KR101379779B1 - Caller Information Modulated Voice/Message Phishing Detecting and Blocking Method - Google Patents

Caller Information Modulated Voice/Message Phishing Detecting and Blocking Method Download PDF

Info

Publication number
KR101379779B1
KR101379779B1 KR1020120078668A KR20120078668A KR101379779B1 KR 101379779 B1 KR101379779 B1 KR 101379779B1 KR 1020120078668 A KR1020120078668 A KR 1020120078668A KR 20120078668 A KR20120078668 A KR 20120078668A KR 101379779 B1 KR101379779 B1 KR 101379779B1
Authority
KR
South Korea
Prior art keywords
message
sip
information
sip message
calling
Prior art date
Application number
KR1020120078668A
Other languages
Korean (ko)
Other versions
KR20140011751A (en
Inventor
양영님
Original Assignee
주식회사 나온웍스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 나온웍스 filed Critical 주식회사 나온웍스
Priority to KR1020120078668A priority Critical patent/KR101379779B1/en
Publication of KR20140011751A publication Critical patent/KR20140011751A/en
Application granted granted Critical
Publication of KR101379779B1 publication Critical patent/KR101379779B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/304Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting circuit switched data communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1076Screening of IP real time communications, e.g. spam over Internet telephony [SPIT]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1101Session protocols
    • H04L65/1104Session initiation protocol [SIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M7/00Arrangements for interconnection between switching centres
    • H04M7/006Networks other than PSTN/ISDN providing telephone service, e.g. Voice over Internet Protocol (VoIP), including next generation networks with a packet-switched transport layer

Abstract

본 발명은 공공기관, 금융권 대표 번호 등으로 조작된 국제 호 및 메시지와 해외에서 국내 인터넷 전화 별정업체를 경유하여 조작된 호 및 메시지 등 모든 보이스피싱 및 문자피싱 공격을 탐지 및 차단할 수 있는 인터넷 전화용 보안장비를 제공하는 데에 그 목적이 있다. 상술한 목적을 달성하기 위한 본 발명은 SIP 서버와 인터넷 전화(Internet Protocol Phone: IP Phone) 단말기 사이에 위치하는 VoIP(Voice Over Internet Protocol) 보안장비에 있어서, 상기 인터넷 단말기로부터 패킷을 수신하고, 상기 패킷이 SIP 메시지인 경우 SIP 메시지 파싱부에 전달하고, 상기 패킷이 SIP 메시지가 아닌 경우 SIP 메시지 송신부로 전달하는 SIP 메시지 수신부; 상기 SIP 메시지를 SIP 문법에 맞게 파싱하고, 상기 SIP 메시지가 비정상 SIP 메시지(Malformed SIP Message)인 경우 차단(Drop)하고, 상기 SIP 메시지가 정상 SIP 메시지인 경우 SIP 메시지 필터링부로 전달하는 SIP 메시지 파싱부; 상기 SIP 메시지 중 서비스등록요청 메시지는 SIP 가입자 관리부로 전달하고, 인터넷 전화요청 메시지 및 메시지요청 메시지는 SIP 발신정보 저장부로 전달하고, 상기 메시지 이외의 메시지는 상기 SIP 메시지 송신부로 전달하는 상기 SIP 메시지 필터링부; 상기 서비스등록요청 메시지의 가입자 정보를 저장하고, 상기 서비스등록요청 메시지를 상기 SIP 메시지 송신부로 전달하는 SIP 가입자 관리부; 상기 인터넷 전화요청 메시지 및 메시지요청 메시지의 발신번호가 SIP 문법에 맞는지 판단하여 비정상 SIP 메시지인 경우 차단(Drop)하고, 정상적인 발신정보를 가진 SIP 메시지인 경우 발신정보 및 발신IP정보를 저장하는 상기 SIP 발신정보 저장부; 상기 인터넷 전화요청 메시지 및 메시지요청 메시지를 발신번호 또는 발신IP 기준의 모니터링 정보로 저장하고, 발신정보 변조 필터링부로 전달하는 SIP 메시지 모니터링부; 상기 인터넷 전화요청 메시지 및 메시지요청 메시지가 발신번호 변조공격인지 경우 차단(Drop)하고, 그렇지 않은 경우 발신번호 유형 필터링부로 전달하는 상기 발신정보 변조 필터링부; 상기 인터넷 전화요청 메시지 및 메시지요청 메시지가 발신번호 유형공격인 경우 차단(Drop)하고, 그렇지 않은 경우 SIP 메시지 송신부로 전달하는 상기 발신번호 유형 필터링부; 및 전달받은 메시지를 상기 SIP 서버로 전달하는 상기 SIP 메시지 송신부;를 포함하는 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비를 제공한다. 본 발명에 의하면 IP주소 정보, SIP 메시지 정보, RTP 정보 등을 복합적으로 활용한 알고리즘을 확보할 수 있어 인터넷 전화 보안장비 기능 향상 및 활용도를 극대화할 수 있는 효과가 있다. 또한, 본 발명에 의하면 발신번호가 조작된 보이스피싱 및 문자피싱가 사용자에게 도달하기 전에 차단할 수 있는 효과가 있다.The present invention is for Internet phones that can detect and block all voice phishing and text phishing attacks, including international calls and messages manipulated by public institutions, financial representative numbers, etc., and calls and messages manipulated via domestic Internet phone-separated companies abroad. The purpose is to provide security equipment. The present invention for achieving the above object in the Voice Over Internet Protocol (VoIP) security equipment located between a SIP server and an Internet Protocol (IP Phone) terminal, receiving a packet from the Internet terminal, A SIP message receiver for transmitting the packet to the SIP message parsing unit if the packet is a SIP message and for transmitting the packet to the SIP message transmitter if the packet is not a SIP message; The SIP message parsing unit parses the SIP message according to the SIP grammar, drops if the SIP message is a malformed SIP message, and delivers the SIP message to a SIP message filtering unit when the SIP message is a normal SIP message. ; The SIP message filtering service transmits the service registration request message to the SIP subscriber management unit, the Internet telephone request message and the message request message to the SIP call information storage unit, and the message other than the message to the SIP message transmitter. part; A SIP subscriber manager which stores subscriber information of the service registration request message and delivers the service registration request message to the SIP message transmitter; The SIP which determines whether the originating number of the Internet call request message and the message request message conforms to the SIP grammar, drops if an abnormal SIP message, and stores calling information and outgoing IP information when the SIP message has normal calling information. Calling information storage unit; A SIP message monitoring unit for storing the Internet call request message and the message request message as monitoring information based on a calling number or calling IP and transmitting the same to the calling information modulation filtering unit; The calling information modulation filtering unit for blocking if the Internet call request message and the message request message are calling number modulation attacks, and otherwise transferring the calling number type filtering unit to the calling number type filtering unit; The calling number type filtering unit for blocking if the Internet call request message and the message request message are calling number type attacks, and if not, delivering to the SIP message transmitting unit; And the SIP message transmitter for transmitting the received message to the SIP server. The VoIP security device detects and blocks a voice phishing and text phishing attack in which outgoing information is modified. According to the present invention, it is possible to secure an algorithm using a combination of IP address information, SIP message information, and RTP information, thereby maximizing Internet telephone security equipment function and maximizing utilization. In addition, according to the present invention, there is an effect that the voice phishing and text phishing manipulated by the calling number can be blocked before reaching the user.

Description

발신 정보가 변조된 보이스 피싱 및 문자 피싱 공격을 탐지 및 차단하는 방법{Caller Information Modulated Voice/Message Phishing Detecting and Blocking Method}Caller Information Modulated Voice / Message Phishing Detecting and Blocking Method}

본 발명은 인터넷 전화망에서 불특정 통신 서비스의 가입자를 대상으로 하는 인터넷 전화 및 메시지에 대한 SIP(Session Initiation Protocol) 메시지를 조작하여 발신 번호가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 기술에 관한 것이다. 더 자세하게는 보안장비에서 보이스피싱 및 문자피싱 공격을 실시간 모니터링하여 인터넷 전화 서비스 가입자에게 공격이 전달되는 것을 방지하는 발신정보 기준의 SIP 메시지 실시간 모니터링 기술에 관한 것이다.
The present invention relates to a technique for detecting and blocking voice phishing and text phishing attacks in which an outgoing number has been tampered with by operating a Session Initiation Protocol (SIP) message for an Internet phone and a message targeted at subscribers of an unspecified communication service in an Internet telephone network. will be. More specifically, the present invention relates to a SIP message real-time monitoring technology based on call information that prevents an attack from being delivered to an Internet telephone service subscriber by real-time monitoring of voice phishing and text phishing attacks in a security device.

기존의 인터넷 전화용 보안장비는 통신사업자 호처리 서버 및 기업내 IP-PBX(Internet Protocol - Private Branch Exchange) 등 서버 보호하는 기능을 한다. 기존의 인터넷 전화 보안장비의 기능으로는 비정상 메시지 공격, 플러딩(Flooding) 공격, SIP ACL(Access Control List) 및 인터넷 전화 및 메시지 스팸의 탐지/차단 기능이 있다.
The existing security equipment for Internet telephony functions to protect servers such as service provider call processing servers and IP-PBX (Internet Protocol-Private Branch Exchange) in the enterprise. Existing Internet phone security features include abnormal message attacks, flooding attacks, SIP access control lists (ACLs), and detection / blocking of Internet phone and message spam.

기존의 인터넷 전화용 보안장비는 보호 대상이 되는 호처리 서버 및 IP-PBX 시스템의 SIP 시그널링 IP/PORT를 기준으로 수신되는 SIP 메시지를 모니터링하여 서버 보호하는 SIP 보안 기능을 수행한다.
The existing security equipment for Internet telephony performs a SIP security function to protect a server by monitoring incoming SIP messages based on SIP signaling IP / PORT of a call processing server and IP-PBX system to be protected.

