KR101277913B1 - 침입 검출 방법 - Google Patents

침입 검출 방법 Download PDF

Info

Publication number
KR101277913B1
KR101277913B1 KR1020080089765A KR20080089765A KR101277913B1 KR 101277913 B1 KR101277913 B1 KR 101277913B1 KR 1020080089765 A KR1020080089765 A KR 1020080089765A KR 20080089765 A KR20080089765 A KR 20080089765A KR 101277913 B1 KR101277913 B1 KR 101277913B1
Authority
KR
South Korea
Prior art keywords
state
node
protocol
session
task
Prior art date
Application number
KR1020080089765A
Other languages
English (en)
Other versions
KR20090027592A (ko
Inventor
사친 가르그
나브조트 싱
아크샤이 아드히카리
유-성 우
Original Assignee
아바야 인코포레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 아바야 인코포레이티드 filed Critical 아바야 인코포레이티드
Publication of KR20090027592A publication Critical patent/KR20090027592A/ko
Application granted granted Critical
Publication of KR101277913B1 publication Critical patent/KR101277913B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1101Session protocols
    • H04L65/1104Session initiation protocol [SIP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Multimedia (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

공격 시그너처 데이터베이스를 사용하지 않고 VoIP 시스템에서 침입을 검출하는 장치 및 방법이 개시된다. 예시적인 실시예는 두 개의 관찰에 기반을 둔다. 즉, (1) 제 1 관찰은 다양한 VoIP 관련 프로토콜(예를 들어, 세션 개시 프로토콜(SIP) 등)이 소형 크기의 유한 상태 머신(FSM)에 의해 표현될 만큼 충분히 간단하여, 시그너쳐 기반 침입 검출 시스템에 고유한 단점을 피할 수 있다는 것이고, (2) 두 번째 관찰은 개별 유한 상태 머신(FSM)에 의해 국부적으로 검출될 수는 없지만 특정 세션에 관련된 모든 유한 상태 머신(FSM)의 전역적인(또는 분산된) 관점에 의해 검출될 수 있는 침입이 존재한다는 것이다. 예시적인 실시예는 각 세션/노드/프로토콜 조합마다 그 세션에서 그 노드에서의 프로토콜에 대해 허용되는(또는 "합법적인") 상태 및 상태 전이를 나타내는 FSM을 유지하고, 또한 개별 유한 상태 머신(FSM)에 대한 제약을 강제하고 개별 유한 상태 머신(FSM)을 빠져나가는 침입을 검출할 수 있는 전체 세션에 대한 "전역" 유한 상태 머신(FSM)을 유지한다.

