy Distributes the requested message from the server to the connected proxy server, and other proxy servers except the proxy server inspect the traffic caused by the increase of the message in the server, check the IP and the terminal information of the corresponding message, Distinguish the Invite Message Attack, inform the proxy server that originally sent the normal message and the information of the attack message, and the proxy server that collected the information operates the DDoS defense system for the attack message, and normal message is processed normally.

본 발명은 갑작스러운 DDoS 공격으로 말미암아 공격받는 상기 프록시 서버에 많은 메시지가 전달되는 부담을 줄이기 위해, 근접한 프록시 서버를 하나의 망으로 연결하고 각각의 CPU 정보를 포함하는 상태정보를 서로 연결된 프록시 서버에 전달하여, 한 프록시 서버에 Invite message가 공격할 때 상기 메시지를 주변의 다른 프록시 서버로 분산시킨다.The present invention connects proximate proxy servers to one network and sends status information including CPU information to connected proxy servers in order to reduce the burden of delivering a large number of messages to the proxy server attacked by a sudden DDoS attack. In other words, when an Invite message attacks a proxy server, the message is distributed to other proxy servers in the vicinity.

상기 프록시 서버의 요청받은 메시지를 주변의 연결된 프록시 서버로 메시지를 분산시키는 경우, 분산되는 트래픽 양은 상기 수학식1과 같다.In the case of distributing the requested message of the proxy server to the adjacent connected proxy server, the amount of traffic to be distributed is shown in Equation (1).

상기 SIP를 이용한 VoIP서비스에서의 Invite Flooding공격탐지 및 방어 시스템은 패킷에서 트래픽이 증가하는 공격성이 발견될 경우 발신 IP 주소정보를 가지고 중복메시지 검사를 하여 공격성이 탐지되면 공격으로 간주하고, 공격성이 없을 경우 트래픽을 검사하여 비정상적인 트래픽으로 발생한 트래픽 증가를 검사하고 이상 없을 시 공격이 아닌 것으로 간주하며, 다시 트래픽 검사를 하고 메시지의 IP 와 통신사의 인증 정보와 MAC Address를 수집하고, 같은 정보 내에서 여러 Invite 메시지를 보냈을 때 이를 공격으로 인식하고 공격 방어 시스템을 실행하여, 만약 이상 없을시 공격이 아닌 것으로 간주하고, 공격 발견 시 악성 Bot에서 보내는 메시지를 차단하고, 단말기 유형에 따라 치료를 유도하는 공격방어시스템을 작동시킨다.Invite flooding attack detection and defense system in VoIP service using SIP is regarded as an attack when an attack is detected by detecting duplicate message with outgoing IP address information when attacking with increasing traffic in a packet is found, and there is no attack In this case, the traffic is examined to check the traffic increase caused by abnormal traffic. If there is no error, it is regarded as not an attack, and the traffic is checked again, the IP of the message and the authentication information of the carrier and the MAC address are collected. When a message is sent, it is recognized as an attack and an attack defense system is executed. If there is no abnormality, it is regarded as an attack if there is no abnormality. Activate the system.

본 발명에 따르면 SIP을 이용한 VoIP 공격 중 DoS, DDoS 공격 중 하나인 Invite 공격 시 프록시 서버의 트래픽 분배를 통해 하나의 프록시 서버에 공격 메시지로 인한 자원 고갈 현상을 줄이고, Invite 공격 메시지 검색 기법을 통해 방어할 수 있다. According to the present invention, during an Invite attack, one of DoS and DDoS attacks during a VoIP attack using SIP, it reduces resource depletion due to an attack message to one proxy server through traffic distribution of a proxy server, and defends through an Invite attack message search technique. can do.