기존 인터넷 전화용 보안장비의 기능을 구체적으로 살펴보면 다음과 같다. (1)SIP 메시지를 수신하면 SIP ACL 정보에 따라 출발지/목적지 IP/PORT/URL 정보가 일치할 경우 허용 및 차단 설정에 따라 해당 SIP 메시지를 처리한다. (2)수신한 SIP 메시지에 대하여 SIP flooding(SIP DoS/SIP DDoS) 공격 발생 여부를 판단하여 공격 발생시 해당 SIP 메시지를 허용 및 차단 설정에 따라 처리한다. (3)수신한 SIP 메시지를 SIP 파싱하여 SIP 구문 오류 공격인 경우에는 SIP 구문 오류 허용 및 차단 설정에 따라 처리한다. (4)수신한 SIP 메시지가 Call 상태를 위반하여 전송되는 공격인 경우, 통화 당사자가 아닌 다른 주체로부터 전송되는 메시지인 공격인 경우 또는 정상적인 인증 없이 전송되는 공격인 경우에는 비정상번호로 허용 및 차단 설정에 따라 처리한다. (5)수신한 SIP 메시지가 인터넷 전화를 대량으로 임의의 사용자에게 전송하는 경우, 광고 및 홍보 목적의 내용이 포함된 메시지를 대량의 사용자에게 전송하는 경우에는 스팸 허용 및 차단 설정에 따라 처리한다. (6)SIP 서버 대상의 보안 공격이 아닌 경우에는 해당 SIP 메시지를 해당 서버로 정상적으로 송신하여 보안 기능 수행을 종료한다.
The function of the existing security equipment for the Internet phone is as follows. (1) When the SIP message is received, if the source / destination IP / PORT / URL information matches according to the SIP ACL information, the SIP message is processed according to the allow and block settings. (2) It determines whether SIP flooding (SIP DoS / SIP DDoS) attack occurs on the received SIP message and processes the SIP message according to the allow and block setting when the attack occurs. (3) SIP parsing of received SIP message is processed in case of SIP syntax error attack according to SIP syntax error enable and block setting. (4) If the received SIP message is an attack transmitted in violation of Call status, the attack is a message sent from a subject other than the calling party, or an attack transmitted without normal authentication, allow and block abnormal numbers. Handle in accordance with. (5) When a received SIP message transmits a large number of Internet phones to an arbitrary user, and when a message containing advertising and promotional purposes is sent to a large number of users, it is processed according to the spam allowance and blocking setting. (6) If the SIP server is not a security attack, the SIP message is sent to the server to terminate the security function.

최근 사용자를 기만하여 금전을 편취하는 보이스피싱 및 문자피싱이 성행하고 있는데, 기존의 인터넷 전화용 보안장비는 SIP 서버 보호기능만을 탑재하고 있어 사회적으로 문제가 되는 보이스피싱 및 문자피싱 차단에는 무방비로 노출되어 있는 상태이다. 따라서, 해외로부터 국내로 유입되는 인터넷 전화 국제 호 및 메시지에 중에 발신 번호가 공공기관, 금융권 대표 번호 등으로 조작된 국제 호 및 메시지와 해외에서 국내 인터넷 전화 별정업체를 경유하여 조작된 호 및 메시지 등 모든 보이스피싱 및 문자피싱 공격을 탐지 및 차단할 수 있는 인터넷 전화용 보안장비가 요구되고 있다.
Recently, voice phishing and text phishing that deceive money by deceiving users are prevalent. Existing internet phone security equipment is equipped with only SIP server protection function, so it is unprotected to prevent socially problematic voice phishing and text phishing. It is in a state. Therefore, international calls and messages, whose originating numbers are operated by public institutions and representatives of financial institutions, etc., and calls and messages operated via domestic Internet phone-separated companies from abroad, There is a need for security devices for Internet telephony that can detect and block all voice and text phishing attacks.

발신번호가 조작된 국제 호에 대해서 탐지 및 차단할 수 있는 근거법은 빠르면 2012년 국회 통과가 예상되는데 이럴 경우 KT, SKBB, LGU+, 삼성SDS 등 주요 10개 기간통신사업자 및 인터넷 전화사업자는 조기에 기술적인 장비를 구축해야 하며 중소별정통신업체는 일정기간의 유예기간 후에 구축해야 한다. 따라서, 발신번호가 조작된 국제 호를 차단할 수 있는 인터넷 전화용 보안장비가 요구되고 있다.
Evidence law that can detect and block outbound international calls is expected to pass through the National Assembly as early as 2012. In this case, major 10 key telecommunications carriers such as KT, SKBB, LGU +, Samsung SDS, and Internet telephony service providers should Equipment must be built, and small and medium-sized telecommunications carriers must build after a period of grace. Therefore, there is a need for a security device for Internet telephony that can block international calls from which the calling number is manipulated.

본 발명은 해외로부터 국내로 유입되는 인터넷 전화 국제 호 및 메시지 중 발신 정보가 변조되어 공공기관, 금융권 대표 번호 등으로 조작된 국제 호 및 메시지와 해외에서 국내 인터넷 전화 별정업체를 경유하여 조작된 호 및 메시지 등의 보이스피싱 및 문자피싱을 탐지하고 차단하는 보이스피싱 및 문자피싱 공격에 대한 탐지 및 차단 방법을 제공하는 데에 그 목적이 있다.
The present invention is an international call and messages that are tampered with international telephone calls and messages that are imported from Korea from abroad and manipulated by public institutions, financial representatives, etc. An object of the present invention is to provide a detection and blocking method for voice phishing and text phishing attacks that detect and block voice phishing and text phishing such as messages.

본 발명은 보이스피싱 및 문자피싱 공격을 실시간 모니터링하여 공격을 미연에 방지하기 위한 발신정보 기준의 SIP 메시지 실시간 모니터링 방법을 제공하는 데에 그 목적이 있다.
An object of the present invention is to provide a real-time monitoring method of SIP messages based on source information to prevent attacks in advance by real-time monitoring of voice phishing and text phishing attacks.

본 발명이 이루고자 하는 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 본 발명의 기재로부터 당해 분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
The technical objects to be achieved by the present invention are not limited to the above-mentioned technical problems, and other technical subjects which are not mentioned can be clearly understood by those skilled in the art from the description of the present invention .

상술한 목적을 달성하기 위한 본 발명은 SIP 서버와 인터넷 전화(Internet Protocol Phone: IP Phone) 단말기 사이에 위치하는 VoIP(Voice Over Internet Protocol) 보안장비에 있어서, 상기 인터넷 단말기로부터 패킷을 수신하고, 상기 패킷이 SIP 메시지인 경우 SIP 메시지 파싱부에 전달하고, 상기 패킷이 SIP 메시지가 아닌 경우 SIP 메시지 송신부로 전달하는 SIP 메시지 수신부; 상기 SIP 메시지를 SIP 문법에 맞게 파싱하고, 상기 SIP 메시지가 비정상 SIP 메시지(Malformed SIP Message)인 경우 차단(Drop)하고, 상기 SIP 메시지가 정상 SIP 메시지인 경우 SIP 메시지 필터링부로 전달하는 SIP 메시지 파싱부; 상기 SIP 메시지 중 서비스등록요청 메시지는 SIP 가입자 관리부로 전달하고, 인터넷 전화요청 메시지 및 메시지요청 메시지는 SIP 발신정보 저장부로 전달하고, 상기 메시지 이외의 메시지는 상기 SIP 메시지 송신부로 전달하는 상기 SIP 메시지 필터링부; 상기 서비스등록요청 메시지의 가입자 정보를 저장하고, 상기 서비스등록요청 메시지를 상기 SIP 메시지 송신부로 전달하는 SIP 가입자 관리부; 상기 인터넷 전화요청 메시지 및 메시지요청 메시지의 발신정보가 SIP 문법에 맞는지 판단하여 비정상 SIP 메시지인 경우 차단(Drop)하고, 정상적인 발신정보를 가진 SIP 메시지인 경우 발신정보 및 발신IP정보를 저장하는 상기 SIP 발신정보 저장부; 상기 인터넷 전화요청 메시지 및 메시지요청 메시지를 발신번호 또는 발신IP 기준의 모니터링 정보로 저장하고, 발신정보 변조 필터링부로 전달하는 SIP 메시지 모니터링부; 상기 인터넷 전화요청 메시지 및 메시지요청 메시지가 발신번호 변조공격인지 경우 차단(Drop)하고, 그렇지 않은 경우 발신번호 유형 필터링부로 전달하는 상기 발신정보 변조 필터링부; 상기 인터넷 전화요청 메시지 및 메시지요청 메시지가 발신번호 유형공격인 경우 차단(Drop)하고, 그렇지 않은 경우 SIP 메시지 송신부로 전달하는 상기 발신번호 유형 필터링부; 및 전달받은 메시지를 상기 SIP 서버로 전달하는 상기 SIP 메시지 송신부;를 포함하는 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비를 제공한다.
The present invention for achieving the above object in the Voice Over Internet Protocol (VoIP) security equipment located between a SIP server and an Internet Protocol (IP Phone) terminal, receiving a packet from the Internet terminal, A SIP message receiver for transmitting the packet to the SIP message parsing unit if the packet is a SIP message and for transmitting the packet to the SIP message transmitter if the packet is not a SIP message; The SIP message parsing unit parses the SIP message according to the SIP grammar, drops if the SIP message is a malformed SIP message, and delivers the SIP message to a SIP message filtering unit when the SIP message is a normal SIP message. ; The SIP message filtering service transmits the service registration request message to the SIP subscriber management unit, the Internet telephone request message and the message request message to the SIP call information storage unit, and the message other than the message to the SIP message transmitter. part; A SIP subscriber manager which stores subscriber information of the service registration request message and delivers the service registration request message to the SIP message transmitter; The SIP storing the outgoing information and the outgoing IP information in case of a SIP message having normal outgoing information by blocking whether it is an abnormal SIP message by determining whether the outgoing information of the Internet call request message and the message request message conforms to the SIP grammar. Calling information storage unit; A SIP message monitoring unit for storing the Internet call request message and the message request message as monitoring information based on a calling number or calling IP and transmitting the same to the calling information modulation filtering unit; The calling information modulation filtering unit for blocking if the Internet call request message and the message request message are calling number modulation attacks, and otherwise transferring the calling number type filtering unit to the calling number type filtering unit; The calling number type filtering unit for blocking if the Internet call request message and the message request message are calling number type attacks, and if not, delivering to the SIP message transmitting unit; And the SIP message transmitter for transmitting the received message to the SIP server. The VoIP security device detects and blocks a voice phishing and text phishing attack in which outgoing information is modified.