Description

침입 검출 방법{DISTRIBUTED STATEFUL INTRUSION DETECTION FOR VOICE OVER IP}
본 발명은 일반적으로 원격통신에 관한 것으로, 특히 네트워크 보안에 관한 것이다.
침입(intrusion)은 허가받지 않은 사람(예를 들어, "해커" 등)이 컴퓨터 시스템을 침투 또는 오용(예를 들어, 신용 데이터 등을 도용)하려 하는 경우에 발생한다. 침입 검출 시스템(IDS)은 컴퓨터 시스템으로 유입되고 그 컴퓨터 시스템으로부터 유출되는 메시지들을 모니터링하고, 이들 메시지에 기초하여 침입이 시도되고 있는지 여부를 결정하려 한다. 침입 검출 시스템은 불규칙적이거나 의심스러운 메시지 시퀀스가 발생하는 경우 또는 메시지 시퀀스가 공지된 공격 시그너쳐(attack signature)와 일치하는 경우 침입 시도가 진행중이라는 결론을 내릴 수 있다.
도 1은 종래 기술에 따른 원격통신 시스템(100)의 개략도이다. 도 1에 도시되어 있는 바와 같이, 원격통신 시스템(100)은 외부 네트워크(예를 들어, 인터넷 등)를 통해 메시지를 수신하고 이 외부 네트워크를 통해 외부 데이터 처리 시스템으로 메시지를 전송하는 내부 네트워크(101)(예를 들어, 공동 도시지역 통신망, 주거용 근거리 통신망 등)를 포함한다.
도 2는 종래 기술에 따른 내부 네트워크(101)의 구성요소들의 개략도이다. 도 2에 도시되어 있는 바와 같이, 내부 네트워크(101)는 도시되어 있는 바와 같이 상호 연결된 침입 검출 시스템(IDS)(220), 방화벽(215) 및 컴퓨터 시스템(204-1 내지 204-N)을 포함하는데, N은 양의 정수이다.
각 컴퓨터 시스템(204-n)(n∈1,2,...N)은 무선 근거리 네트워크 통신 기능을 가진 개인용 컴퓨터, 서버, 랩탑 컴퓨터, 개인 보조 단말기(PDA) 등일 수 있다.
컴퓨터 시스템(204-n)(n∈1,2,...N)으로 향하는 입력 메시지는 먼저 방화벽(215)을 통과하게 되는데, 이 방화벽(215)은 메시지를 조사하고 룰 세트(rule set) 내의 룰에 기초하여 이 메시지가 그의 수신지에 도달하지 않도록 차단할지 또는 그 메시지를 통과시킬 지를 판정한다. 룰의 예는 도메인(badguys.com)으로부터의 모든 메시지를 차단하는 것, 소정 프로토콜 유형의 메시지를 제외한 모든 메시지를 차단하는 것 등을 포함한다.
방화벽(215)이 입력 메시지를 통과시키는 경우, 침입 검출 시스템(IDS)(220)은 이어서 그 메시지를 수신하고 조사한다. 침입 검출 시스템(IDS)(220)은 방화벽(215)이 허용하는 하나 이상의 메시지를 포함하는 침입 시도를 검출함으로써 부가적인 보안 계층을 제공한다. 예를 들어, 방화벽(215)은 내부 네트워크(101) 내의 웹 서버에 대한 외부 액세스를 포트(80)로 제한할 수 있지만, 침입-검출 시스템 이 없다면, 웹 서버 소프트웨어(예를 들어, 콜드퓨전, 아파치 등) 내의 버그로 인해 포트(80)를 통과하는 정당한 트래픽에 의해 웹서버 그 자체가 공격당할 수 있다. 유사하게, 방화벽(215)은 내부 네트워크(101)에 대한 "울타리(fence)"로서 동작한다. 울타리는 보안을 제공하지만 누군가 (예를 들어 지하 터널 등을 파는 것에 의해) 침입을 시도하려 경우를 검출하는 기능을 가지고 있지는 않는다. 침입 검출 시스템(IDS)(220)은 전형적으로 방화벽(215)이 검출할 수 없는 소정의 침입 시도를 인식할 수 있고, 따라서 보안 증가를 위해 방화벽(215) 외에 침입 검출 시스템(IDS)(220)을 배치하는 것이 바람직하다.
침입 검출 시스템(IDS)(220)이 공격 시그너쳐 데이베이스에 의존하는 경우, 데이터베이스를 최신의 것으로 유지하는 것이 필수적이다. 특히, 시간이 지남에 따라 악의 있는 사용자는 종종 취약점을 악용하여 시스템을 공격하는 새로운 기법을 드러내곤 하며, 이에 응답하여 보안 전문가는 이들 기법으로부터 보호하기 위한 새로운 공격 시그너쳐를 공식화한다. 안티바이러스 소프트웨어의 경우에서와 같이, 침입 검출 시스템(IDS)(220)의 소유자는 전형적으로 공격 시그너쳐 데이터베이스가 새로운 공격 시그너쳐로 규칙적으로 업데이트되도록 보장함에 있어 두 가지 옵션을 가지는데, 침입 검출 시스템(IDS)(220)의 판매자가 제공하는 자동 업데이트 서비스에 가입하거나, 또는 새로운 공격 시그너쳐를 수동으로 체크하고 검색하며 그들을 설치하는 것이다. 일 경우에 있어서, 침입 검출 시스템(IDS)(220)의 효율성은 시간, 노력 및 자금의 소정의 조합뿐만 아니라 소유자의 근면성에도 의존한다(전자의 옵션에서, 소유자는 제때에 대금을 주기적으로 지불해야 하고, 후자의 옵션에서, 소유자는 잦은 빈도로 새로운 업데이트를 체크해함).
VoIP(Voice over Internet Protocol) 시스템은 회로 교환 전화 네트워크(예를 들어, 공중 교환 전화망 등) 대신에 패킷 교환 인터넷 프로토콜(IP) 데이터 네트워크를 통해 음성 트래픽을 전송한다. 전형적으로, VoIP 시스템은 두 개의 주요 프로토콜, 즉 H323 및 세션 개시 프로토콜(SIP) 중 하나에 기반을 된다. 양 유형의 시스템에서, 호출 및 피호출 원격통신 단말기(예를 들어, 하드폰, 소프트폰 등) 에서의 VoIP 사용자 에이전트는 실시간 전송 프로토콜(RTP)에 따라 인코딩된 음성 신호를 포함하는 패킷을 전송 및 수신한다. 또한, VoIP 게이트웨이는 매체 게이트웨이 제어 프로토콜(MGCP) 또는 MEGACO/H.248과 같은 매체 관리 프로토콜을 채용하여 IP 기반 네트워크와 비-IP 기반 네트워크 사이(예를 들어, PSTN 전화기와 IP 전화기 사이 등)에서 트래픽을 투명하게 변환할 수 있다.
VoIP의 핵심 장점은 음성 및 데이터 네트워크를 수렴할 수 있다는 것이다. 그러나, 음성 트래픽을 데이터 네트워크로 이동시킴으로써, 음성 네트워크는 프라이버시, 서비스 품질 및 정확한 비용청구를 손상시키는 침입 및 다른 공격(예를 들어, 서비스 거부 공격, 인증 공격 등)에 취약해질 수 있다. 또한, VoIP 시스템의 특성으로 인해, 종래 기술의 몇몇 침입 검출 시스템은 VoIP 패킷을 이용하는 침입(즉, VoIP 기반 침입)에 대해 부적합한 보안을 제공한다.
본 발명은 공격 시그너쳐 데이터베이스를 사용하지 않고 VoIP 시스템에서 침입을 검출할 수 있다. 특히, 예시적인 실시예는 두 개의 관찰에 기반을 둔다. 제 1 관찰은 다양한 VoIP 관련 프로토콜(예를 들어, 세션 개시 프로토콜(SIP) 등)이 소형 크기의 유한 상태 머신(FSM)에 의해 표현될 만큼 충분히 간단하여, 시그너쳐 기반 침입 검출 시스템에 고유한 단점을 피할 수 있다는 것이다. 두 번째 관찰은 개별 유한 상태 머신(FSM)에 의해 국부적으로 검출될 수는 없지만 특정 세션에 관련된 모든 유한 상태 머신(FSM)의 전역적인(또는 분산된) 관점에 의해 검출될 수 있는 침입이 존재한다는 것이다.
예시적인 실시예는 각 세션/노드/프로토콜 조합마다 해당 세션에서 해당 노드에서의 프로토콜에 대해 허용되는(또는 "합법적인") 상태 및 상태 전이를 나타내는 유한 상태 머신(FSM)을 유지하고, 또한 개별 유한 상태 머신(FSM)에 대한 제약을 강제하고 개별 세션/노드/프로토콜 유한 상태 머신(FSM) 각각이 합법적인 경우에도 침입을 검출할 수 있는 전체 세션에 대한 "전역" 유한 상태 머신(FSM)을 유지한다.
예시적인 실시예는 프로토콜이 제 2 노드에서 제 2 상태로 진입하는 δ초 내에서 이 프로토콜이 제 1 노드에서 제 1 상태로 진입하지 못하는 경우 잠재적 침입을 나타내는 신호를 생성하는 단계를 포함하되, δ는 양의 실수이다.
본 명세서의 이해를 돕기 위해, 후속하는 용어 및 그들의 활용 형태가 아래와 같이 정의된다.