도1은 종래 발명에 따른 SIP를 이용한 통신 플로우를 보여주는 도면.
도2는 종래 발명에 따른 Invite Flooding massage Flow를 보여주는 도면.
도3은 본 발명에 따른 전체적인 구성과 이에 따른 작동 순서를 보여주는 도면.
도4는 본 발명에 따른 SIP를 이용한 VoIP서비스에서의 Invite Flooding공격탐지 및 방어 방법의 순서를 보여주는 도면.1 is a diagram illustrating a communication flow using SIP according to the related art.
2 is a view showing an Invite Flooding massage Flow according to the related art.
Figure 3 shows the overall configuration according to the invention and the operation sequence accordingly.
4 is a diagram illustrating a procedure of an Invite Flooding attack detection and defense method in a VoIP service using SIP according to the present invention.

이하 본 발명의 실시를 위한 구체적인 내용을 도면을 참조하여 자세히 설명한다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.

본 발명에 따른 SIP를 이용한 VoIP서비스에서의 Invite Flooding공격탐지 및 방어 시스템은 사용자의 위치를 등록해 놓은 로케이션 서버(Location server;10)와, 요청받은 메시지를 실제 메시지가 전달되어야 할 곳으로 전달하는 프록시 서버(Proxy Server; 20, 21, 22, 23)들로 크게 구성된다.Invite flooding attack detection and defense system in the VoIP service using the SIP according to the present invention and the location server (Location server; 10) registered the location of the user, and delivers the requested message to the place where the actual message should be delivered It consists largely of Proxy Servers 20, 21, 22, and 23.

도3에서 보는 바와 같이 Invite Message Attack으로 인하여 상기 프록시 서버(20)의 트래픽이 증가하는 경우, 상기 프록시 서버(20)의 요청받은 메시지를 주변의 연결된 프록시 서버(21, 22, 23)로 메시지를 분산시키고, 상기 프록시 서버(20)를 제외한 다른 프록시 서버(21, 22, 23)는 서버 내에 메시지 증가에 의한 트래픽을 검사하고, IP 및 해당 메시지의 Terminal 정보를 확인하여 정상메시지와 상기 Invite Message Attack을 구별하고, 정상메시지와 공격메시지의 정보를 처음 발송한 프록시 서버에 알리며, 정보들을 수집한 프록시 서버는 공격메시지에 대하여 DDoS 방어 시스템을 작동시키고, 정상메시지는 정상 처리하는 것이 바람직하다.As shown in FIG. 3, when the traffic of the proxy server 20 increases due to an Invite Message Attack, the requested message of the proxy server 20 is transmitted to the adjacent connected proxy servers 21, 22, and 23. In addition to the proxy server 20, other proxy servers 21, 22, and 23 inspect the traffic caused by the increase of messages in the server, and check the normal message and the Invite Message Attack by checking the IP and the terminal information of the corresponding message. It is desirable to distinguish between the normal message and the attack message to the proxy server that originally sent the information, and to collect the information, the proxy server operates the DDoS defense system for the attack message, and normal message is normally processed.

한편 갑작스러운 DDoS 공격으로 말미암아 공격받는 상기 프록시 서버(20)에 많은 메시지가 전달되는 부담을 줄이기 위해, 근접한 프록시 서버(21, 22, 23)를 하나의 망으로 연결하고 각각의 CPU 정보를 포함하는 상태정보를 서로 연결된 프록시 서버에 전달하여, 한 프록시 서버에 Invite message가 공격할 때 상기 메시지를 주변의 다른 프록시 서버로 분산시키는 것이 바람직하다.On the other hand, in order to reduce the burden of delivering a large number of messages to the proxy server 20 that is attacked by the sudden DDoS attack, the adjacent proxy server (21, 22, 23) is connected to one network and includes each CPU information It is preferable to transmit the status information to the connected proxy servers so that when the Invite message attacks on one proxy server, the message is distributed to other proxy servers in the vicinity.

여기에서 상기 프록시 서버의 요청받은 메시지를 주변의 연결된 프록시 서버로 메시지를 분산시키는 경우, 분산되는 트래픽 양은 아래 <수학식1>과 같다.In this case, when the message requested by the proxy server is distributed to the connected proxy server, the amount of traffic to be distributed is expressed by Equation 1 below.