본 발명은 상기 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비에 있어서, 상기 SIP 발신정보 저장부는 SIP 메시지 내에 발신 번호가 저장되어 있는 From 헤더 또는P-Asserted-Identity 헤더 및 헤더 값이 SIP 규격에 맞는지 판단하여 비정상 메시지를 판단하고 정상적인 메시지에 대하여발신 정보를 저장하는 것을 특징으로 하는 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비를 제공한다.
The present invention provides a VoIP security device for detecting and blocking voice phishing and text phishing attacks in which the calling information is modified, wherein the SIP calling information storage unit includes a From header or a P-Asserted-Identity header in which a calling number is stored in a SIP message. And a VoIP security device that detects and blocks voice information and text phishing attacks in which outgoing information has been tampered with, by determining whether a header value conforms to the SIP standard, determining an abnormal message, and storing outgoing information about the normal message. .

본 발명은 상기 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비에 있어서, 상기 SIP 발신정보 저장부는 SIP 메시지 내에 SDP(Session Data Protocol) 부를 파싱하여 RTP(Realtime Tranfer Protocol) IP를 저장하는 것을 특징으로 하는 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비를 제공한다.
The present invention provides a VoIP security device that detects and blocks a voice phishing and text phishing attack in which the outgoing information is modified, wherein the SIP outgoing information storage unit parses a Session Data Protocol (SDP) unit in a SIP message to obtain a Realtime Tranfer Protocol (RTP). The present invention provides VoIP security equipment that detects and blocks voice information and text phishing attacks in which outgoing information is modified, which stores IP.

본 발명은 상기 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비에 있어서, 상기 모니터링 정보는 인터넷 전화요청 및 메시지요청을 단위 시간당 시도 횟수로 저장하며 발신 번호 및 발신 IP를 기준으로 수집하는 것을 특징으로 하는 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비를 제공한다.
The present invention provides a VoIP security device that detects and blocks voice phishing and text phishing attacks in which the calling information is tampered with, wherein the monitoring information stores the Internet call request and the message request as the number of attempts per unit time, and stores the calling number and the calling IP. It provides a VoIP security equipment that detects and blocks voice phishing and text phishing attacks in which outgoing information, which is collected as a reference, is modified.

본 발명은 상기 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비에 있어서, 상기 발신정보 변조공격은 상기 SIP 메시지의 발신IP가 국외 IP 대역을 가진 SIP 메시지의 발신번호를 국내 전화번호로 변조한 경우를 포함하는 것을 특징으로 하는 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비를 제공한다.
The present invention provides a VoIP security device that detects and blocks a voice phishing and text phishing attack in which the calling information is modified, wherein the calling information tampering attack uses a calling number of a SIP message having an originating IP of the SIP message. It provides a VoIP security device that detects and blocks voice phishing and text phishing attacks in which outgoing information is altered, including a case where a domestic telephone number is modified.

본 발명은 상기 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비에 있어서, 상기 발신정보 변조공격은 상기 RTP IP가 국외 IP 대역을 가진 SIP 메시지의 발신번호를 국내 전화번호로 변조한 경우를 포함하는 것을 특징으로 하는 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비를 제공한다.
The present invention provides a VoIP security device for detecting and blocking a voice phishing and text phishing attack in which the calling information is modified, wherein the calling information tampering attack uses the domestic telephone number as the calling number of a SIP message having the RTP IP of an overseas IP band. The present invention provides a VoIP security device for detecting and blocking voice phishing and text phishing attacks in which outgoing information is modified, including a case where the information is modified.

본 발명은 상기 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비에 있어서, 상기 발신정보 변조공격은 상기 SIP 메시지 헤더값이 국외 IP 대역을 가진 SIP 메시지의 발신번호를 국내 전화번호로 변조한 경우를 포함하는 것을 특징으로 하는 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비를 제공한다.
The present invention provides a VoIP security device that detects and blocks a voice phishing and text phishing attack in which the calling information is modulated. The present invention provides a VoIP security device for detecting and blocking voice phishing and text phishing attacks in which outgoing information is modified, including a case where a telephone number is modified.

본 발명은 상기 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비에 있어서, 상기 발신정보 변조공격은 상기 가입자 정보를 분석하여 해당 가입자가 등록한 번호와 다른 발신번호로 변조한 경우를 포함하는 것을 특징으로 하는 발신번호가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비를 제공한다.
The present invention provides a VoIP security device that detects and blocks a voice phishing and text phishing attack in which the calling information is modified, wherein the calling information tampering attack analyzes the subscriber information and modulates the calling information to a calling number different from the number registered by the corresponding subscriber. It provides a VoIP security equipment that detects and blocks the voice number and text phishing attack in which the calling number is altered, characterized in that it comprises a case.

본 발명은 상기 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비에 있어서, 상기 발신번호 유형공격은 상기 SIP 메시지의 발신번호 헤더 값이 001 내지 009이면서 발신 IP가 사용자가 정의한 특정 IP 대역인 경우 발신자 국제전화 유형공격으로 판단하는 것을 특징으로 하는 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비를 제공한다.
The present invention provides a VoIP security device that detects and blocks a voice phishing and text phishing attack in which the calling information is tampered with, wherein the calling number type attack indicates that the calling IP number of the SIP message is 001 to 009 while the calling IP is set by the user. In case of defined IP band, it provides VoIP security equipment to detect and block voice phishing and text phishing attack in which outgoing information is tampered with.

본 발명은 상기 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비에 있어서, 상기 발신번호 유형공격은 상기 SIP 메시지의 발신번호 헤더 값이 010 내지 019이면서 발신 IP가 사용자가 정의한 특정 IP 대역인 경우 발신자 이동통신 유형공격으로 판단하는 것을 특징으로 하는 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비를 제공한다.
The present invention provides a VoIP security device that detects and blocks a voice phishing and text phishing attack in which the calling information is tampered with, wherein the calling number type attack indicates that the calling IP number of the SIP message is 010 to 019. In case of defined specific IP band, it provides VoIP security equipment that detects and blocks voice information and text phishing attack in which outgoing information is modified, which is determined as a caller's mobile communication type attack.

본 발명은 상기 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비에 있어서, 발신번호 변조유형 정보가 포함된 발신번호 유형공격 DB를 포함하고, 상기 발신번호 유형공격은 상기 SIP 메시지의 발신번호 헤더 값이 상기 발신번호 유형공격 DB에 존재하면서 발신 IP가 사용자가 정의한 특정 IP 대역인 경우 사용자정의 유형공격으로 판단하는 것을 특징으로 하는 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비를 제공한다.
The present invention provides a VoIP security device that detects and blocks voice phishing and text phishing attacks in which the calling information is modified, and includes a calling number type attack DB including calling number modulation type information. Voice phishing and text phishing attack in which outgoing information has been tampered with, if the outgoing number header value of the SIP message exists in the outgoing number type attack DB and the outgoing IP is a specific IP band defined by the user. Provides VoIP security equipment to detect and block

본 발명에 의하면 IP주소 정보, SIP 메시지 정보, RTP 정보 등을 복합적으로 활용한 알고리즘을 확보할 수 있어 인터넷 전화 보안장비 기능 향상 및 활용도를 극대화할 수 있는 효과가 있다. 또한, 본 발명에 의하면 발신번호가 조작된 보이스피싱 및 문자피싱가 사용자에게 도달하기 전에 차단할 수 있는 효과가 있다.
According to the present invention, it is possible to secure an algorithm using a combination of IP address information, SIP message information, and RTP information, thereby maximizing Internet telephone security equipment function and maximizing utilization. In addition, according to the present invention, there is an effect that the voice phishing and text phishing manipulated by the calling number can be blocked before reaching the user.

<도면 >1은 본 발명의 실시 예에 따른 인터넷 전화 전용 보안 장비에서 발신 정보가 변조된 보이스 피싱 및 문자 피싱 공격 발생 환경에 대해 도시한 것이고 <도면 2>는 본 발명의 실시 예에 따른 SIP 기반 인터넷 전화 서비스 보안방법에 대한 기능 블럭도를 보여주는 도면이고, <도면 3>은 본 발명의 실시 예에 따른 인터넷 전화 전용 보안 장비에서 발신 정보가 변조된 보이스 피싱 및 문자 피싱 공격을 탐지 및 차단하는 방법에 대한 순서를 보여주는 도면이다.FIG. 1 illustrates a voice phishing and text phishing attack environment in which outgoing information is modified in an Internet telephone-only security device according to an embodiment of the present invention. FIG. FIG. 3 is a diagram illustrating a functional block diagram of a method for securing an Internet telephone service, and FIG. 3 is a method for detecting and blocking a voice phishing and text phishing attack in which outgoing information has been tampered with, in a security device exclusively for Internet telephony according to an embodiment of the present invention. This is a diagram showing the order for.

최근 통신 비용 절감, 다양한 부가 서비스 활용 등으로 인터넷 전화 사용이 급증하고 있으나 인터넷 전화는 IP 네트워크 기반에서 전화를 사용하는 것으로 일반 유선 전화에 비해 네트워크상에서 인터넷 전화 호 제어 신호 및 통화 내용의 불법 도청이 용이하며, 인터넷 전화 무료 사용을 위한 서비스 오용 공격, 그리고 서비스 거부 공격으로 인터넷 전화망이 일순간 마비될 수 있는 등 기존 유선 전화에 비해 여러 가지 보안 취약점이 존재한다.
In recent years, the use of Internet telephony is rapidly increasing due to the reduction of communication costs and the use of various additional services. However, Internet telephony is based on IP network. In addition, there are several security vulnerabilities compared to the existing landline telephones, such as a service misuse attack for free use of an Internet phone and a denial of service attack.