"노드"라는 용어는 네트워크에서 엔드포인트(예를 들어, 원격통신 단말기, 게이트웨이, 라우터, 서버, 방화벽, 침입 검출 시스템 등)로서 정의된다.
"VoIP 노드"라는 용어는 VoIP 메시지를 수신, 전송, 및/또는 처리할 수 있는 노드로서 정의된다.
도 3은 본 발명의 예시적인 실시예에 따른 원격통신 시스템(300)을 나타낸다. 도 3에 도시되어 있는 바와 같이, 원격통신 시스템(300)은 도시되어 있는 바 와 같이 상호연결되어 있는 네트워크(305), 네 개의 VoIP 노드(310-1 내지 310-4) 및 침입 검출 시스템(IDS)(320)을 포함한다.
네트워크(305)는 소스(예를 들어, IDS(320)로부터, VoIP 노드들(310-1 내지 310-4) 중 하나 등)와 수신지(예를 들어, IDS(320)로부터, VoIP 노드들(310-1 내지 310-4) 중 하나 등) 사이에서 잘 알려진 방식으로 메시지를 운송할 수 있다. 당업자라면 알 수 있는 바와 같이, 네트워크(305)는 도 3에서 개념적으로 및 이론적으로 도시어 있는데, 즉, 몇몇 실시예에서 네트워크(305)는 무선 네트워크일 수 있는 반면, 일부 다른 실시예에서 네트워크(305)는 유선 네트워크일 수 있고, 또한 그 밖의 다른 실시예에서 네트워크(305)는 유무선 기술 모두를 포함할 수 있고, 또는 실제로 다수의 구성요소의 네트워크(예를 들어, 공중 교환 전화망(PSTN), 인터넷 및 무선 근거리 통신망의 조합)를 포함할 수 있다. 당업자라면 또한 알 수 있는 바와 같이, 원격통신 시스템(300)이 네 개의 VoIP 노드를 포함한다는 사실은 단지 예시일 뿐이며, 다른 몇몇 실시예에서는 VoIP 노드(310)의 수는 보다 적을 수도 있고 또는 보다 많을 수도 있다.
i가 1 내지 4의 정수인 각 VoIP 노드(310-i)는 하나 이상의 VoIP 프로토콜(예를 들어, 세션 개시 프로토콜(SIP), 실시간 전송 프로토콜(RTP) 등)에 따라 잘 알려진 방식으로 메시지를 전송 및 수신할 수 있는 VoIP 가능 단말기, 서버, 게이트웨이 등 중 하나이다. 예시적인 실시예에 따르면, 각 VoIP 노드(310-i)는 VoIP 노드(310-i)에서의 임의의 프로토콜 상태 전이를 침입 검출 시스템(IDS)(320)에 알리도록 프로그램된다. 예를 들어, VoIP 노드(310-i)에서 세션 개시 프로토콜(SIP) 의 상태 변화가 있는 경우, VoIP 노드(310-i)는 다른 VoIP 노드에 의해 무시되지만 프로토콜 상태 변화를 IDS(320)에게 나타내는 SIP 메시지를 전송할 수 있다.
당업자라면 본 개시물을 읽은 이후에는, 예시적인 실시예에 따라 VoIP 노드(310)를 구성하고 사용하는 방법을 명확히 알 수 있을 것이다. 당업자라면 알 수 있는 바와 같이, VoIP노드(310)에서의 프로토콜 상태 전이를 IDS(320)에게 알리는 기법에는 여러 가지가 있을 수 있고, 당업자라면 본 개시물을 읽은 이후에는, 이러한 기법을 채용하는 VoIP 노드(310)를 구성하고 사용하는 방법을 명확히 알 수 있을 것이다.
침입 검출 시스템(IDS)(320)은 네트워크(305)를 통해 전송되는 메시지를 잘 알려진 방식으로 모니터링(즉, "패킷 스니핑(packet sniffing)")할 수 있고, 침입이 검출된 이후 하나 이상의 지정된 정책에 따라 메시지를 차단하도록 프로그램될 수 있으며, 도 10 내지 도 11과 관련하여 이하에서 기술되는 작업을 수행할 수 있다. 침입 검출 시스템(IDS)(320)의 주요 구성요소에 대한 개략도가 도 4와 관련하여 이하에서 설명되며, 침입 검출 시스템(IDS)(320)에 저장되는 주요 데이터에 대한 도식적 설명은 도 5 내지 도 9와 관련하여 이하에서 설명된다.
당업자라면 알 수 있는 바와 같이, 예시적인 실시예가 단 하나의 중앙집중식 침입 검출 시스템(IDS)(320)을 채용하고 있지만, 본 발명의 그 밖의 다른 실시예는 다수의 침입 검출 시스템을 분배 방식으로 이용할 수 있고(예를 들어, VoIP 노드마다 하나의 IDS가 내장됨), 당업자라면 본 개시물을 읽은 이후에는, 이러한 실시예를 구성 및 사용하는 방법을 알 수 있을 것이다.
도 4는 본 발명의 예시적인 실시예에 따른 침입 검출 시스템(IDS)(320)의 주요 구성요소의 개략도이다. 도 4에 도시되어 있는 바와 같이, 침입 검출 시스템(IDS)(320)은 도시되어 있는 바와 같이 상호연결된 수신기(401), 프로세서(402), 메모리(403) 및 송신기(404)를 포함한다.
수신기(401)는 잘 알려진 방식으로 네트워크(305)로부터 신호를 수신하고 신호내에 인코딩된 정보를 프로세서(402)에 전송한다. 당업자라면 본 개시물을 읽은 이후에는, 수신기(401)를 구성 및 사용하는 방법을 알게 될 것이다.
프로세서(402)는 수신기(401)로부터 정보를 수신할 수 있고, 메모리(403)에 저장된 인스트럭션(특히 도 7의 작업에 대응하는 인스트럭션을 포함함)을 실행시킬 수 있으며, 메모리(403)에 대해 데이터를 판독 및 기록할 수 있고 정보를 송신기(404)에 전송할 수 있는 범용 프로세서이다. 본 발명의 또 다른 몇몇 실시예에서, 프로세서(402)는 전용 프로세서일 수 있다. 일 경우에서, 당업자라면 본 개시물을 읽은 후에는, 프로세서(402)를 구성 및 사용하는 방법을 알 것이다.
메모리(403)는 당업계에 잘 알려져 있는 바와 같이 데이터 및 실행가능 인스트럭션을 저장하고, 랜덤 액세스 메모리(RAM), 플래시 메모리, 디스크 드라이브 메모리 등의 임의의 조합일 수 있다. 당업자라면 본 개시물을 읽은 이후에는, 메모리(403)를 구성 및 사용하는 방법을 알게 될 것이다.
송신기(404)는 잘 알려진 방식으로 프로세서(402)로부터 정보를 수신하고 이 정보를 인코딩한 신호를 네트워크(305)에 전송한다. 당업자라면, 본 개시물을 읽은 이후에는 송신기(404)를 구성 및 사용하는 방법을 알 것이다.
도 5는 본 발명의 예시적인 실시예에 따른 메모리(403)의 주요 콘텐츠에 대한 개략도이다. 도 5에 도시되어 있는 바와 같이, 메모리(403)는 프로세서(402)에 의해 실행되는 인스트럭션을 갖는 제 1 부분과, 제 2 데이터 부분을 포함한다. 제 1 부분은 이하에서 도 10 내지 도 12와 관련하여 설명되는 작업을 수행하는 프로그램(501)을 포함한다. 제 2 부분은 세 개의 대응 세션에 대응하는 세 개의 데이터 블록(502-1 내지 502-3)을 포함하고, 이들 데이터 블록의 콘텐츠는 이하에서 도 6 내지 도 9와 관련하여 설명된다. 당업자라면 알 수 있는 바와 같이, 세 개의 데이터 블록(502)은 도 5에서 예시적으로 도시되어 있을 뿐이며, 제각기의 세션에 대응하는 데이터 블록(502)의 수는 보다 적을 수 있고 또는 보다 많을 수도 있다.
도 6은 본 발명의 예시적인 실시예에 따른 데이터 블록(502-i)의 주요 콘텐츠에 대한 개략도이다. 도 6에 도시되어 있는 바와 같이, 데이터 블록(502-i)은 데이터 서브 블록(605-i-1 내지 605-i-4)을 포함하고, 각 블록은 세션(i)에 참여하는 제각기의 노드(310-i)와, 세션(i)에 대한 전역(global) 유한 상태 머신(FSM)과 연관되며, 이에 대해서는 도 9와 관련하여 이하에서 설명된다. 데이트 블록(502)의 경우에서와 같이, 당업자라면 알 수 있듯이, 네 개의 데이터 서브 블록(605)의 도시는 단지 예시적일 뿐이며, 세션(i)의 각 노드에 대응하는 데이터 서브 블록(605)의수는 보다 적을 수 있고 또는 보다 많을 수 있다.