Figure 112011069647851-pat00003
Figure 112011069647851-pat00003

여기에서, m 은 프록시 서버의 객체 번호이고, PSC[m] 은 프록시 서버 m의 CPU 사용량이며, PSCRE[m] 은 (100-PSC[m]) 계산을 위한 유도 식이고, PSCRE[k] 은 각 프록시 서버의 CPU 사용량이며,

Figure 112011069647851-pat00004
은 각 프록시 서버의 CPU 점유율의 합이고, AT 는 INVITE Flooding Attack를 감지한 프록시 서버에서 현재 수신된 전체 메시지의 양, 즉 증가한 트래픽의 메시지 양이며, TA[m] 은 프록시 서버 m에 전송되는 메시지의 양이다. 단 TA[0]는 발신하는 프록시 서버의 메시지 양을 나타낸다.Where m is the object number of the proxy server, PSC [m] is the CPU usage of proxy server m, PSC RE [m] is a derivation for (100-PSC [m]) calculation, and PSC RE [k ] Is the CPU usage of each proxy server,
Figure 112011069647851-pat00004
Is the sum of the CPU shares of each proxy server, AT is the total amount of messages currently received from the proxy server that detected the INVITE flooding attack, that is, the amount of increased traffic, and TA [m] is the message sent to proxy server m. Is the amount. TA [0], however, indicates the message amount of the originating proxy server.

또한 상기 SIP를 이용한 VoIP서비스에서의 Invite Flooding공격탐지 및 방어 시스템은 패킷에서 트래픽이 증가하는 공격성이 발견될 경우 발신 IP 주소정보를 가지고 중복메시지 검사를 하여 공격성이 탐지되면 공격으로 간주하고, 공격성이 없을 경우 트래픽을 검사하여 비정상적인 트래픽으로 발생한 트래픽 증가를 검사하고 이상 없을 시 공격이 아닌 것으로 간주하며, 다시 트래픽 검사를 하고 메시지의 IP 와 통신사의 인증 정보와 MAC Address를 수집하고, 같은 정보 내에서 여러 Invite 메시지를 보냈을 때 이를 공격으로 인식하고 공격 방어 시스템을 실행하여, 만약 이상 없을시 공격이 아닌 것으로 간주하고, 공격 발견 시 악성 Bot에서 보내는 메시지를 차단하고, 단말기 유형에 따라 치료를 유도하는 공격방어시스템을 작동시킨다.In addition, the Invite Flooding attack detection and defense system in the VoIP service using SIP is regarded as an attack when an attack is detected by performing a duplicate message check with the originating IP address information when an attack increasing in traffic is detected. If there is no traffic, it checks the traffic increase caused by abnormal traffic. If there is no error, it considers it as not an attack. It checks traffic again, collects the IP address of the message and the authentication information and MAC address of the mobile operator. When an Invite message is sent, it is recognized as an attack and the attack defense system is executed. If there is no error, it is considered as not an attack, and when an attack is found, it blocks the message sent by malicious bots and induces treatment according to the type of device. Activate the defense system.

따라서 SIP을 이용한 VoIP 공격 중 DoS, DDoS 공격 중 하나인 Invite 공격 시 프록시 서버의 트래픽 분배를 통해 하나의 프록시 서버에 공격 메시지로 인한 자원 고갈 현상을 줄이고, Invite 공격 메시지 검색 기법을 통해 방어할 수 있다.
Therefore, during Invite attack, which is one of DoS and DDoS attacks during VoIP using SIP, it can reduce resource exhaustion caused by attack message to one proxy server through traffic distribution of proxy server, and defend through Invite attack message search technique. .

이하 본 발명의 실시를 위한 SIP를 이용한 VoIP서비스에서의 Invite Flooding 공격탐지 및 방어 방법에 대하여 자세히 설명한다.Hereinafter, an Invite Flooding attack detection and defense method in a VoIP service using SIP will be described in detail.