이러한 취약점 중에 하나가 미리 수집된 개인 정보를 통해 불특정 다수에게 발신 전화 번호 조작을 통해 인터넷 전화 및 메시지를 시도할 수 있다. 이와 같이 인터넷 전화 공격자에 의하여 발신 전화 번호 조작이 쉬워 공공기관이나 개인의 전화 번호로 변조하는 등 공격자에게 악용될 경우 매우 심각한 피해를 야기할 수 있다. 최근 장난전화 및 보이스피싱 등에서 이러한 발신 전화번호 조작이 많이 활용되고 있으며 이는 수사 기관에 의한 발신자 추적을 어렵게 하고 있어 많은 사람들이 피해를 입고 있는 상황이다. 그 중에서 최근 몇 년간 사회적 문제를 야기하는 보이스피싱 또는 전화 사기는 범행 대상자에게 전화를 걸어 허위 사실을 이야기하고 송금을 요구하거나 특정 개인 정보를 수집하는 사기 수법을 말한다. 기존 유선 전화망에서는 국제전화 발신 표시제 시행으로 감소 추세를 보였으나 최근 국제전화 번호가 표시되지 않는 인터넷 전화를 통해 발신 번호를 국내 공공기관 등의 전화 번호로 조작하는 등 새로운 수법을 쓰면서 다시 증가하고 있는 것으로 파악되고 있다.
One of these vulnerabilities can attempt to make Internet calls and messages by manipulating outgoing phone numbers to an unspecified number through pre-collected personal information. As such, the outgoing telephone number can be easily manipulated by an Internet telephone attacker, and if the telephone number is used by an attacker such as a public agency or a personal telephone number, it can cause serious damage. Recently, outgoing telephone number manipulation is widely used in prank calls and voice phishing, which makes it difficult to track callers by investigative agencies, and many people are suffering from the situation. Among them, voice phishing or phone scams, which have caused social problems in recent years, are fraudulent methods that call offenders to talk about false facts, demand remittances or collect certain personal information. Existing landline telephone networks have been on the decline due to the international call origination system, but recently they are increasing again by using new techniques such as manipulating outgoing numbers with phone numbers of domestic public organizations through internet phones without international phone numbers. It is grasped.

국내에 운용중인 인터넷 전화 보안장비는 서버 보안을 위한 기능 위주로 VoIP 기반의 DoS/DDoS 공격 탐지 및 차단, 비정상 신호 및 음성 메시지를 통한 공격 탐지 및 차단, 음성/메시지 스팸 탐지 및 차단, SIP ACL 탐지 및 차단 기능 등으로 대부분 호처리 서버를 보호하는 기능 위주로 제공하고 있어 발신 번호가 조작된 인터넷 전화 및 메시지에 대한 검출 기능은 전무한 상황이다. 보이스피싱 및 문자피싱은 IP주소 정보, 발신 번호 정보 등을 조합하여 이상 유무를 판단해야 하는 관계로 종래의 보안장비에서 제공하는 알고리즘으로는 탐지 및 차단이 어렵다.
Internet phone security equipment operating in Korea mainly detects and blocks VoIP based DoS / DDoS attacks, detects and blocks attacks through abnormal signals and voice messages, detects and blocks voice and message spam, detects SIP ACL, Most of the call processing servers are protected by blocking functions, so there is no detection function for Internet telephones and messages with outgoing numbers. Voice phishing and text phishing are difficult to detect and block with an algorithm provided by a conventional security device because it is necessary to determine whether there is an error by combining IP address information and calling number information.

본 발명의 일 실시예는 SIP 서버와 인터넷 전화(Internet Protocol Phone: IP Phone) 단말기 사이에 위치하는 VoIP(Voice Over Internet Protocol) 보안장비에 있어서, 상기 인터넷 단말기로부터 패킷을 수신하고, 상기 패킷이 SIP 메시지인 경우 SIP 메시지 파싱부(220)에 전달하고, 상기 패킷이 SIP 메시지가 아닌 경우 SIP 메시지 송신부(290)로 전달하는 SIP 메시지 수신부(210), 상기 SIP 메시지를 SIP 문법에 맞게 파싱(Parsing)하고, 상기 SIP 메시지가 비정상 SIP 메시지(Malformed SIP Message)인 경우 차단(Drop)하고, 상기 SIP 메시지가 정상 SIP 메시지인 경우 SIP 메시지 필터링부(230)로 전달하는 SIP 메시지 파싱부(220), 상기 SIP 메시지 중 서비스등록요청 메시지는 SIP 가입자 관리부(240)로 전달하고, 인터넷 전화요청 메시지 및 메시지요청 메시지는 SIP 발신정보 저장부(250)로 전달하고, 상기 메시지 이외의 메시지는 상기 SIP 메시지 송신부(290)로 전달하는 상기 SIP 메시지 필터링부(230), 상기 서비스등록요청 메시지의 가입자 정보를 저장하고, 상기 서비스등록요청 메시지를 상기 SIP 메시지 송신부(290)로 전달하는 SIP 가입자 관리부(240), 상기 인터넷 전화요청 메시지 및 메시지요청 메시지의 발신번호가 SIP 문법에 맞는지 판단하여 비정상 SIP 메시지인 경우 차단(Drop)하고, 정상적인 발신정보를 가진 SIP 메시지인 경우 발신정보 및 발신IP정보를 저장하는 상기 SIP 발신정보 저장부(250), 상기 인터넷 전화요청 메시지 및 메시지요청 메시지를 발신정보 또는 발신IP정보 기준의 모니터링 정보로 저장하고, 발신정보 변조 필터링부(270)로 전달하는 SIP 메시지 모니터링부(260), 상기 인터넷 전화요청 메시지 및 메시지요청 메시지가 발신번호 변조공격인지 경우 차단(Drop)하고, 그렇지 않은 경우 발신번호 유형 필터링부(280)로 전달하는 상기 발신정보 변조 필터링부(270), 상기 인터넷 전화요청 메시지 및 메시지요청 메시지가 발신번호 유형공격인 경우 차단(Drop)하고, 그렇지 않은 경우 SIP 메시지 송신부(290)로 전달하는 상기 발신번호 유형 필터링부(280) 및 전달받은 메시지를 상기 SIP 서버로 전달하는 상기 SIP 메시지 송신부(290)를 포함하는 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비를 제공한다.
According to an embodiment of the present invention, in a Voice Over Internet Protocol (VoIP) security device located between a SIP server and an Internet Protocol (IP Phone) terminal, a packet is received from the Internet terminal, and the packet is SIP. If the message is sent to the SIP message parsing unit 220, and if the packet is not a SIP message, the SIP message receiving unit 210 to deliver to the SIP message transmitter 290, parsing the SIP message according to the SIP grammar (Parsing) And a SIP message parsing unit 220 which drops when the SIP message is a malformed SIP message, and delivers the SIP message to the SIP message filtering unit 230 when the SIP message is a normal SIP message. The service registration request message of the SIP message is delivered to the SIP subscriber management unit 240, the Internet telephone request message and the message request message is delivered to the SIP call information storage unit 250, the message The other message stores the subscriber information of the SIP message filtering unit 230 and the service registration request message delivered to the SIP message transmitter 290, and transfers the service registration request message to the SIP message transmitter 290. The SIP subscriber management unit 240 determines whether the originating number of the Internet call request message and the message request message conforms to the SIP grammar, and blocks the abnormal SIP message, and if the SIP message has the normal calling information, the calling information and The SIP call information storage unit 250 for storing the caller IP information, the Internet call request message and the message request message is stored as the monitoring information based on the caller information or caller IP information, and forwarded to the caller information modulation filter 270 SIP message monitoring unit 260, if the Internet call request message and the message request message is a call number modulation attack Drop, if the call information modulation filtering unit 270, and if the Internet call request message and the message request message that is forwarded to the call number type filtering unit 280 (Drop) blocked If not, the voice information modulated by the source number type filtering unit 280 for transmitting to the SIP message transmitter 290 and the SIP message transmitter 290 for transmitting the received message to the SIP server. It provides VoIP security equipment to detect and block phishing and text phishing attacks.

보이스피싱 및 문자피싱 공격은 크게 발신번호 변조공격과 발신번호 유형공격으로 구분할 수 있으며, 본 발명의 일 실시예는 상술한 두 가지 보이스피싱 및 문자피싱 공격을 탐지하고 차단할 수 있다.
Voice phishing and text phishing attacks can be largely divided into calling number modulation attacks and calling number type attacks, and an embodiment of the present invention can detect and block the two voice phishing and text phishing attacks described above.

SIP 메시지 내의 IP정보와 실제 수신한 SIP 메시지의 IP 정보를 비교하여 발신정보가 변조된 경우 발신번호 변조공격으로 판단하여 탐지 및 차단하게 되는데, SIP 메시지 내의 IP정보 유형에 따라 다음과 같이 구분한다.
If the calling information is tampered with by comparing the IP information in the SIP message with the IP information of the actually received SIP message, it is determined as a calling number tampering attack and detected and blocked. The classification is made as follows according to the IP information type in the SIP message.

(1) IP헤더 상의 발신번호 변조공격의 탐지 및 차단(1) Detection and blocking of outgoing number tampering attacks on IP headers

SIP 메시지의 발신IP와 발신번호(From/P-Asserted-Identity)를 분석하여 국외 IP주소 대역을 가진 SIP 메시지가 국내 전화번호로 변조된 경우 IP헤더/발신번호 변조공격으로 판단하여 차단할 수 있다. 즉, 국가/공공기관 등 국내 전화번호를 발신번호로 변조한 SIP 메시지가 국외 IP대역으로부터 수신되는 경우를 발신번호 변조 공격으로 판단하는 것이다.
By analyzing the originating IP and the originating number (From / P-Asserted-Identity) of the SIP message, if the SIP message with the foreign IP address band is modified with a domestic telephone number, it can be determined by blocking the IP header / calling number modulation attack. That is, a case where a SIP message obtained by modifying a domestic telephone number, such as a country / public agency, as a calling number is received from an external IP band is determined as a calling number tampering attack.

(2) RTP 세션 정보 상의 발신번호 변조공격 탐지 및 차단(2) Detection and blocking of outgoing number tampering attacks on RTP session information

음성 및 영상이 전달될 RTP(Realtime Transfer Protocol) 세션 정보를 포함한 SDP정보를 분석해서 SIP 메시지의 발신번호(From/P-Asserted-Identity)는 국내 전화번호이지만 국외IP 대역으로 RTP IP 대역을 실제 음성 및 영상 트래픽망으로 사용하려는 경우 발신번호 변조공격으로 판단하여 차단할 수 있다.
Analyzing SDP information including RTP (Realtime Transfer Protocol) session information through which voice and video will be transmitted, the SIP message origination number (From / P-Asserted-Identity) is a domestic phone number, And if you want to use as a video traffic network can be determined by blocking the call number modulation attack.