도 7은 본 발명의 예시적인 실시예에 따른 데이터 서브 블록(605-i-j)의 주요 콘텐츠의 개략도이다. 도 7에 도시되어 있는 바와 같이, 데이터 서브 블록(605-i-j)은 유한 상태 머신(FSM)(770-i-j-1 내지 770-i-j-3)을 포함하는데, 각 각은 세션(i) 동안 VoIP 노드(310-j)에서의 각 프로토콜(예를 들어, 세션 개시 프로토콜(SIP), 실시간 전송 프로토콜(RTP) 등)의 상태와 연관된다. 각 유한 상태 머신(770-i-j-k)은 가능한(또는 "합법적인") 상태들과 그에 대응하는 프로토콜에 대한 상태 전이들을 나타내고, 세션(i) 동안 VoIP 노드(310-j)에서 그 프로토콜의 현재 상태를 계속 추적한다. 유한 상태 머신(770-i-j-k)은 도 8과 관련하여 이하에서 설명된다.
당업자라면 알 수 있는 바와 같이, 데이터 서브 블록(605-i-j)이 세 개의 유한 상태 머신(770)을 포함한다는 것은 단지 예시일 뿐이며, 세션(i)의 VoIP 노드(310-j)에서의 제각기의 프로토콜에 대응하는 유한 상태 머신(770)의 수는 보다 적을 수도 있고 또는 보다 많을 수도 있다.
도 8은 본 발명의 예시적인 실시예에 따른 예시적인 유한 상태 머신(FSM)(707-i-j-k)을 나타낸다. 특히, 유한 상태 머신(707-i-j-k)은 세션(i) 동안 호출 VoIP 가능 단말기(310-j)에서의 세션 개시 프로토콜(SIP)의 합법적인 상태 및 상태 전이에 대응한다.
도 8에 도시되어 있는 바와 같이, 유한 상태 머신(FSM)(707-i-j-k)은 9개의 상태(801 내지 809)를 포함하는데, 상태(801)는 VoIP 가능 단말기(310-i)에서의 SIP 세션에 대한 시작 상태이고, 토컨(800)은 FSM(701-i-j-k)의 현재 상태(도 8의 상태(802))를 계속 추적한다. 유한 상태 머신(FSM)(707-i-j-k)의 각 호(arc)(또는 방향지시 에지)는 제 1 상태에서 제 2 상태로의 합법적 전이를 나타내는데, 호 상의 라벨은 노드(310-i)에 의해 수신 또는 전송되며 상태 변화를 야기하는 메시지 유형(예를 들어, SIP_INVITE, SIP_INVITE_ACK 등)을 나타낸다.
당업자라면 알 수 있는 바와 같이, 도 8의 예시적인 유한 상태 머신(FSM)(707-i-j-k)에서, 각각의 호 라벨은 VoIP 노드(310-j)에 의해 수신 또는 전송된 메시지에 대응하지만, 본 발명의 몇몇 다른 실시예에서는, 유한 상태 머신(FSM)(707-i-j-k)은 VoIP 노드(310-j)와는 전혀 관련이 없는 메시지에 대응하는 하나 이상의 호 레벨을 가질 수 있다. 또한, 본 발명의 몇몇 다른 실시예에서, 유한 상태 머신(FSM)(707-i-j-k)은 프로토콜 관련 메시지(예를 들어, 원격 프로시저 호출, 그 밖의 다른 몇몇 종류의 메시지 등) 이외의 다른 신호에 대응하는 하나 이상의 호 라벨을 가질 수 있다. 임의의 경우, 당업자라면 본 개시물을 읽은 이후에는 이들 다양한 종류의 호 라벨을 가지고 유한 상태 머신을 구성하고 사용하는 방법을 알게 될 것이다.
도 9는 본 발명의 예시적인 실시예에 따른 전역 유한 상태 머신(FSM)(606-i)의 일부분을 나타낸다. 도 9에 도시된 전역 유한 상태 머신(FSM)(606-i)의 일부분은 시작 상태, 상태(901), 상태(902), 시작 상태에서 상태(901)로의 호 및 상태(901)에서 상태(902)로의 호를 포함한다.
상태(901)는 상태들, 즉, 호출 노드의 FSM(707)(상태 804), 서버의 FSM(707)(상태 xxx) 및 피호출 노드의 FSM(707)(상태 yyy)의 혼합을 나타낸다. 예시적인 실시예에 따르면, 상태(901)는 이들 FSM이 지정된 동시발생 시간 제한(이 경우, 2초) 내에서 표시된 관련 상태로 동시에 있도록 이들 세 개의 노드의 FSM에게 강요한다. 다시 말해, 이들 노드의 FSM(707) 중 하나가 그의 지정된 상태에 도 달하게 되면, 다른 두 개의 노드의 제각기의 FSM(707)도 2초 안에 그들의 지정된 상태에 도달해야 한다. 이러한 동시성 제약이 만족되지 않는 경우, 잠재적 침입을 나타내는 경고가 생성되며, 이에 대해서는 이하에서 도 12와 관련하여 설명된다.
유사하게, 상태(902)는 호출 노드의 FSM의 상태(상태 805), 서버의 FSM의 상태(상태 zzz) 및 피호출 노드의 FSM의 상태(상태 www)의 혼합을 나타내고, 이들 상태에 대해 3초의 동시성 제약을 나타낸다.
시작 상태에서 상태(901)로의 호는 당업계에서는 전형적인 것으로 전역 유한 상태 머신(FSM)(606-i)의 초기 실행시 자동으로 발생하는 상태 전이를 나타낸다.
상태(901)에서 상태(902)로의 호는 제 1 SIP_INVITE 메시지가 호출 노드에서 서버로 전송되고 제 2 SIP_INVITE 메시지가 서버에서 피호출 노드로 전송되며, SIP_INVITE_ACK 메시지가 피호출 노드에서 서버로 다시 전송되는 경우에 발생하는 상태 전이를 나타낸다.
당업자라면 알 수 있는 바와 같이, 도 9의 특정 혼합 상태, 상태 전이 및 동시성 제약은 단지 예시적일 뿐이다. 당업자라면 또한 알 수 있는 바와 같이, 본 발명의 몇몇 다른 실시예에서, 전역 유한 상태 머신(FSM)(606-i)은 도 9에 도시되어 있는 유한 상태 머신의 동시성 제약에 덧붙여 또는 그 대신에 다른 종류의 제약을 채용할 수 있다. 예를 들어, "비동시성" 제약은 FSM(707)의 지정된 상태가 실제로 (지정된 제한 시간을 더하거나 뺀 정도의) 동시에 도달하는 경우에 경고가 발생하도록 할 수 있다. 또 다른 예로서, 제약은 세 개의 지정된 FSM(707) 상태 중 적어도 두 개가 동시에 도달할 것을 요구할 수도 있고, 또는 FSM(707) 상태의 타이 밍과 관련이 없을 수도 있다(예를 들어, FSM(707) 상태가 나타나는 횟수에 대해 조건을 강제함). 당업자라면, 본 개시물을 읽은 이후에는, 전역 유한 상태 머신(FSM)(606-i)에서 이와 같은 또 다른 제약을 채용하는 본 발명의 실시예를 구성 및 사용하는 방법을 알게 될 것이다.
도 10은 본 발명의 예시적인 실시예에 따른 침입 검출 시스템(IDS)(320)의 주요 작업에 대한 흐름도이다. 당업자라면, 본 개시물을 읽은 후, 도 8에 도시되어 있는 작업들은 동시에 수행될 수 있고 또는 도시되어 있는 것과는 다른 순서로 수행될 수 있음을 알 것이다.
작업(1010)에서, 침입 검출 시스템(IDS)(320)은 새로운 세션(i)이 개시되었는지를 체크한다. 개시된 경우, 실행은 작업(1020)으로 진행하고, 그렇지 않으면, 작업(1010)으로 다시 복귀한다.
작업(1020)에서, 침입 검출 시스템(IDS)(320)은 세션(i)에서 불법적인 "로컬" 프로토콜 상태 또는 전이를 검출하기 위한 제 1 쓰레드를 실시(spawn)하는데, 이에 대해서는 도 11과 관련하여 이하에서 설명된다.
작업(1030)에서, 침입 검출 시스템(IDS)(320)은 세션(i)에서 불법적인 "전역" 프로토콜 상태 또는 전이를 검출하기 위한 제 2 쓰레드를 실시하는데, 이에 대해서는 도 12와 관련하여 이하에서 설명된다.
작업(1040)에서, 침입 검출 시스템(IDS)(320)은 제 1 및 제 2 쓰레드에 의해 생성된 경고를 처리하는 제 3 쓰레드를 실시한다. 당업자라면 알 수 있는 바와 같이, 작업(1040)에서 이루어지는 특정 조치는 특정 구현의 프로그램된 정책에 의존 할 것이며, 경고를 간단히 로깅(logging)하는 단계와, 그에 따라 후속 메시지가 그들의 수신지에 도달하지 못하도록 차단하는 단계와, 세션(i)에 참여하는 하나 이상의 노드를 "구속하는(locking down)" 단계를 포함할 수 있다. 당업자라면 알 수 있는 바와 같이, 후속하는 메시지를 차단하는 경우, 본 발명의 몇몇 실시예에서, 침입 검출 시스템(IDS)(320)은 메시지 차단에 능동적으로 참여할 수 있는 반면, 다른 몇몇 실시예에서는, 침입 검출 시스템(IDS)(320)은 몇몇 다른 엔티티(예를 들어, 방화벽, 보안 기구 등)로 하여금 메시지를 차단하도록 할 수 있다. 임의의 경우, 당업자라면, 본 개시물을 읽은 이후에는, 이러한 차단, 및/또는 임의의 다른 조치를 작업(1040)에서 수행하도록 하기 위해 침입 검출 시스템(IDS)(320)을 프로그램하는 방법을 알게 될 것이다.