본 발명은 VoIP의 DoS/DDoS 중 하나인 Invite Flooding 공격 시 SIP 프록시 서버에서 메시지 분산시키는 방법과 MAC Address와 사용자 번호 등 IP 이외의 고정적인 사용자 정보를 확인하여 공격을 탐지하고, 공격 Agent에 감염된 Phone을 공격차단서비스로 보내 복구시키는 방법을 사용한다.The present invention is to detect the attack by checking message distribution method in SIP proxy server and fixed user information other than IP such as MAC address and user number during Invite Flooding attack which is one of DoS / DDoS of VoIP. Send a message to the attack blocking service to recover.

도3에서 보는 바와 같이 Invite Message Attack로 인하여 프록시 서버의 트래픽이 증가하는 경우(1번 단계), 상기 프록시 서버의 메시지를 주변의 연결된 프록시 서버로 메시지를 분산시킨다(2번 단계).As shown in Fig. 3, when the traffic of the proxy server increases due to the Invite Message Attack (step 1), the message is distributed to the connected proxy servers around the server (step 2).

그리고 다른 프록시 서버는 서버 내에 메시지 증가에 의한 트래픽을 검사하고, IP 및 해당 메시지의 Terminal 정보를 확인하여 정상메시지와 Invite Attack 메시지를 구별하고, 정상메시지와 공격메시지의 정보를 처음 발송한 프록시 서버에 알린다(3번, 4번 단계).The other proxy server checks the traffic caused by the increase of the message in the server, checks the IP and the terminal information of the corresponding message, distinguishes the normal message from the Invite Attack message, and sends the information of the normal message and the attack message to the proxy server that originally sent the message. Notify (steps 3 and 4).

계속하여 정보들을 수집한 프록시 서버는 공격메시지에 대하여 DDoS 방어 시스템을 작동시키고, 정상메시지는 정상 처리한다(5번 단계).Subsequently, the proxy server which collects the information activates the DDoS defense system for the attack message, and normal message is processed normally (step 5).

즉, 갑작스러운 DDoS 공격으로 말미암아 공격받는 프록시 서버에 많은 메시지가 전달되는 부담을 줄이기 위해, 근접한 프록시 서버를 하나의 망으로 연결하고 각각의 CPU 정보를 포함하는 상태정보를 서로 연결된 프록시 서버에 전달하여, 한 프록시 서버에 Invite message가 공격할 때 이 메시지를 주변의 다른 프록시 서버로 분산시킨다.In other words, in order to reduce the burden of delivering a large number of messages to a proxy server attacked by a sudden DDoS attack, the adjacent proxy servers are connected to one network, and status information including CPU information is transmitted to the connected proxy servers. When an Invite message attacks a proxy server, it distributes the message to other proxy servers around it.

여기에서 상기 프록시 서버의 요청받은 메시지를 주변의 연결된 프록시 서버로 메시지를 분산시키는 단계에서 분산되는 트래픽 양은 상기 <수학식1>과 같다.Herein, the amount of traffic distributed in the step of distributing the requested message of the proxy server to the adjacent connected proxy servers is expressed by Equation 1 above.

한편 도4에서 보는 바와 같이 먼저 상기 SIP를 이용한 VoIP서비스에서의 Invite Flooding공격탐지 및 방어 시스템이 패킷에서 트래픽이 증가하는 공격성이 발견될 경우 발신 IP 주소정보를 가지고 중복메시지 검사를 하여 공격성이 탐지되면 공격으로 간주한다(제1단계).On the other hand, as shown in Figure 4, if the attack of the Invite Flooding attack detection and defense system in the VoIP service using the SIP first to increase the traffic in the packet is detected by the duplicate message check with the originating IP address information Consider it an attack (Phase 1).

그리고 만약 공격성이 없을 경우 트래픽을 검사하여 비정상적인 트래픽으로 발생한 트래픽 증가를 검사하고 이상 없을 시 공격이 아닌 것으로 간주한다(제2단계).If there is no aggression, the traffic is examined to check the increase in traffic caused by abnormal traffic.