(3) SIP 헤더의 IP 정보 상의 발신번호 변조공격 탐지 및 차단(3) Detection and blocking of originating number tampering attacks on IP information of SIP header

SIP 메시지 내의 헤더 값 중 IP 값이 포함되어 있는 메시지(From, Via, Contact 등)를 분석하여 해당 IP정보와 발신번호(From/P-Asserted-Identity)를 비교하여 변조된 경우 발신번호 변조공격으로 판한하여 차단할 수 있다. 즉, 국가 공공기관 등 국내 전화번호를 발신번호로 하는 SIP 메시지가 국외IP 대역을 헤더 값으로 포함한 경우 이를 발신번호 변조공격으로 판단하는 것이다.
Analyzes the message (From, Via, Contact, etc.) that contains the IP value among the header values in the SIP message and compares the IP information with the calling number (From / P-Asserted-Identity). It can be blocked by selling. That is, if a SIP message including a domestic telephone number as a calling number, such as a national public agency, includes an external IP band as a header value, it is determined as a calling number tampering attack.

(4) 가입정보 상의 발신번호 변조공격 탐지 및 차단(4) Detection and blocking of outgoing number tampering attacks on subscription information

REGISTER 메소드 메시지를 통하여 정상적으로 SIP 서버에 등록된 가입자정보를 저장하고, SIP 서버에 정상적으로 등록된 가입자정보를 참조하여 해당 가입자가 사용할 수 없는 발신번호(From/P-Asserted-Identity)로 시도되는 SIP 메시지를 발신번호 변조공격으로 판단하여 차단할 수 있다. 즉, 실제 등록한 가입정보와 다른 정보로 변조하여 SIP 메시지를 송신하는 경우 이를 발신번호 변조공격으로 판단하는 것이다.
SIP message which stores subscriber information normally registered in SIP server through REGISTER method message, and tries with From / P-Asserted-Identity which is not available to corresponding subscriber by referring subscriber information normally registered in SIP server. Can be blocked by judging it as a tampering attack. In other words, when the SIP message is transmitted by modulating the information with the registered information different from the registered subscription information, it is determined as the originating number modulation attack.

발신정보(From/P-Asserted-Identity) Prefix가 국제전화, 이동전화, 사용자정의 전화와 일치하는 경우 이르 발신번호 유형공격으로 판단하여 차단할 수 있다. 발신정보 Prefix의 특성에 따라 다음과 같이 구분한다.
If the From / P-Asserted-Identity Prefix matches the international call, mobile call, or user-defined call, it can be blocked by determining the originating number type attack. According to the characteristics of origination information prefix, it is classified as follows.

(1) 발신번호의 국제전화 유형공격 탐지 및 차단(1) Detect and block international call type attack of calling number

발신번호(From/P-Asserted-Identity) 헤더 값에 Prefix로 001 내지 009가 존재하는 SIP 메시지를 수신하고 발신 IP가 사용자가 정의한 특정 IP 대역인 경우 국제전화 유형공격으로 판단하여 차단할 수 있다.
If a SIP message in which 001 to 009 exists as a prefix in a From / P-Asserted-Identity header value is received, and the originating IP is a specific IP band defined by a user, it may be determined to be blocked by an international call type attack.

(2) 발신번호의 이동전화 유형공격 탐지 및 차단(2) Mobile phone type attack detection and blocking of calling number

발신번호(From/P-Asserted-Identity) 헤더 값에 Prefix로 010 내지 019가 존재하는 SIP 메시지를 수신하고 발신 IP가 사용자가 정의한 특정 IP 대역인 경우 이동전화 유형공격으로 판단하여 차단할 수 있다.
When receiving a SIP message in which 010 to 019 exists as a prefix in the From / P-Asserted-Identity header value, and the originating IP is a specific IP band defined by the user, it may be determined as a mobile phone type attack and blocked.

(3) 발신번호의 사용자정의 유형공격 탐지 및 차단(3) Detect and block custom type attack of calling number

주요 공공기관과 같은 보이스피싱에 발신번호 변조대상이 되는 전화번호 정보를 포함하는 발신번호 유형공격 DB를 이용하여 사용자정의 유형공격을 탐지하고 차단할 수 있다. 상기 발신번호 유형공격 DB는 시스템운영자에 의해서 정의될 수 있으므로 새로운 패턴의 보이스피싱 발신번호도 정의하여 차단할 수 있다.발신번호(From/P-Asserted-Identity) 헤더 값에 Prefix로 발신번호 유형공격 DB에 포함된 Prefix가 존재하는 SIP 메시지를 수신하고 발신 IP가 사용자가 정의한 특정 IP 대역인 경우 사용자정의 유형공격으로 판단하여 차단할 수 있다.
User-defined type attacks can be detected and blocked by using the caller type attack DB, which includes the phone number information subject to the caller's number in voice phishing such as major public institutions. Since the calling number type attack DB may be defined by the system operator, the voice phishing calling number of the new pattern may also be defined and blocked. The calling number type attack DB as a prefix in the From / P-Asserted-Identity header value. If the prefix included in the SIP message is received and the originating IP is a specific IP band defined by the user, it can be determined as a user-defined type attack and blocked.

본 발명의 일 실시예는 보이스피싱 및 문자피싱 공격을 실시간으로 모니터링하는 기능을 제공한다. 보이스피싱 및 문자피싱 공격을 사전에 방지하기 위하여 발신정보 기준의 실시간 모니터링하는 기술로 크게 발신번호 기준, 발신IP 기준의 모니터링 기술로 구분할 수 있다.
One embodiment of the present invention provides a function for monitoring voice phishing and character phishing attacks in real time. In order to prevent voice phishing and text phishing attacks in advance, real-time monitoring technology based on calling information can be divided into monitoring technology based on calling number and calling IP.

(1) 발신번호 기준 전화 및 메시지 실시간 모니터링 기술(1) Real time monitoring technology based on calling number and message

SIP 메시지의 발신번호(From/P-Asserted-Identity)를 기준으로 전화 및 메시지 서비스요청 시도 횟수를 실시간으로 모니터링하여 일정시간 동안 가장 많은 시도를 수행한 순으로 발신번호 정보를 제공하여, 같은 발신번호를 이용하여 랜덤하게 전화 또는 메시지 서비스요청을 시도하는 보이스피싱 및 문자피싱 공격을 사전에 공격을 탐지 및 차단할 수 있다.
By monitoring the number of phone and message service request attempts in real time based on the SIP message caller number (From / P-Asserted-Identity), the caller number is provided in the order that the most attempts have been made for a certain period of time. By using the voice and text phishing attacks that attempt to randomly call or message service requests can be detected and blocked in advance.

(2) 발신IP 기준 전화 및 메시지 실시간 모니터링 기술(2) Real time monitoring technology for outgoing IP based telephone and message

SIP 메시지의 발신IP를 기준으로 전화 및 메시지 서비스요청 시도 횟수를 실시간으로 모니터링하여 일정시간 동안 가장 많은 시도를 수행한 순으로 발신IP 정보를 제공하여, 사전에 보이스피싱 및 문자피싱 공격을 탐지 및 차단할 수 있도록 할 수 있다.
By monitoring the number of phone and message service request attempts in real time based on the originating IP of the SIP message, it provides outgoing IP information in the order that the most attempts were made for a certain period of time to detect and block voice phishing and text phishing attacks in advance. You can do that.

이하 본 발명의 일 실시예에 따른 VoIP 보안장비가 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지하여 차단하는 방법을 도면을 참조하여 자세히 설명하도록 한다.
Hereinafter, a method for detecting and blocking a voice phishing and text phishing attack in which the VoIP information is modified by the VoIP security equipment according to an embodiment of the present invention will be described in detail with reference to the accompanying drawings.

본 발명이 적용될 발신번호 변조 공격이 이뤄질 수 있는 인터넷 전화망은 도1과 같은 환경으로 운용되고 있다. 최초 인터넷 전화서비스 가입자가 성공적으로 등록한 가입자번호와 다른 발신번호를 이용하여 인터넷 전화 및 메시지를 요청하는 공격 경로(110), 해외 인터넷 전화사업자를 통하여 국외IP 대역을 가진 SIP 메시지가 국가/공공기관 등의 국내 전화번호를 발신번호로 변조하여 인터넷 전화 및 메시지를 요청하는 공격경로(120), 해외 별정통신 인터넷 전화사업자를 통하여 국외IP 대역을 가진 SIP 메시지가 국가/공공기관 등의 국내 전화번호를 발신번호로 변조하여 인터넷 전화 및 메시지를 요청하는 공격경로(130), 국내 별정통신 인터넷 전화사업자를 통하여 국외IP 대역 정보가 포함된 SIP 메시지가 국가/공공기관 등의 국내 전화번호를 발신번호로 변조하여 인터넷 전화 및 메시지를 요청하는 공격경로 및 가능하지 않은 발신IP 대역으로부터 특정 발신번호 유형으로 인터넷 전화 및 메시지를 요청하는 공격경로(140)가 존재할 수 있다. 이러한 공격경로에 본 발명을 적용한 시스템을 구축한다면 보이스피싱 및 문자피싱 공격을 탐지하고 차단할 수 있다.
The Internet telephone network in which the outgoing number modulation attack to which the present invention is applied can be made is operated in the environment as shown in FIG. Attack route (110) for requesting Internet phone calls and messages using subscriber numbers different from the subscriber number successfully registered by the first Internet phone service subscriber, and SIP messages with foreign IP bands through overseas Internet phone service providers. The attack path 120 for requesting Internet calls and messages by converting the domestic phone number of the caller to a calling number, and a SIP message with an overseas IP band sends domestic phone numbers such as national / public institutions through overseas telecommunications Internet phone providers. The attack path 130 for requesting an Internet phone call and a message by modifying the number, and the SIP message including the foreign IP band information through the domestic telecommunications Internet phone service provider modulates the domestic phone number of the country / public institution, etc. into the calling number. Specific caller IDs from attack vectors and Internet IP calling routes that request Internet calls and messages. The attack vector 140 to request an Internet call and a message type may be present. If the system to which the present invention is applied to such an attack path is constructed, voice phishing and text phishing attacks can be detected and blocked.