작업(1050)에서, 침입 검출 시스템(IDS)(320)은 세션(i)이 종료되었을 때를 검출하고, 그에 응답하여 처음의 세 개의 쓰레드를 종료시키고 끝으로 자신을 종료시키는 제 4 쓰레드를 실시한다. 당업자라면, 본 개시물을 읽은 후, 작업(1050)을 수행하도록 침입 검출 시스템(IDS)(320)을 프로그램하는 방법을 알게 될 것이다.
작업(1050)이 완료된 후, 도 10의 방법의 실행은 후속 반복을 위해 작업(1010)으로 귀환한다.
도 11은 본 발명의 예시적인 실시예에 따라 작업(1020)에서 실행되는 제 1 쓰레드의 주요 작업에 대한 흐름도이다.
작업(1110)에서, 쓰레드는 세션(i)에서의 모든 노드(x) 및 프로토콜(y)에 대해 FSM(707-i-x-y)을 잘 알려진 방식으로 그들의 시작 상태로 개시한다.
작업(1120)에서, 쓰레드는 세션(i)에서 노드(310-j)로 또는 그로부터 전송된 메시지(M)가 관찰되었는지를 체크한다. 그런 경우, 실행은 작업(1160)으로 분기하고, 그렇지 않은 경우, 실행은 작업(1130)으로 분기한다.
작업(1130)에서, 쓰레드는 세션(i)에서 노드(310-j)에서의 프로토콜(k)의 현재 상태가 변경되었는지를 체크한다. 변경된 경우, 실행은 작업(1140)으로 분기하고, 그렇지 않은 경우 실행은 작업(1120)으로 분기한다.
작업(1140)에서, 쓰레드는 노드(310-j)에서의 상태 변화(예를 들어, 임의의 중간 상태 없이 도 8의 상태(801)에서 상태(805)로의 전이 등)가 유한 상태 머신(FSM)(707-i-j-k)과 호환되지 않는지를 체크한다. 상태 변화가 호환되지 않는 경우, 실행은 작업(1190)으로 분기하고, 그렇지 않은 경우 실행은 작업(1150)으로 분기한다.
작업(1150)에서, 쓰레드는 그에 따라 토컨(800)을 통해 유한 상태 머신(FSM)(707-i-j-k)의 현재 상태를 업데이트한다. 작업(1150) 이후, 실행은 작업(1120)으로 다시 귀환한다.
작업(1160)에서, 쓰레드는 잘 알려진 방식으로 메시지(M)의 프로토콜(k)을 결정한다. 작업(1160) 이후, 실행은 계속해서 작업(1170)으로 진행한다.
작업(1170)에서, 쓰레드는 메시지(M)가 유한 상태 머신(FSM)(707-i-j-k)과 호환되지 않는지를 체크한다. 호환되지 않는 경우, 실행은 작업(1190)으로 분기하고, 그렇지 않은 경우, 실행은 작업(1175)으로 분기한다.
작업(1175)에서, 쓰레드는 메시지(M)가 세션(i)(x≠j)에서의 또 다른 노 드(310)에 대한 일부 다른 유한 상태 머신(FSM)(707-i-x-k)과 호환되지 않는지를 체크한다. 호환되지 않는 경우, 실행은 작업(1190)으로 분기하고, 그렇지 않은 경우 실행은 작업(1180)으로 분기한다.
작업(1180)에서, 쓰레드는 세션(i)에서 각 노드(310-y)에 대해 유한 상태 머신(FSM)(707-i-y-k)의 현재 상태를 업데이트한다. 작업(1180) 이후, 실행은 계속해서 작업(1120)으로 귀환한다.
작업(1190)에서, 쓰레드는 잠재적 침입을 나타내는 경고를 생성한다. 본 발명의 몇몇 실시예에서, 이 경고는 잠재적 침입의 가능 목표(또는 "피해자")로서 특정 노드(예를 들어, FSM(707)과 호환되지 않는 노드 등)를 지정할 수 있고, 몇몇 다른 실시예에서, 경고는 임의의 특정 노드를 지정하지 않을 수 있다. 작업(1190)에서, 실행은 계속해서 작업(1120)으로 진행한다.
도 12는 본 발명의 예시적인 실시예에 따라 작업(1030)에서 실행된 제 2 쓰레드의 주요 작업에 대한 흐름도이다.
작업(1210)에서, 쓰레드는 전역 유한 상태 머신(FSM)(606-i)을 그의 시작 상태로 초기화한다.
작업(1215)에서, 쓰레드는 δ:=∞을 설정한다.
작업(1220)에서, 쓰레드는 세션(i)에 속하는 메시지(M)가 관찰되었는지를 체크한다. 관찰된 경우, 실행은 작업(1230)으로 진행하고, 그렇지 않은 경우 작업은 작업(1220)으로 귀환한다.
작업(1230)에서, 쓰레드는 메시지(M)가 전역 유한 상태 머신(FSM)(606-i)과 호환되지 않는지를 체크한다. 호환되지 않는 경우, 실행은 계속해서 작업(1290)으로 진행하고, 그렇지 않은 경우 실행은 작업(1240)으로 진행한다.
작업(1240)에서, 쓰레드는 메시지(M)가 현재 상태에서 새로운 상태(S)로의 전역 유한 상태 머신(FSM)(606-i)의 상태 전이의 라벨과 일치하는지를 체크한다. 일치하는 경우, 실행은 작업(1250)으로 진행하고, 그렇지 않은 경우 실행은 작업(1220)으로 귀환한다.
작업(1250)에서, 쓰레드는 δ가 유한한지 여부에 기초하여 분기한다. 유한한 경우, 실행은 계속해서 작업(1270)으로 진행하고, 그렇지 않은 경우 실행은 작업(1260)을 진행한다.
작업(1260)에서, 쓰레드는 δ의 값을 상태(S)에 의해 지정된 제한 시간으로 설정하고 0까지 δ의 실시간 카운트다운을 시작한다.
작업(1270)에서, 쓰레드는 δ가 0과 동일한지 여부에 기초하여 분기한다. 동일한 경우, 실행은 작업(1280)으로 진행하고, 그렇지 않은 경우 실행은 작업(1220)으로 귀환한다.
작업(1280)에서, 쓰레드는 전역 유한 상태 머신(FSM)(606-i)이 상태(S)에 도달했는지를 체크한다. 도달하지 못한 경우, 실행은 작업(1290)으로 진행하고, 그렇지 않은 경우 실행은 계속해서 작업(1215)으로 진행한다.
작업(1290)에서, 쓰레드는 작업(1190)에서 기술한바와 같이 잠재적 침입을 나타내는 경고를 생성한다. 작업(1290) 이후, 실행은 작업(1215)으로 귀환한다.
당업자라면 알 수 있는 바와 같이, VoIP 시스템과 관련하여 예시적인 실시예 가 기술되었지만, 당업자라면 본 개시물을 읽은 이후에는, 유한 상태 머신(FSM) 개념을 갖는 다른 유형의 시스템 및 다른 유형의 프로토콜에 대해 본 발명의 실시예를 구성 및 사용하는 방법을 알게 될 것이다.
본 개시물은 예시적인 실시예의 하나의 예를 개시하고 있을 뿐이고, 당업자라면 본 개시물을 읽은 후 본 발명의 다수의 변형을 구현할 수 있으며, 본 발명의 범주는 후속하는 청구항에 의해 결정됨을 이해해야 한다.
도 1은 종래 기술에 따른 원격통신 시스템의 개략도,
도 2는 종래 기술에 따른, 도 1에 도시된 내부 네트워크(101)의 주요 요소에 대한 개략도,
도 3은 본 발명의 예시적인 실시예에 따른 원격통신 시스템에 대한 도면,
도 4는 본 발명의 예시적인 실시예에 따른 도 3에 도시된 침입 검출 시스템(IDS)(320)의 주요 요소의 개략도,
도 5는 본 발명의 예시적인 실시예에 따른 도 4에 도시된 메모리(403)의 주요 콘텐츠에 대한 개략도,
도 6은 본 발명의 예시적인 실시예에 따른 도 5에 도시된 데이터 블록(502-i)의 주요 콘텐츠에 대한 개략도,
도 7은 본 발명의 예시적인 실시예에 따른 도 6에 도시된 데이터 서브-블록(605-i-j)의 주요 콘텐츠에 대한 개략도,
도 8은 본 발명의 예시적인 실시예에 따른 도 7에 도시된 예시적인 유한 상태 머신(707-i-j-k)을 나타낸 도면,
도 9는 본 발명의 예시적인 실시예에 따른 도 6에 도시된 예시적인 전역 유한 상태 머신(606-i)의 일부분을 나타내는 도면,
도 10은 본 발명의 예시적인 실시예에 따른 침입-검출 시스템(IDS)(320)의 주요 작업에 대한 흐름도,
도 11은 본 발명의 예시적인 실시예에 따른 도 10의 작업(1020)에서 도출된 제 1 쓰레드의 주요 작업에 대한 흐름도,
도 12는 본 발명의 예시적인 실시예에 따른 도 10의 작업(1030)에서 도출된 제 2 쓰레드의 주요 작업에 대한 흐름도.