상기 제1단계에서 공격성이 탐지되지 않으면 다시 트래픽 검사를 하고 메시지의 IP 와 통신사의 인증 정보와 MAC Address를 수집한다(제3,4단계).If the aggression is not detected in the first step, traffic inspection is performed again, and the IP of the message, the authentication information of the carrier and the MAC address are collected (steps 3 and 4).

같은 정보 내에서 여러 Invite 메시지를 보냈을 때 이를 공격으로 인식하고 공격 방어 시스템을 실행한다. 만약 이상 없을시 공격이 아닌 것으로 간주하고, 공격 발견 시 악성 Bot에서 보내는 메시지를 차단하고, 단말기 유형에 따라 치료를 유도하는 공격방어시스템을 작동시킨다(제5단계).
When multiple Invite messages are sent within the same information, it is recognized as an attack and the attack defense system is executed. If there is no abnormality, it is regarded as not an attack, and when an attack is found, it blocks a message from a malicious bot and activates an attack defense system that induces treatment according to the terminal type (step 5).

이상에서 설명한 본 발명은, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러가지 치환, 변형 및 변경이 가능하므로 전술한 실시 예 및 첨부된 도면에 의해 한정되는 것이 아니다.The present invention described above is capable of various substitutions, modifications, and changes without departing from the technical spirit of the present invention for those skilled in the art to which the present invention pertains. It is not limited by.

10 : 로케이션 서버
20, 21, 22, 23 : 프록시 서버10: location server
20, 21, 22, 23: proxy server

Claims (8)

Invite Message Attack으로 인하여 프록시 서버의 트래픽이 증가하는 경우, 상기 프록시 서버의 메시지를 주변의 연결된 프록시 서버로 메시지를 분산시키는 단계와;
다른 프록시 서버는 서버 내에 메시지 증가에 의한 트래픽을 검사하고, IP 및 해당 메시지의 Terminal 정보를 확인하여 정상메시지와 상기 Invite Message Attack을 구별하고, 정상메시지와 공격메시지의 정보를 처음 발송한 프록시 서버에 알리는 단계와;
정보들을 수집한 프록시 서버는 공격메시지에 대하여 DDoS 방어 시스템을 작동시키고, 정상메시지는 정상 처리하는 단계;로 이루어지고,
상기 프록시 서버의 요청받은 메시지를 주변의 연결된 프록시 서버로 메시지를 분산시키는 단계에서 분산되는 트래픽 양은 아래 수학식1과 같은 것을 특징으로 하는 에스아이피를 이용한 브이오아이피 서비스에서의 인바이트 플러딩 공격 탐지 및 방어 방법.
[수학식1]
Figure 112012085080648-pat00013

(여기에서, m : 프록시 서버의 객체 번호, PSC[m] : 프록시 서버 m의 CPU 사용량, PSCRE[m] : (100-PSC[m]) 계산을 위한 유도 식, PSCRE[k] : 각 프록시 서버의 CPU 사용량,
Figure 112012085080648-pat00014
: 각 프록시 서버의 CPU 점유율의 합, AT : INVITE Flooding Attack를 감지한 프록시 서버에서 현재 수신된 전체 메시지의 양 = 증가한 트래픽의 메시지 양, TA[m] : 프록시 서버 m에 전송되는 메시지의 양)
If the traffic of the proxy server increases due to an Invite Message Attack, distributing the message of the proxy server to the adjacent connected proxy servers;
The other proxy server checks the traffic caused by the increase of the message in the server, checks the IP and the terminal information of the corresponding message, distinguishes the normal message from the Invite Message Attack, and sends the information of the normal message and the attack message to the proxy server that originally sent the message. Informing;
The proxy server collects the information to operate the DDoS defense system for the attack message, and normal message processing;
The amount of traffic distributed in the step of distributing the requested message of the proxy server to the connected proxy server around the detection of the in-byte flooding attack in the V IP service using the following Equation 1 and Defense method.
[Equation 1]
Figure 112012085080648-pat00013