도2는 본 발명의 일 실시예에 따른 VoIP 보안장비의 구성요소와 그 상호관계를 블럭다이어그램으로 나타내고 있다. 도3에는 본 발명의 일 실시예에 따른 VoIP 보안장비의 작동박식을 프로차트로 나타내고 있다. 이하 본 발명의 작동 방식을 도2 및 도3을 참조하여 설명하도록 한다.
2 is a block diagram showing the components and their interrelationships of the VoIP security equipment according to an embodiment of the present invention. Figure 3 shows the operation of the VoIP security equipment according to an embodiment of the present invention as a chart. Hereinafter, the operation of the present invention will be described with reference to FIGS. 2 and 3.

SIP 메시지 수신부(210)에서 IP 패킷을 수신하면 SIP 메시지인지 여부를 판단하여 SIP 메시지가 아닌 경우에는 SIP 메시지 송신부(290)을 통하여 해당 IP 패킷을 전달(PASS)한다. 여러 종류의 IP 패킷 중에 발신번호 변조공격의 대상이 되는 것은 SIP 메시지이므로 SIP 메시지만 선별하여 검사대상으로 삼는 것이다. SIP 메시지인 경우 SIP 메시지 파싱부(220)에 전달한다.
When the SIP message receiving unit 210 receives the IP packet, the SIP message receiving unit 210 determines whether the SIP message is a SIP message. If the SIP message receiving unit 210 is not a SIP message, the SIP message transmitting unit 210 transmits the corresponding IP packet through the SIP message transmitting unit 290. Among the various types of IP packets, the target of the originating number tampering attack is the SIP message, so only the SIP message is selected for inspection. In the case of a SIP message, it is transmitted to the SIP message parsing unit 220.

SIP 메시지 파싱부(220)는 SIP 규격(RFC 3261)에 따라 전달받은 SIP 메시지를 SIP 문법에 맞게 파싱(Parsing)한다. 만일 SIP 규격에 맞지 않는 SIP 메시지인 경우에는 해당 SIP 메시지를 차단(DROP)한다. 정상적인 SIP 메시지 파싱이 수행된 경우 SIP 메시지 필터링부(230)에 SIP 메시지를 전달한다.
The SIP message parsing unit 220 parses the received SIP message according to the SIP standard (RFC 3261) according to the SIP grammar. If the SIP message does not meet the SIP standard, the corresponding SIP message is blocked (DROP). When normal SIP message parsing is performed, the SIP message is delivered to the SIP message filtering unit 230.

SIP 메시지 필터링부(230)는 먼저 SIP 메시지 중에 인터넷 전화 서비스 등록을 요청하기 위한 "REGISTER" 메소드 메시지인 여부를 판단하여 SIP 가입자관리부(240)에 서비스등록 관리를 수행할 수 있도록 하고, SIP 메시지 송신부(290)을 통하여 해당 IP패킷을 전달(PASS)한다. SIP 가입자 관리부(240)는 정상적인 가입자 등록이 수행되면 해당 가입자정보를 저장하여 추후 발신정보 변조 필터링부(270)에서 가입자정보를 요청할 경우 해당 가입자정보를 보낸다.
The SIP message filtering unit 230 first determines whether the message is a " REGISTER " method for requesting the registration of the Internet telephony service among the SIP messages, and enables the SIP subscriber management unit 240 to perform service registration management. Pass the corresponding IP packet through (290) (PASS). The SIP subscriber management unit 240 stores the corresponding subscriber information when normal subscriber registration is performed, and sends the corresponding subscriber information when the subscriber information is requested by the outgoing information modulation filtering unit 270 later.

SIP 메시지 필터링부(230)는 SIP 가입자 관리부(240)로 전달되지 않는 모든 SIP 메시지 중에서 인터넷 전화요청을 하기 위한 "INVITE" 메소드 또는 메시지요청을 하기 위한 "MESSAGE" 메소드 메시지인 경우에는 SIP 발신정보 저장부(250)로 보내고, 나머지 모든 메시지는 SIP 메시지 송신부(290)을 통하여 해당 IP 패킷을 전달(PASS)한다.
The SIP message filtering unit 230 stores SIP originating information in the case of an "INVITE" method for making an Internet call request or a "MESSAGE" method message for making a message request, among all SIP messages not delivered to the SIP subscriber management unit 240. Sending to the unit 250, all the remaining messages pass (PASS) the IP packet through the SIP message transmitter 290.

SIP 발신번호 저장부(250)는 SIP 메시지 내에 발신번호가 저장되어 있는 From 헤더의 헤더 값 또는 P-Asserted-Identity 헤더의 헤더 값이 SIP 규격에 맞게 구성되어 있는지를 판단하여 비정상적인 발신정보를 가진 메시지인 경우에는 해당 SIP 메시지를 차단(DROP)하고, 정상적인 발신정보를 가진 경우에는 SIP 메시지 내에 발신번호 및 해당 SIP 메시지를 송신한 발신IP 정보를 저장하여 추후 발신정보 변조 필터링부(270)에서 IP정보를 이용할 수 있도록 한다. 또한, SIP 발신번호 저장부(250)는 음성 및 영상이 전달될 RTP 정보가 저장되어 있는 SIP 메시지 내에 SDP(Session Data Protocol) 부를 파싱하여 실제 RTP 트래픽이 전달된 RTP IP정보를 저장하여 추후 발신정보 변조 필터링부(270)에서 RTP IP정보를 이용할 수 있도록 한다. SIP 발신번호 저장부(250)는 SIP 메시지의 발신정보 및 RTP IP정보를 저장한 후 SIP 메시지 모니터링부(250)에 전달한다.
The SIP caller ID storage unit 250 determines whether the header value of the From header or the P-Asserted-Identity header configured with the calling number in the SIP message is configured according to the SIP standard, and thus has a message with abnormal calling information. In case of, the corresponding SIP message is blocked (DROP), and if the caller has normal call information, the caller ID and the sender IP information that transmits the corresponding SIP message are stored in the SIP message, and the call information modulation filtering unit 270 subsequently stores the IP information. Make it available. In addition, the SIP call number storage unit 250 parses a Session Data Protocol (SDP) unit in a SIP message in which the RTP information to which voice and video are to be transmitted is stored, and stores the RTP IP information to which actual RTP traffic is transmitted, and then sends the information later. Modulation filtering unit 270 to use the RTP IP information. The SIP call number storage unit 250 stores the call information and the RTP IP information of the SIP message and transmits the received SIP information to the SIP message monitoring unit 250.

SIP 메시지 모니터링부(260)는 SIP 메시지를 분석하여 발신정보 기준으로 인터넷 전화 및 메시지요청을 단위 시간당 시도 횟수로 저장한다. 발신번호와 발신IP 정보를 구분하여 각각 따로 인터넷 전화 및 메시지요청을 단위 시간당 시도 횟수로 저장하여 단위 시간당 전화 및 메시지요청의 시도 횟수를 가장 많은 시도 횟수 순으로 저장하여, 발신번호/인터넷 전화/시도 횟수 및 발신번호/SIP 메시지/시도 횟수, 발신IP호/인터넷 전화/시도 횟수 및 발신IP/SIP 메시지/시도 횟수 정보를 출력할 수 있게 한다. 모니터링이 끝난 SIP 메시지는 발신정보 변조 필터링부(270)로 보낸다.
The SIP message monitoring unit 260 analyzes the SIP message and stores the Internet call and the message request as the number of attempts per unit time based on the calling information. Separates outgoing number and outgoing IP information, and saves Internet call and message request as the number of attempts per unit time, and saves the number of attempts of unit call and message request per unit time in order of most attempts. It is possible to output the number of times and call number / SIP message / attempt, outgoing IP call / internet call / attempt and outgoing IP / SIP message / attempt. The monitored SIP message is sent to the outgoing information modulation filtering unit 270.

발신정보 변조 필터링부(260)는 SIP 발신번호 저장부(250)에서 저장한 발신IP 정보를 이용하여 먼저 국외IP 대역을 가진 SIP 메시지가 국가/공공기관 등의 국내 전화번호를 발신번호로 변조한 인터넷 전화 및 메시지 요청인 경우에 발신번호 변조공격으로 판단하여 해당 SIP 메시지를 차단(DROP)한다. 발신정보 변조 필터링부(260)는 SIP 발신번호 저장부(250)에서 저장한 RTP IP정보가 국외IP 대역을 가진 SIP 메시지가 국가/공공기관 등의 국내 전화번호를 발신번호로 변조한 인터넷 전화 및 메시지 요청인 경우에 발신번호 변조공격으로 판단하여 해당 SIP 메시지를 차단한다. 발신정보 변조 필터링부(260)는 SIP 발신번호 저장부(250)에서 파싱한 Via, Contact 등의 발신관련 IP정보가 저장되어 있을 수 있는 SIP 헤더의 헤더 값이 국외IP 대역을 가진 SIP 메시지가 국가/공공기관 등의 국내 전화번호를 발신번호로 변조한 인터넷 전화 및 메시지 요청인 경우에 발신번호 변조공격으로 판단하여 해당 SIP 메시지를 차단한다. 발신정보 변조 필터링부(260)는 SIP 가입자 관리부(240)에서 관리하는 인터넷 전화 서비스가입자가 등록시에 사용한 발신번호가 아닌 다른 발신번호로 변조한 인터넷 전화 및 메시지 요청인 경우에 발신번호 변조공격으로 판단하여 해당 SIP 메시지를 차단한다. 발신정보 변조 필터링 기능을 수행한 후에 SIP 메시지를 발신번호 유형 필터링부(280)로 보낸다.
The outgoing information modulation filtering unit 260 first uses the outgoing IP information stored in the SIP outgoing number storage unit 250 so that a SIP message having an external IP band modulates a domestic phone number such as a country / public institution into a outgoing number. In case of internet phone call and message request, it determines that the calling number tampering attack blocks the corresponding SIP message (DROP). The outgoing information modulation filtering unit 260 is an Internet telephone in which a SIP message having RTP IP information stored in the SIP calling number storage unit 250 has a foreign IP band and modulated a domestic phone number such as a country / public institution as a calling number; In case of a message request, the SIP message is blocked by determining that the calling number is tampered with. Outgoing information modulation filtering unit 260 is a SIP message whose header value of the SIP header, which may store the IP-related information such as Via, Contact parsed by the SIP calling number storage unit 250 in the country outside the country In case of internet phone call and message request in which domestic phone number of public institution, etc. is converted into calling number, it judges that the calling number is tampering and blocks the SIP message. The outgoing information tampering filtering unit 260 determines that the outgoing number tampering attack is a case where the Internet telephone service subscriber managed by the SIP subscriber management unit 240 modulates the outgoing number of the outgoing phone number used in registration and the message of the outgoing number. To block the SIP message. After performing the calling information modulation filtering function, the SIP message is sent to the calling number type filtering unit 280.