Claims (10)

  1. 동시발생 시간 제한(concurrency time limit) δ의 값에 기초하여, 프로토콜이 제 2 노드에서 제 2 상태로 진입하는 δ1초 이내에 상기 프로토콜이 제 1 노드에서 제 1 상태로 진입하지 못하는 경우 잠재적 침입(potential intrusion)을 나타내는 신호를 생성하는 단계를 포함하되,
    상기 δ1은 양의 실수이고,
    상기 δ1은 상기 프로토콜의 상기 제 1 상태에 의해 지정되는 상기 동시발생 시간 제한 δ의 제 1 값이며,
    상기 제 1 상태는 상기 프로토콜 및 상기 제 1 노드에 대한 제 1 유한 상태 머신의 내부 상태(S1)에 대응하고, 상기 제 2 상태는 상기 프로토콜 및 상기 제 2 노드에 대한 제 2 유한 상태 머신의 내부 상태(S2)에 대응하는
    방법.
  2. 삭제
  3. 제 1 항에 있어서,
    상기 제 1 유한 상태 머신은 상기 제 1 노드에서 상기 프로토콜에 대해 허용되는 모든 상태 및 상태 전이를 나타내고, 상기 제 2 유한 상태 머신은 상기 제 2 노드에서 상기 프로토콜에 대해 허용되는 모든 상태 및 상태 전이를 나타내는
    방법.
  4. 제 1 항에 있어서,
    상기 신호의 생성에 응답하여 후속 메시지가 자신의 수신지에 도달하는 것을 차단하는 단계를 더 포함하는
    방법.
  5. 제 1 항에 있어서,
    상기 δ1의 값은 상기 제 1 상태와 상기 제 2 상태 중 적어도 하나에 기초하는
    방법.
  6. 제 1 항에 있어서,
    상기 프로토콜이 상기 제 2 노드에서 상기 제 2 유한 상태 머신의 제 2 내부 상태로 진입하는 동시발생 시간 제한의 제 2 값인 δ2초 이내에 상기 프로토콜이 상기 제 1 노드에서 상기 제 1 유한 상태 머신의 제 1 내부 상태로 진입하는 경우 상기 신호를 생성하는 단계를 더 포함하되,
    상기 δ2는 양의 실수인
    방법.
  7. 제 6 항에 있어서,
    상기 제 1 노드 및 상기 제 2 노드는 세션에 참여하고, 상기 세션에서 상기 프로토콜을 통해 통신하는
    방법.
  8. 제 7 항에 있어서,
    상기 신호는 상기 잠재적 침입의 피해자로서 상기 세션에 참여하는 적어도 하나의 노드를 식별하는
    방법.
  9. 제 7 항에 있어서,
    상기 세션은 VoIP 호출의 일부인
    방법.
  10. 제 1 항에 있어서,
    상기 프로토콜이 상기 제 2 노드에서 상기 제 2 상태로 존재하는 동시발생 시간 제한의 제 3 값인 δ3초 이내에 상기 프로토콜이 상기 제 1 노드에서 상기 제 1 상태로 존재하는 경우 상기 신호를 생성하는 단계를 더 포함하되,
    상기 δ3은 양의 실수인
    방법.
KR1020080089765A 2007-09-12 2008-09-11 침입 검출 방법 KR101277913B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/854,439 US9178898B2 (en) 2007-09-12 2007-09-12 Distributed stateful intrusion detection for voice over IP
US11/854,439 2007-09-12

Publications (2)

Publication Number Publication Date
KR20090027592A KR20090027592A (ko) 2009-03-17
KR101277913B1 true KR101277913B1 (ko) 2013-06-21

Family

ID=40251646

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080089765A KR101277913B1 (ko) 2007-09-12 2008-09-11 침입 검출 방법

Country Status (4)

Country Link
US (1) US9178898B2 (ko)
EP (1) EP2037654A1 (ko)
JP (1) JP5311630B2 (ko)
KR (1) KR101277913B1 (ko)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8107625B2 (en) * 2005-03-31 2012-01-31 Avaya Inc. IP phone intruder security monitoring system
US9438641B2 (en) 2007-09-12 2016-09-06 Avaya Inc. State machine profiling for voice over IP calls
US9736172B2 (en) * 2007-09-12 2017-08-15 Avaya Inc. Signature-free intrusion detection
FR2931604A1 (fr) * 2008-05-23 2009-11-27 France Telecom Technique de protection dans un reseau de communication en mode connecte d'un arbre primaire point a multipoint.
US8918671B2 (en) * 2008-09-16 2014-12-23 Orange Technique for protecting leaf nodes of a point-to-multipoint tree in a communications network in connected mode
US8719930B2 (en) * 2010-10-12 2014-05-06 Sonus Networks, Inc. Real-time network attack detection and mitigation infrastructure
US8881258B2 (en) * 2011-08-24 2014-11-04 Mcafee, Inc. System, method, and computer program for preventing infections from spreading in a network environment using dynamic application of a firewall policy
KR101972295B1 (ko) * 2016-06-23 2019-04-24 미쓰비시덴키 가부시키가이샤 침입 검지 장치 및 기억 매체에 저장된 침입 검지 프로그램
CN106790229A (zh) * 2017-01-17 2017-05-31 烽火通信科技股份有限公司 一种pon设备支持语音双协议动态加载的实现方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20010052014A1 (en) * 2000-05-31 2001-12-13 Sheymov Victor I. Systems and methods for distributed network protection

Family Cites Families (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5557742A (en) 1994-03-07 1996-09-17 Haystack Labs, Inc. Method and system for detecting intrusion into and misuse of a data processing system
US6880087B1 (en) 1999-10-08 2005-04-12 Cisco Technology, Inc. Binary state machine system and method for REGEX processing of a data stream in an intrusion detection system
US6789202B1 (en) 1999-10-15 2004-09-07 Networks Associates Technology, Inc. Method and apparatus for providing a policy-driven intrusion detection system
US6671364B2 (en) 2002-03-29 2003-12-30 Longboard, Inc. System and method of triggering services for call control
US7370357B2 (en) 2002-11-18 2008-05-06 Research Foundation Of The State University Of New York Specification-based anomaly detection
US7577758B2 (en) * 2002-12-20 2009-08-18 Force 10 Networks, Inc. Hardware support for wire-speed, stateful matching and filtration of network traffic
US9270643B2 (en) 2003-11-21 2016-02-23 Intel Corporation State-transition based network intrusion detection
US7613923B2 (en) 2004-02-25 2009-11-03 Watchguard Technologies, Inc. Method and apparatus for controlling unsolicited messaging in real time messaging networks
US20050229246A1 (en) 2004-03-31 2005-10-13 Priya Rajagopal Programmable context aware firewall with integrated intrusion detection system
US8582567B2 (en) 2005-08-09 2013-11-12 Avaya Inc. System and method for providing network level and nodal level vulnerability protection in VoIP networks
US7451486B2 (en) * 2004-09-30 2008-11-11 Avaya Inc. Stateful and cross-protocol intrusion detection for voice over IP
KR100624483B1 (ko) 2004-10-06 2006-09-18 삼성전자주식회사 네트워크에서의 차등 침입탐지 장치 및 방법
KR100628317B1 (ko) 2004-12-03 2006-09-27 한국전자통신연구원 네트워크 공격 상황 탐지 장치 및 그 방법
WO2006093557A2 (en) * 2004-12-22 2006-09-08 Wake Forest University Method, systems, and computer program products for implementing function-parallel network firewall
US7607170B2 (en) * 2004-12-22 2009-10-20 Radware Ltd. Stateful attack protection
US7262697B2 (en) 2005-01-07 2007-08-28 Robert Bosch Gmbh Dual sensing intrusion detection method and system with state-level fusion
JP4170299B2 (ja) 2005-01-31 2008-10-22 独立行政法人 宇宙航空研究開発機構 通信状態遷移モニタ方法及びこれを利用した通信状態遷移モニタ装置
JP4545647B2 (ja) 2005-06-17 2010-09-15 富士通株式会社 攻撃検知・防御システム
US7653188B2 (en) 2005-07-20 2010-01-26 Avaya Inc. Telephony extension attack detection, recording, and intelligent prevention
US7813482B2 (en) 2005-12-12 2010-10-12 International Business Machines Corporation Internet telephone voice mail management
US20070150773A1 (en) 2005-12-19 2007-06-28 Nortel Networks Limited Extensions to SIP signaling to indicate SPAM
US8121839B2 (en) 2005-12-19 2012-02-21 Rockstar Bidco, LP Method and apparatus for detecting unsolicited multimedia communications
US20070143846A1 (en) 2005-12-21 2007-06-21 Lu Hongqian K System and method for detecting network-based attacks on electronic devices
US20070177615A1 (en) 2006-01-11 2007-08-02 Miliefsky Gary S Voip security
US20070165811A1 (en) 2006-01-19 2007-07-19 John Reumann System and method for spam detection
CN101009737B (zh) 2006-01-26 2010-09-15 国际商业机器公司 用于阻止垃圾语音呼叫的方法和装置
KR100738567B1 (ko) * 2006-02-01 2007-07-11 삼성전자주식회사 동적 네트워크 보안 시스템 및 그 제어방법
US20080037440A1 (en) 2006-06-29 2008-02-14 Politowicz Timothy J Detecting voice over internet protocol traffic
TWI435585B (zh) 2006-08-17 2014-04-21 Redcom Lab Inc 網際網路語音協定電信交換
US8220048B2 (en) * 2006-08-21 2012-07-10 Wisconsin Alumni Research Foundation Network intrusion detector with combined protocol analyses, normalization and matching
US7441429B1 (en) 2006-09-28 2008-10-28 Narus, Inc. SIP-based VoIP traffic behavior profiling
US8270588B2 (en) 2006-10-04 2012-09-18 Ronald Schwartz Method and system for incoming call management
US7962434B2 (en) 2007-02-15 2011-06-14 Wisconsin Alumni Research Foundation Extended finite state automata and systems and methods for recognizing patterns in a data stream using extended finite state automata
WO2009132668A1 (en) 2008-04-30 2009-11-05 Nec Europe, Ltd. Method and system for verifying the identity of a communication partner
US20100328074A1 (en) 2009-06-30 2010-12-30 Johnson Erik J Human presence detection techniques
US8640238B2 (en) * 2011-09-14 2014-01-28 Architecture Technology Corporation Fight-through nodes for survivable computer network
US9094449B2 (en) * 2011-09-14 2015-07-28 Architecture Technology Corporation Fight-through nodes for survivable computer network

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20010052014A1 (en) * 2000-05-31 2001-12-13 Sheymov Victor I. Systems and methods for distributed network protection

Also Published As

Publication number Publication date
US9178898B2 (en) 2015-11-03
EP2037654A1 (en) 2009-03-18
JP5311630B2 (ja) 2013-10-09
KR20090027592A (ko) 2009-03-17
US20090070875A1 (en) 2009-03-12
JP2009071818A (ja) 2009-04-02

Similar Documents

Publication Publication Date Title
KR101277913B1 (ko) 침입 검출 방법
KR100822553B1 (ko) 침입 검출 방법
KR101458215B1 (ko) 침입 검출 방법
Keromytis A comprehensive survey of voice over IP security research
Peng et al. Survey of network-based defense mechanisms countering the DoS and DDoS problems
Wheeler et al. Techniques for cyber attack attribution
Keromytis A survey of voice over IP security research
EP2597839A1 (en) Transparen Bridge Device for protecting network services
Keromytis Voice over IP Security: A Comprehensive Survey of Vulnerabilities and Academic Research
EP2141885B1 (en) Embedded firewall at a telecommunications endpoint
Ding et al. Intrusion detection system for signal based SIP attacks through timed HCPN
Satapathy et al. A comprehensive survey of security issues and defense framework for VoIP Cloud
Sher et al. Security threats and solutions for application server of IP multimedia subsystem (IMS-AS)
Hoffstadt et al. Improved detection and correlation of multi-stage VoIP attack patterns by using a Dynamic Honeynet System
Singh et al. BLAZE: A Mobile Agent Paradigm for VoIP Intrusion Detection Systems.
Barry et al. A hybrid, stateful and cross-protocol intrusion detection system for converged applications
Raad et al. Secure VoIP architecture based on honeypot technology
Etkin et al. Selective denial of service and its impact to internet based information systems
Barry et al. On the performance of a hybrid intrusion detection architecture for voice over IP systems
Fadlallah et al. Denial of service attack and defense schemes analysis and taxonomy
Saklani et al. Voice over IP (VOIP) Security Research-A Research
KR20100027829A (ko) 가상 프록시 서버를 이용한 에스아이피 공격탐지 시스템 및방법
Keromytis A Comprehensive Survey of Voice over IP Security Research
Barry A hybrid and cross-protocol architecture with semantics and syntax awareness to improve intrusion detection efficiency in Voice over IP environments
VOIP VoIP Honeypot Architecture

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160520

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170608

Year of fee payment: 5