(Where m: object number of proxy server, PSC [m]: CPU usage of proxy server m, PSC RE [m]: derivation formula for (100-PSC [m]) calculation, PSC RE [k]: CPU usage of each proxy server,
Figure 112012085080648-pat00014
: Sum of CPU shares of each proxy server, AT: Total amount of messages currently received from the proxy server that detected the INVITE Flooding Attack = Message amount of increased traffic, TA [m]: Amount of messages sent to proxy server m)
삭제delete 삭제delete 제1항에 있어서,
상기 에스아이피를 이용한 브이오아이피 서비스에서의 인바이트 플러딩 공격 탐지 및 방어 시스템이 패킷에서 트래픽이 증가하는 공격성이 발견될 경우 발신 IP 주소정보를 가지고 중복메시지 검사를 하여 공격성이 탐지되면 공격으로 간주하고,
공격성이 없을 경우 트래픽을 검사하여 비정상적인 트래픽으로 발생한 트래픽 증가를 검사하고 이상 없을 시 공격이 아닌 것으로 간주하는 단계와;
다시 트래픽 검사를 하고 메시지의 IP 와 통신사의 인증 정보와 MAC Address를 수집하는 단계와;
같은 정보 내에서 여러 Invite 메시지를 보냈을 때 이를 공격으로 인식하고 공격 방어 시스템을 실행하여, 만약 이상 없을시 공격이 아닌 것으로 간주하는 단계와;
공격 발견 시 악성 Bot에서 보내는 메시지를 차단하고, 단말기 유형에 따라 치료를 유도하는 공격방어시스템을 작동시키는 단계;
로 이루어지는 것을 특징으로 하는 에스아이피를 이용한 브이오아이피 서비스에서의 인바이트 플러딩 공격 탐지 및 방어 방법.The method of claim 1,
When the attack service and detection system of the IP flood service using the SIP detects an aggressive attack that increases traffic in the packet, it is considered an attack if the attack is detected by performing a duplicate message check with the source IP address information. ,
Inspecting traffic when there is no aggression, examining traffic increase caused by abnormal traffic, and deciding that it is not an attack when there is no abnormality;
Inspecting traffic again and collecting the IP of the message, authentication information of the carrier and the MAC address;
Recognizing this as an attack when several Invite messages are sent within the same information and executing an attack defense system, deeming it as not an attack if there is no abnormality;
Activating an attack defense system that blocks a message from a malicious Bot when an attack is found and induces treatment according to the terminal type;
In-byte flooding attack detection and defense method in the V IP service using SIP. 사용자의 위치를 등록해놓은 로케이션 서버와;
요청받은 메시지를 실제 메시지가 전달되어야 할 곳으로 전달하는 프록시 서버들;로 구성되되,
Invite Message Attack으로 인하여 상기 프록시 서버의 트래픽이 증가하는 경우, 상기 프록시 서버의 요청받은 메시지를 주변의 연결된 프록시 서버로 메시지를 분산시키고, 상기 프록시 서버를 제외한 다른 프록시 서버는 서버 내에 메시지 증가에 의한 트래픽을 검사하고, IP 및 해당 메시지의 Terminal 정보를 확인하여 정상메시지와 상기 Invite Message Attack을 구별하고, 정상메시지와 공격메시지의 정보를 처음 발송한 프록시 서버에 알리며, 정보들을 수집한 프록시 서버는 공격메시지에 대하여 DDoS 방어 시스템을 작동시키고, 정상메시지는 정상 처리하되,
상기 프록시 서버의 요청받은 메시지를 주변의 연결된 프록시 서버로 메시지를 분산시키는 경우, 분산되는 트래픽 양은 아래 수학식1과 같은 것을 특징으로 하는 에스아이피를 이용한 브이오아이피 서비스에서의 인바이트 플러딩 공격 탐지 및 방어 시스템.
[수학식1]
Figure 112012085080648-pat00007