발신번호 유형 필터링부(280)는 발신번호의 Prefix가 국제전화로 판단하게 되는 001 내지 009이면서 사용자가 정의한 특정 IP대역을 가진 SIP 메시지의 인터넷 전화 및 메시지 요청인 경우 발신번호 유형공격으로 판단하여 해당 SIP 메시지를 차단한다.
Calling number type filtering unit 280 is 001 to 009 that the prefix of the calling number is determined to be an international call, and user-defined In case of internet phone call and message request of SIP message with specific IP band, it judges that it is calling number type attack and blocks the SIP message.

발신번호 유형 필터링부(280)는 발신번호의 Prefix가 이동전화로 판단하게 되는 010 내지 019이면서 사용자가 정의한 특정 IP대역을 가진 SIP 메시지의 인터넷 전화 및 메시지 요청인 경우 발신번호 유형공격으로 판단하여 해당 SIP 메시지를 차단한다.
Calling number type filtering unit 280 is 010 to 019 which is determined that the prefix of the calling number is a mobile phone, and user defined In case of internet phone call and message request of SIP message with specific IP band, it judges that it is calling number type attack and blocks the SIP message.

발신번호 유형 필터링부(280)는 발신번호의 Prefix가 사용자가 정의한 번호대역이면서 사용자가 정의한 특정 IP대역을 가진 SIP 메시지의 인터넷 전화 및 메시지 요청인 경우 발신번호 유형공격으로 판단하여 해당 SIP 메시지를 차단한다.
Calling number type filtering unit 280 is a user defined number of the prefix of the calling number defined by the user In case of internet phone call and message request of SIP message with specific IP band, it judges that it is calling number type attack and blocks the SIP message.

상기 사용자가 정의한 특정 IP 대역이란 발신 IP가 해당 발신번호 유형이 올 수 없는 IP 대역, 보이스피싱 및 문자피싱 공격이 발생했던 IP 대역 등에 대해서 사용자가 직접 입력한 IP 대역을 말한다.
The specific IP band defined by the user refers to an IP band directly input by the user for an IP band in which the originating IP cannot come from, and an IP band in which voice phishing and text phishing attacks occur.

위의 모든 공격에서 탐지되지 않은 SIP 메시지는 최종적으로 SIP 메시지 송신부(290)를 통하여 전달(PASS)한다.
SIP messages not detected in all the above attacks are finally delivered through the SIP message transmitter 290.

본 명세서 및 청구범위에 사용된 용어나 단어는 통상적이거나 사전적인 의미로 한정해서 해석되어서는 아니되며, 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야만 한다. 본 명세서에 기재된 실시예와 도면에 도시된 구성은 본 발명의 가장 바람직한 일실시예에 불과할 뿐이고 본 발명의 기술적 사상을 모두 대변하는 것은 아니므로, 본 출원시점에 있어서 이들을 대체할 수 있는 다양한 균등물과 변형예들이 있을 수 있다.
The terms and words used in the present specification and claims should not be construed as limited to ordinary or dictionary terms and should be construed in a sense and concept consistent with the technical idea of the present invention. It should be noted that the embodiments described in the present specification and the configurations shown in the drawings are only the most preferred embodiments of the present invention and are not intended to represent all of the technical ideas of the present invention so that various equivalents And variations.

110 : 서비스 등록한 가입자 번호와 다른 발신번호를 이용하여 인터넷 전화 및 메시지를 요청하는 공격 경로
120: 해외 인터넷 전화사업자를 통하여 국외 IP대역을 가진 SIP 메시지가 국가/공공기관 등의 국내 전화번호를 발신번호로 변조하여 인터넷 전화 및 메시지를 요청하는 공격 경로
130: 해외 별정통신 인터넷 전화사업자를 통하여 국외 IP대역을 가진 SIP 메시지가 국가/공공기관 등의 국내 전화번호를 발신번호로 변조하여 인터넷 전화 및 메시지를 요청하는 공격 경로
140: 국내 별정통신 인터넷 전화사업자를 통하여 국외 IP대역 정보가 포함된 SIP 메시지가 국가/공공기관 등의 국내 전화번호를 발신번호로 변조하여 인터넷 전화 및 메시지를 요청하는 공격경로 또는 가능하지 않은 발신 IP대역으로부터 특정 발신호 유형으로 인터넷 전화 및 메시지를 요청하는 공격 경로
210: SIP 메시지 수신부
220: SIP 메시지 파싱부
230: SIP 메시지 필터링부
240: SIP 가입자 관리부
250: SIP 발신정보 저장부
260: SIP 메시지 모니터링부
270: 발신정보 변조 필터링부
280: 발신번호 유형 필터링부
290: SIP 메시지 송신부110: attack path for requesting internet phone call and message using calling party number different from registered subscriber number
120: Attacking path for requesting Internet calls and messages by SIP message with foreign IP band through foreign internet telephone service provider transforming domestic / public agency number such as national / public agency into calling number
130: Attacking path for requesting Internet calls and messages by SIP messages with foreign IP bands by modifying domestic / public agency numbers, such as national / public institutions, by calling numbers
140: An attack path or an outgoing IP that requests an internet phone call and a message by converting a SIP message including foreign IP band information through a domestic telecommunications Internet telephony service provider into a calling number Attack vectors that request Internet calls and messages from the band to specific types of origins
210: SIP message receiving unit
220: SIP message parsing unit
230: SIP message filtering unit
240: SIP subscriber management unit
250: SIP call information storage unit
260: SIP message monitoring unit
270: outgoing information modulation filtering unit
280: caller type filtering unit
290: SIP message transmitter

Claims (11)

SIP 서버와 인터넷 전화(Internet Protocol Phone: IP Phone) 단말기 사이에 위치하는 VoIP(Voice Over Internet Protocol) 보안장비에 있어서,
상기 인터넷 단말기로부터 패킷을 수신하고, 상기 패킷이 SIP 메시지인 경우 SIP 메시지 파싱부에 전달하고, 상기 패킷이 SIP 메시지가 아닌 경우 SIP 메시지 송신부로 전달하는 SIP 메시지 수신부;
상기 SIP 메시지를 SIP 문법에 맞게 파싱하고, 상기 SIP 메시지가 비정상 SIP 메시지(Malformed SIP Message)인 경우 차단(Drop)하고, 상기 SIP 메시지가 정상 SIP 메시지인 경우 SIP 메시지 필터링부로 전달하는 SIP 메시지 파싱부;
상기 SIP 메시지 중 서비스등록요청 메시지는 SIP 가입자 관리부로 전달하고, 인터넷 전화요청 메시지 및 메시지요청 메시지는 SIP 발신정보 저장부로 전달하고, 상기 메시지 이외의 메시지는 상기 SIP 메시지 송신부로 전달하는 상기 SIP 메시지 필터링부;
상기 서비스등록요청 메시지의 가입자 정보를 저장하고, 상기 서비스등록요청 메시지를 상기 SIP 메시지 송신부로 전달하는 SIP 가입자 관리부;
상기 인터넷 전화요청 메시지 및 메시지요청 메시지의 발신정보가 SIP 문법에 맞는지 판단하여 비정상 SIP 메시지인 경우 차단(Drop)하고, 정상적인 발신정보를 가진 SIP 메시지인 경우 발신정보 및 발신IP정보를 저장하는 상기 SIP 발신정보 저장부;
상기 인터넷 전화요청 메시지 및 메시지요청 메시지를 발신번호 또는 발신IP 기준의 모니터링 정보로 저장하고, 발신정보 변조 필터링부로 전달하는 SIP 메시지 모니터링부;
상기 인터넷 전화요청 메시지 및 메시지요청 메시지가 발신번호 변조공격인지 경우 차단(Drop)하고, 그렇지 않은 경우 발신번호 유형 필터링부로 전달하는 상기 발신정보 변조 필터링부;
상기 인터넷 전화요청 메시지 및 메시지요청 메시지가 발신번호 유형공격인 경우 차단(Drop)하고, 그렇지 않은 경우 SIP 메시지 송신부로 전달하는 상기 발신번호 유형 필터링부; 및
전달받은 메시지를 상기 SIP 서버로 전달하는 상기 SIP 메시지 송신부;를 포함하는 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비.
In the VoIP (Voice Over Internet Protocol) security equipment located between a SIP server and an Internet Protocol (IP Phone) terminal,
A SIP message receiving unit which receives a packet from the Internet terminal, delivers the packet to a SIP message parsing unit when the packet is a SIP message, and delivers the packet to a SIP message transmitting unit when the packet is not a SIP message;
The SIP message parsing unit parses the SIP message according to the SIP grammar, drops if the SIP message is a malformed SIP message, and delivers the SIP message to a SIP message filtering unit when the SIP message is a normal SIP message. ;
The SIP message filtering service transmits the service registration request message to the SIP subscriber management unit, the Internet telephone request message and the message request message to the SIP call information storage unit, and the message other than the message to the SIP message transmitter. part;
A SIP subscriber manager which stores subscriber information of the service registration request message and delivers the service registration request message to the SIP message transmitter;
The SIP storing the outgoing information and the outgoing IP information in case of a SIP message having normal outgoing information by blocking whether it is an abnormal SIP message by determining whether the outgoing information of the Internet call request message and the message request message conforms to the SIP grammar. Calling information storage unit;
A SIP message monitoring unit for storing the Internet call request message and the message request message as monitoring information based on a calling number or calling IP and transmitting the same to the calling information modulation filtering unit;
The calling information modulation filtering unit for blocking if the Internet call request message and the message request message are calling number modulation attacks, and otherwise transferring the calling number type filtering unit to the calling number type filtering unit;
The calling number type filtering unit for blocking if the Internet call request message and the message request message are calling number type attacks, and if not, delivering to the SIP message transmitting unit; And
And a SIP message transmitter for transmitting the received message to the SIP server. The VoIP security device for detecting and blocking voice phishing and text phishing attacks in which outgoing information is modified.
제 1항에 있어서,
상기 SIP 발신정보 저장부는 SIP 메시지 내에 발신 번호가 저장되어 있는 From 헤더의 헤더 값 또는 P-Asserted-Identity 헤더의 헤더 값이 SIP 규격에 맞는지 판단하여 비정상 메시지를 판단하고, 정상적인 메시지에 대하여 발신 정보를 저장하는 것을 특징으로 하는 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비.
The method according to claim 1,
The SIP origination information storage unit determines an abnormal message by determining whether a header value of a From header or a header value of a P-Asserted-Identity header in which a calling number is stored in a SIP message conforms to a SIP standard, and determines outgoing information for a normal message. VoIP security equipment that detects and blocks voice phishing and text phishing attacks in which outgoing information is modified.
제 1항에 있어서,
상기 SIP 발신정보 저장부는 SIP 메시지 내에 SDP(Session Data Protocol) 부를 파싱하여 RTP(Realtime Tranfer Protocol) IP를 저장하는 것을 특징으로 하는 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비.
The method according to claim 1,
The SIP source information storage unit parses a Session Data Protocol (SDP) unit in a SIP message to store a Realtime Tranfer Protocol (RTP) IP. equipment.
제 1항에 있어서,
상기 모니터링 정보는 인터넷 전화요청 및 메시지요청을 단위 시간당 시도 횟수로 저장하며 발신 IP 및 발신번호 기준으로 수집하는 것을 특징으로 하는 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비.
The method according to claim 1,
The monitoring information stores the Internet call request and the message request as the number of attempts per unit time, and collects them based on the calling IP and calling number. .
제 1항에 있어서,
상기 발신정보 변조공격은 상기 SIP 메시지의 발신IP가 국외 IP 대역을 가진 SIP 메시지의 발신번호를 국내 전화번호로 변조한 경우를 포함하는 것을 특징으로 하는 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비.
The method according to claim 1,
The outgoing information tampering attack includes a voice phishing and text phishing attack in which the outgoing information is modulated, wherein the outgoing IP of the SIP message includes a case in which the outgoing number of the SIP message having an external IP band is modified into a domestic telephone number. VoIP security equipment to detect and block.
제 3항에 있어서,
상기 발신정보 변조공격은 상기 RTP IP가 국외 IP 대역을 가진 SIP 메시지의 발신번호를 국내 전화번호로 변조한 경우를 포함하는 것을 특징으로 하는 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비.
The method of claim 3,
The outgoing information tampering attack detects and blocks voice phishing and text phishing attacks in which outgoing information is modulated, wherein the RTP IP includes a case in which the outgoing number of a SIP message having a foreign IP band is modified into a domestic phone number. VoIP security equipment.
제 1항에 있어서,
상기 발신정보 변조공격은 상기 SIP 메시지 헤더값이 국외 IP 대역을 가진 SIP 메시지의 발신번호를 국내 전화번호로 변조한 경우를 포함하는 것을 특징으로 하는 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비.
The method according to claim 1,
The outgoing information tampering attack detects voice phishing and text phishing attacks in which outgoing information has been tampered with, wherein the SIP message header value includes a case in which the outgoing number of a SIP message having a foreign IP band is modulated into a domestic telephone number. And VoIP security equipment to block.
제 1항에 있어서,
상기 발신정보 변조공격은 상기 가입자 정보를 분석하여 해당 가입자가 등록한 번호와 다른 발신번호로 변조한 경우를 포함하는 것을 특징으로 하는 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비.
The method according to claim 1,
The outgoing information tampering attack detects and blocks voice phishing and text phishing attacks in which outgoing information has been tampered with by analyzing the subscriber information and modifying the outgoing information into a different outgoing number. equipment.
제 1항에 있어서,
상기 발신번호 유형공격은 상기 SIP 메시지의 발신번호 헤더 값이 001 내지 009이면서 사용자가 정의한 특정 IP 대역인 경우 발신자 국제전화 유형공격으로 판단하는 것을 특징으로 하는 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비.
The method according to claim 1,
The caller type attack is a caller ID header value of 001 to 009 of the SIP message and is a user defined specific IP band. VoIP security equipment that detects and blocks voice phishing and text phishing attacks in which outgoing information is altered, characterized in that it is determined as a caller's international call type attack.
제 1항에 있어서,
상기 발신번호 유형공격은 상기 SIP 메시지의 발신번호 헤더 값이 010 내지 019이면서 사용자가 정의한 특정 IP 대역인 경우 발신자 이동통신 유형공격으로 판단하는 것을 특징으로 하는 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비.
The method according to claim 1,
The caller type attack is a caller ID number of 010 to 019 in the SIP message and is a user defined IP band. VoIP security equipment that detects and blocks voice phishing and text phishing attacks in which outgoing information is altered, characterized in that it is determined as a caller mobile communication type attack.
제 1항에 있어서,
발신번호 변조유형 정보가 포함된 발신번호 유형공격 DB를 포함하고,
상기 발신번호 유형공격은 상기 SIP 메시지의 발신번호 헤더 값이 상기 발신번호 유형공격 DB에 존재하면서 사용자가 정의한 특정 IP 대역인 경우 사용자정의 유형공격으로 판단하는 것을 특징으로 하는 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비.The method according to claim 1,
Includes the calling number type attack DB containing the calling number modulation type information,
The call number type attack is a specific IP band defined by the user while the call number header value of the SIP message exists in the call number type attack DB. VoIP security equipment that detects and blocks voice phishing and text phishing attacks in which outgoing information is altered, characterized in that it is determined as a user-defined type of attack.
KR1020120078668A 2012-07-19 2012-07-19 Caller Information Modulated Voice/Message Phishing Detecting and Blocking Method KR101379779B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120078668A KR101379779B1 (en) 2012-07-19 2012-07-19 Caller Information Modulated Voice/Message Phishing Detecting and Blocking Method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120078668A KR101379779B1 (en) 2012-07-19 2012-07-19 Caller Information Modulated Voice/Message Phishing Detecting and Blocking Method

Publications (2)

Publication Number Publication Date
KR20140011751A KR20140011751A (en) 2014-01-29
KR101379779B1 true KR101379779B1 (en) 2014-04-01

Family

ID=50143843

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120078668A KR101379779B1 (en) 2012-07-19 2012-07-19 Caller Information Modulated Voice/Message Phishing Detecting and Blocking Method

Country Status (1)

Country Link
KR (1) KR101379779B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023136672A1 (en) * 2022-01-14 2023-07-20 삼성전자 주식회사 Electronic device for determining call type with external electronic device and operation method thereof

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102446891B1 (en) 2022-03-14 2022-09-27 (주)라바웨이브 The method and apparatus for blocking transmission of phishing message and phishing images

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060078464A (en) * 2004-12-31 2006-07-05 엘지전자 주식회사 Message sender providing information method of mobile terminal
KR20100068786A (en) * 2008-12-15 2010-06-24 한국전자통신연구원 Defense method against cellular phone phishing attack using management of caller identification
KR20100130824A (en) * 2009-06-04 2010-12-14 (주)제너시스템즈 Voip internet phone service system using ip range analysis and method thereof
KR20110065091A (en) * 2009-12-09 2011-06-15 한국인터넷진흥원 System for detecting toll fraud attack for internet telephone and method for the same

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060078464A (en) * 2004-12-31 2006-07-05 엘지전자 주식회사 Message sender providing information method of mobile terminal
KR20100068786A (en) * 2008-12-15 2010-06-24 한국전자통신연구원 Defense method against cellular phone phishing attack using management of caller identification
KR20100130824A (en) * 2009-06-04 2010-12-14 (주)제너시스템즈 Voip internet phone service system using ip range analysis and method thereof
KR20110065091A (en) * 2009-12-09 2011-06-15 한국인터넷진흥원 System for detecting toll fraud attack for internet telephone and method for the same

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023136672A1 (en) * 2022-01-14 2023-07-20 삼성전자 주식회사 Electronic device for determining call type with external electronic device and operation method thereof

Also Published As

Publication number Publication date
KR20140011751A (en) 2014-01-29

Similar Documents

Publication Publication Date Title
US10447481B2 (en) Systems and methods for authenticating caller identity and call request header information for outbound telephony communications
KR101218253B1 (en) Fraud security detection system and method
US20070121596A1 (en) System and method for providing network level and nodal level vulnerability protection in VoIP networks
Mustafa et al. End-to-end detection of caller ID spoofing attacks
EP1931105A1 (en) Method and system for managing multimedia sessions providing control over the establishment of communication channels
US20080089494A1 (en) System and Method for Securing a Telephone System Comprising Circuit Switched and IP Data Networks
US10306058B2 (en) Methods, telecommunication switches and computer programs for processing call setup signalling
KR20110065091A (en) System for detecting toll fraud attack for internet telephone and method for the same
Gruber et al. Voice calls for free: How the black market establishes free phone calls—Trapped and uncovered by a VoIP honeynet
KR101945782B1 (en) Method and apparatus for providing illegal phishing call blocking services of VoIP call
CA2796540A1 (en) Transparent bridge device
Voznak et al. Threats to voice over IP communications systems
Sheoran et al. NASCENT: Tackling caller-ID spoofing in 4G networks via efficient network-assisted validation
KR101379779B1 (en) Caller Information Modulated Voice/Message Phishing Detecting and Blocking Method
Shan et al. Research on security mechanisms of SIP-based VoIP system
Carvajal et al. Detecting unprotected SIP-based Voice over IP traffic
Farley et al. VoIP Shield: A transparent protection of deployed VoIP systems from SIP-based exploits
Ganesan et al. A scalable detection and prevention scheme for voice over internet protocol (VoIP) signaling attacks using handler with Bloom filter
Wang et al. Spoofing against spoofing: Toward caller ID verification in heterogeneous telecommunication systems
Ahmad et al. VoIP security: A model proposed to mitigate DDoS attacks on SIP based VoIP network
Scata et al. Security analysis and countermeasures assessment against spit attacks on voip systems
Hofbauer et al. CDRAS: An approach to dealing with Man-in-the-Middle attacks in the context of Voice over IP
Otterstedt Risk analysis on VoIP systems
Song et al. Towards standardized prevention of unsolicited communications and phishing attacks
EP2109284A1 (en) Protection mechanism against denial-of-service attacks via traffic redirection

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170327

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180326

Year of fee payment: 5