(여기에서, m : 프록시 서버의 객체 번호, PSC[m] : 프록시 서버 m의 CPU 사용량, PSCRE[m] : (100-PSC[m]) 계산을 위한 유도 식, PSCRE[k] : 각 프록시 서버의 CPU 사용량,
Figure 112012085080648-pat00008
: 각 프록시 서버의 CPU 점유율의 합, AT : INVITE Flooding Attack를 감지한 프록시 서버에서 현재 수신된 전체 메시지의 양 = 증가한 트래픽의 메시지 양, TA[m] : 프록시 서버 m에 전송되는 메시지의 양)A location server that has registered the location of the user;
Proxy servers that deliver the requested message to where the actual message should be delivered;
When the traffic of the proxy server increases due to an Invite Message Attack, the message distributed by the proxy server is distributed among the connected proxy servers, and other proxy servers except for the proxy server cause the traffic to increase in the server. Checks the IP and the terminal information of the corresponding message, distinguishes between normal message and Invite Message Attack, informs the proxy server that originally sent the normal message and the attack message information, and collects the information from the proxy server. Activate the DDoS defense against
In the case of distributing the requested message of the proxy server to the adjacent connected proxy server, the amount of traffic to be distributed is detected as an in-byte flooding attack in the VIP service using Equation 1 below. Defense system.
[Equation 1]
Figure 112012085080648-pat00007

(Where m: object number of proxy server, PSC [m]: CPU usage of proxy server m, PSC RE [m]: derivation formula for (100-PSC [m]) calculation, PSC RE [k]: CPU usage of each proxy server,
Figure 112012085080648-pat00008
: Sum of CPU shares of each proxy server, AT: Total amount of messages currently received from the proxy server that detected the INVITE Flooding Attack = Message amount of increased traffic, TA [m]: Amount of messages sent to proxy server m) 삭제delete 삭제delete 제5항에 있어서,
상기 에스아이피를 이용한 브이오아이피 서비스에서의 인바이트 플러딩 공격 탐지 및 방어 시스템은,
패킷에서 트래픽이 증가하는 공격성이 발견될 경우 발신 IP 주소정보를 가지고 중복메시지 검사를 하여 공격성이 탐지되면 공격으로 간주하고, 공격성이 없을 경우 트래픽을 검사하여 비정상적인 트래픽으로 발생한 트래픽 증가를 검사하고 이상 없을 시 공격이 아닌 것으로 간주하며,
다시 트래픽 검사를 하고 메시지의 IP 와 통신사의 인증 정보와 MAC Address를 수집하고, 같은 정보 내에서 여러 Invite 메시지를 보냈을 때 이를 공격으로 인식하고 공격 방어 시스템을 실행하여, 만약 이상 없을시 공격이 아닌 것으로 간주하고,
공격 발견 시 악성 Bot에서 보내는 메시지를 차단하고, 단말기 유형에 따라 치료를 유도하는 공격방어시스템을 작동시키는 것을 특징으로 하는 에스아이피를 이용한 브이오아이피 서비스에서의 인바이트 플러딩 공격 탐지 및 방어 시스템.The method of claim 5,
In-byte flooding attack detection and defense system in the V IP service using the SIP,
If aggression with increasing traffic is found in the packet, duplicate message inspection with outgoing IP address information is considered. If an aggression is detected, it is considered an attack. If there is no aggression, the traffic is inspected by checking the traffic increase caused by abnormal traffic. Is not considered an attack,
It checks traffic again and collects message IP and carrier's authentication information and MAC address. When multiple Invite messages are sent within the same information, it is recognized as an attack and the attack defense system is executed. Is considered,
Intrusion flooding detection and defense system in the BIP service using SIP, which blocks the message sent from the malicious Bot and detects the attack, and activates an attack defense system that induces treatment according to the terminal type.
KR1020110090278A 2011-09-06 2011-09-06 A system of invite flooding attack detection and defense using sip in voip service and the mehtod thereof KR101231035B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110090278A KR101231035B1 (en) 2011-09-06 2011-09-06 A system of invite flooding attack detection and defense using sip in voip service and the mehtod thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110090278A KR101231035B1 (en) 2011-09-06 2011-09-06 A system of invite flooding attack detection and defense using sip in voip service and the mehtod thereof

Publications (1)

Publication Number Publication Date
KR101231035B1 true KR101231035B1 (en) 2013-02-07

Family

ID=47899123

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110090278A KR101231035B1 (en) 2011-09-06 2011-09-06 A system of invite flooding attack detection and defense using sip in voip service and the mehtod thereof

Country Status (1)

Country Link
KR (1) KR101231035B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113611329A (en) * 2021-07-02 2021-11-05 北京三快在线科技有限公司 Method and device for detecting abnormal voice

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100900491B1 (en) 2008-12-02 2009-06-03 (주)씨디네트웍스 Method and apparatus for blocking distributed denial of service
KR20100118836A (en) * 2009-04-29 2010-11-08 (주)오이지소프트 System for avoiding distributed denial of service attack, load distributing system and cache server
KR20110026926A (en) * 2009-09-09 2011-03-16 (주)제이투씨엔에스 (method for blocking distributed denial of service

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100900491B1 (en) 2008-12-02 2009-06-03 (주)씨디네트웍스 Method and apparatus for blocking distributed denial of service
KR20100118836A (en) * 2009-04-29 2010-11-08 (주)오이지소프트 System for avoiding distributed denial of service attack, load distributing system and cache server
KR20110026926A (en) * 2009-09-09 2011-03-16 (주)제이투씨엔에스 (method for blocking distributed denial of service

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113611329A (en) * 2021-07-02 2021-11-05 北京三快在线科技有限公司 Method and device for detecting abnormal voice
CN113611329B (en) * 2021-07-02 2023-10-24 北京三快在线科技有限公司 Voice abnormality detection method and device

Similar Documents

Publication Publication Date Title
US11924170B2 (en) Methods and systems for API deception environment and API traffic control and security
US8881281B1 (en) Application and network abuse detection with adaptive mitigation utilizing multi-modal intelligence data
US9288218B2 (en) Securing an accessible computer system
AU2015255980B2 (en) System and methods for reducing impact of malicious activity on operations of a wide area network
WO2018108052A1 (en) Ddos attack defense method, system and related equipment
EP3404949B1 (en) Detection of persistency of a network node
US20130198845A1 (en) Monitoring a wireless network for a distributed denial of service attack
KR20120047641A (en) Method and apparatus for preventing transmission control protocol flooding attacks
Sanmorino et al. DDoS attack detection method and mitigation using pattern of the flow
Voznak et al. DoS attacks targeting SIP server and improvements of robustness
KR20120060655A (en) Routing Method And Apparatus For Detecting Server Attacking And Network Using Method Thereof
Ehlert et al. Specification-based denial-of-service detection for sip voice-over-ip networks
WO2019201458A1 (en) Methods, nodes and operator network for enabling management of an attack towards an application
US9641485B1 (en) System and method for out-of-band network firewall
Kavisankar et al. A mitigation model for TCP SYN flooding with IP spoofing
Shah et al. The impact and mitigation of ICMP based economic denial of sustainability attack in cloud computing environment using software defined network
Shah et al. Mitigating TCP SYN flooding based EDOS attack in cloud computing environment using binomial distribution in SDN
CN108667829A (en) A kind of means of defence of network attack, device and storage medium
KR20110026926A (en) (method for blocking distributed denial of service
CN101795277B (en) Flow detection method and equipment in unidirectional flow detection mode
KR101231035B1 (en) A system of invite flooding attack detection and defense using sip in voip service and the mehtod thereof
KR20130009130A (en) Apparatus and method for dealing with zombie pc and ddos
JPWO2006035928A1 (en) IP telephone terminal apparatus, call control server, vaccine server, maintenance apparatus, IP telephone system, control method and program thereof
Subbulakshmi et al. A unified approach for detection and prevention of DDoS attacks using enhanced support vector machines and filtering mechanisms
Park et al. Threats and countermeasures on a 4G mobile network

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160311

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee