KR101388627B1 - Apparatus for blocking abnormal traffic in 4g mobile network - Google Patents

Apparatus for blocking abnormal traffic in 4g mobile network Download PDF

Info

Publication number
KR101388627B1
KR101388627B1 KR1020130134836A KR20130134836A KR101388627B1 KR 101388627 B1 KR101388627 B1 KR 101388627B1 KR 1020130134836 A KR1020130134836 A KR 1020130134836A KR 20130134836 A KR20130134836 A KR 20130134836A KR 101388627 B1 KR101388627 B1 KR 101388627B1
Authority
KR
South Korea
Prior art keywords
packet
information
gtp
message
blocking
Prior art date
Application number
KR1020130134836A
Other languages
Korean (ko)
Inventor
임채태
오주형
김세권
조준형
장웅
구본민
박성민
우수정
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020130134836A priority Critical patent/KR101388627B1/en
Application granted granted Critical
Publication of KR101388627B1 publication Critical patent/KR101388627B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Provided is an apparatus for blocking abnormal traffic in a 4G mobile network. The apparatus for blocking abnormal traffic in a 4G mobile network includes: a packet manager to receive and classify a GTP packet into a GTP-U packet and a GTP-C packet, to extract first packet information from the GTP-U packet, and to extract second packet information from the GTP-C packet; a packet analyzer to receive and analyze the first and second packet information, and to generate packet block information for blocking a GTP packet including an abnormal SIP message for transmitting the generated packet block information to the packet manager; a packet analysis result manager to receive the packet analysis result information from the packet analyzer for extracting user information, and to generate detection/block result information; and a detection/block log storage unit to receive and store the detection/block result information from the packet analysis result manager. [Reference numerals] (100) Packet manager; (200) Packet analyzer; (300) Packet analysis result manager; (400) System manager; (500) System communication unit; (AA) External system; (BB) Traffic input/output state inquiry; (CC) GTP packet; (D2) Second packet information; (D3) Third packet information; (D5) GTP-C packet analysis information; (D6) Detection/block result information; (D7) System operation mode information; (D8) Traffic input/output state information; (DB1) User GTP tunnel information storage unit; (DB2) Operation mode information storage unit; (DB3) Detection/block policy storage unit; (DB4) Detection/block log storage unit; (DD) First packet information; (EE) Packet analysis result information; (FF) Packet transmission user inquiry

Description

4G 이동통신망에서의 비정상 트래픽 차단 장치{Apparatus for blocking abnormal traffic in 4G mobile network}Apparatus for blocking abnormal traffic in 4G mobile network}

본 발명은 비정상 트래픽 차단 장치에 관한 것으로, 보다 상세하게는 GTP(GPRS Tunneling Protocol)를 사용하는 모바일 환경에서의 세션 정보 기반 비정상 트래픽 차단 장치에 관한 것이다.The present invention relates to an apparatus for blocking abnormal traffic, and more particularly, to an apparatus for blocking abnormal traffic based on session information in a mobile environment using a GPRS Tunneling Protocol (GTP).

4G 네트워크(또는 LTE 네트워크)는 무선 자원을 관리하는 4G E-RAN(Enterprise Radio Access Network)과 데이터 처리/인증/과금 등을 수행하는 4G EPC(Evolved Packet Core)를 포함하여 구성된다.The 4G network (or LTE network) includes a 4G Enterprise Radio Access Network (E-RAN) for managing radio resources and a 4G Evolved Packet Core (EPC) for performing data processing / authentication / billing.

4G E-RAN은 사용자 단말(UE; User Equipment), eNB(evolved Node B) 등의 구성 요소를 포함하고, 4G EPC는 MME(Mobility Management Entity), S-GW(Serving Gateway), P-GW(PDN Gateway), HSS(Home Subscriber Server), PCRF(Policy & Charging Rule Function) 등의 구성 요소를 포함한다.The 4G E-RAN includes components such as a user equipment (UE) and an evolved Node B (eNB), and the 4G EPC includes a Mobility Management Entity (MME), a Serving Gateway (S-GW) PDN Gateway), Home Subscriber Server (HSS), Policy & Charging Rule Function (PCRF), and the like.

4G 네트워크 내부에서는 eNB와 S-GW간 생성되는 S1-U GTP(GPRS Tunneling Protocol) 터널과, S-GW와 P-GW간 생성되는 생성되는 S5 GTP 터널을 통해 데이터 패킷이 송수신될 수 있다. 데이터 패킷은 VoLTE 호 설정을 위한 SIP(Session Initiaion Protocol) 메시지를 포함하고, 이러한 데이터 패킷은 GTP 패킷의 페이로드에 캡슐화되어 송수신될 수 있다.In the 4G network, data packets can be transmitted / received through the S1-U GTP (GPRS Tunneling Protocol) tunnel generated between the eNB and the S-GW and the generated S5 GTP tunnel generated between the S-GW and the P-GW. The data packet includes a Session Initiation Protocol (SIP) message for setting up a VoLTE call, which may be encapsulated in a payload of a GTP packet and transmitted and received.

P-GW는 SIP 메시지 내에 포함되는 값들을 고려하지 않고, 데이터 패킷을 IMS(IP Multimedia Subsystem) 네트워크 내부로 전달한다. 따라서, SIP 메시지 내에 조작된 값이 포함되는 경우에도, 데이터 패킷은 제약 없이 IMS 네트워크의 내부로 전달될 수 있다.The P-GW delivers the data packet into the IMS (IP Multimedia Subsystem) network without considering the values contained in the SIP message. Thus, even if the manipulated value is included in the SIP message, the data packet can be passed into the IMS network without restriction.

한국공개특허 제2013-0010818호에는 비정상 트래픽 제어 장치 및 방법에 관하여 개시되어 있다. Korean Unexamined Patent Publication No. 2013-0010818 discloses an abnormal traffic control apparatus and method.

본 발명이 해결하려는 과제는, SIP 메시지 내에 포함되는 사용자 단말 식별 번호를 조작한 비정상 트래픽을 탐지하고, 차단할 수 있는 비정상 트래픽 차단 장치를 제공하는 것이다. An object of the present invention is to provide an abnormal traffic blocking apparatus capable of detecting and blocking abnormal traffic that manipulates a user terminal identification number included in a SIP message.

본 발명이 해결하려는 과제는 이상에서 언급한 과제로 제한되지 않으며, 언급되지 않은 또 다른 과제들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.The problems to be solved by the present invention are not limited to the above-mentioned problems, and other matters not mentioned can be clearly understood by those skilled in the art from the following description.

상기 과제를 해결하기 위한 본 발명의 비정상 트래픽 차단 장치의 일 실시예는, GTP 패킷을 전송받아 GTP-U 패킷과 GTP-C 패킷으로 분류하고, 상기 GTP-U 패킷으로부터 제1 패킷 정보를 추출하고, 상기 GTP-C 패킷으로부터 제2 패킷 정보를 추출하는 패킷 관리부, 상기 제1 및 제2 패킷 정보를 전송받아 분석하고, 비정상 SIP 메시지를 포함한 GTP 패킷을 차단하기 위한 패킷 차단 정보를 생성하여 상기 패킷 관리부로 전송하는 패킷 분석부, 상기 패킷 분석부로부터 패킷 분석 결과 정보를 전송받아 사용자 정보를 추출하고, 탐지/차단 결과 정보를 생성하는 패킷 분석 결과 관리부, 및 상기 패킷 분석 결과 관리부로부터 상기 탐지/차단 결과 정보를 전송받아 저장하는 탐지/차단 로그 저장부를 포함한다. An embodiment of the apparatus for blocking abnormal traffic of the present invention for solving the above problems is to receive a GTP packet, classify it into a GTP-U packet and a GTP-C packet, and extract first packet information from the GTP-U packet. A packet manager extracting second packet information from the GTP-C packet, receiving and analyzing the first and second packet information, and generating packet blocking information for blocking a GTP packet including an abnormal SIP message; A packet analysis unit for transmitting to the management unit, a packet analysis result management unit for receiving the packet analysis result information from the packet analysis unit, extracting user information and generating detection / blocking result information, and the detection / blocking unit from the packet analysis result management unit It includes a detection / blocking log storage for receiving and storing the result information.

상기 제1 패킷 정보는, 상기 GTP-U 패킷의 헤더로부터 추출된 GTP-U TEID, 상기 GTP-U 패킷의 페이로드로부터 추출된 SIP 메시지, 및 상기 SIP 메시지로부터 추출된 사용자 단말 식별 번호를 포함하고, 상기 제2 패킷 정보는, 상기 GTP-C 패킷의 헤더로부터 추출된 GTP-C TEID, 상기 GTP-U TEID, UE IP, 및 상기 사용자 단말 식별 번호를 포함할 수 있다. The first packet information includes a GTP-U TEID extracted from a header of the GTP-U packet, a SIP message extracted from a payload of the GTP-U packet, and a user terminal identification number extracted from the SIP message. The second packet information may include a GTP-C TEID extracted from a header of the GTP-C packet, the GTP-U TEID, a UE IP, and the user terminal identification number.

상기 SIP 메시지는, SIP 초대(SIP INVITE) 메시지를 포함할 수 있다. The SIP message may include a SIP INVITE message.

상기 패킷 관리부는, 상기 SIP 메시지가 상기 SIP 초대 메시지가 아닌 경우에 상기 GTP 패킷을 차단하지 않고 전송할 수 있다. The packet manager may transmit the GTP packet without blocking the SIP message when the SIP message is not the SIP invitation message.

상기 사용자 단말 식별 번호는, MSISDN(Mobile Station International ISDN Number)을 포함할 수 있다. The user terminal identification number may include a mobile station international ISDN number (MSISDN).

트래픽 입출력 현황을 통하여 시스템의 상태를 모니터링하고, 모니터링 결과에 따라 상기 시스템의 동작 모드를 설정하고, 시스템 동작 모드 정보를 동작 모드 정보 저장부로 전송하는 시스템 관리부를 더 포함할 수 있다. The apparatus may further include a system manager configured to monitor a state of a system through a traffic input / output state, set an operation mode of the system according to a monitoring result, and transmit system operation mode information to an operation mode information storage unit.

상기 패킷 관리부는, 상기 시스템 동작 모드 정보를 이용하여 IPS 모드 또는 BYPASS 모드를 적용할 수 있다. The packet manager may apply an IPS mode or BYPASS mode using the system operation mode information.

상기 시스템 또는 외부 시스템에 전송되는 시스템 메시지를 분석하고 관리하는 시스템 통신부를 더 포함할 수 있다. The apparatus may further include a system communicator configured to analyze and manage a system message transmitted to the system or an external system.

상기 시스템 메시지는, 상기 시스템의 동작 모드 설정을 위한 시스템 관리 메시지, 상기 시스템의 탐지/차단 정책 설정을 위한 정책 관리 메시지, 또는 상기 시스템의 탐지/차단 로그 조회를 위한 탐지/차단 로그 조회 메시지를 포함할 수 있다. The system message may include a system management message for setting an operation mode of the system, a policy management message for setting a detection / blocking policy of the system, or a detection / block log inquiry message for a detection / blocking log inquiry of the system. can do.

상기 패킷 관리부는, 상기 패킷 차단 정보를 이용하여 상기 GTP 패킷을 포워딩(forwarding) 또는 드롭(drop)하는 패킷 제어 모듈을 포함할 수 있다. The packet manager may include a packet control module for forwarding or dropping the GTP packet using the packet blocking information.

상기 패킷 분석부는, 상기 제2 패킷 정보를 이용하여 세션 정보를 추출하는 GTP 터널 정보 수집 모듈을 포함할 수 있다. The packet analyzer may include a GTP tunnel information collection module that extracts session information using the second packet information.

상기 GTP 터널 정보 수집 모듈은, 요청(request) 메시지 및 응답(response) 메시지를 통해 단일 메시지를 완성하는 제어 메시지 관리 모듈과, 상기 단일 메시지를 통해 사용자 정보 테이블을 관리하는 메시지 처리 모듈을 포함할 수 있다. The GTP tunnel information collection module may include a control message management module for completing a single message through a request message and a response message, and a message processing module for managing a user information table through the single message. have.

상기 과제를 해결하기 위한 본 발명의 비정상 트래픽 차단 장치의 다른 실시예는, GTP 패킷을 전송받아 GTP-U 패킷과 GTP-C 패킷으로 분류하고, 상기 GTP-U 패킷의 헤더로부터 GTP-U TEID를 추출하고, 상기 GTP-U 패킷의 페이로드로부터 SIP 메시지를 추출하고, 상기 SIP 메시지로부터 사용자 단말 식별 번호를 추출하는 패킷 관리부, 상기 GTP-U TEID와 상기 사용자 단말 식별 번호를 전송받아 분석하고, 비정상 SIP 메시지를 포함한 GTP 패킷을 차단하기 위한 패킷 차단 정보를 생성하여 상기 패킷 관리부로 전송하는 패킷 분석부, 상기 패킷 분석부로부터 패킷 분석 결과 정보를 전송받아 사용자 정보를 추출하고, 탐지/차단 결과 정보를 생성하는 패킷 분석 결과 관리부, 트래픽 입출력 현황을 통하여 시스템의 상태를 모니터링하고, 모니터링 결과에 따라 상기 시스템의 동작 모드를 설정하고, 시스템 동작 모드 정보를 생성하는 시스템 관리부, 및 상기 시스템 또는 외부 시스템에 전송되는 시스템 메시지를 분석하고 관리하는 시스템 통신부를 포함한다. Another embodiment of the abnormal traffic blocking device of the present invention for solving the above problems, receives a GTP packet and classifies it as a GTP-U packet and a GTP-C packet, GTP-U TEID from the header of the GTP-U packet A packet management unit for extracting a SIP message from a payload of the GTP-U packet and extracting a user terminal identification number from the SIP message, receiving and analyzing the GTP-U TEID and the user terminal identification number, and abnormally Packet analysis unit for generating the packet blocking information for blocking the GTP packet including the SIP message, and transmits to the packet management unit, receives the packet analysis result information from the packet analysis unit to extract the user information, and the detection / blocking result information Packet analysis result management unit to generate, monitor the status of the system through the traffic input and output status, according to the monitoring result of the system Set the operation mode, and a system management unit, and the communication systems to analyze and manage the system, messages sent to the system or outside the system to generate a system operating mode information.

상기 SIP 메시지는, SIP 초대 메시지를 포함할 수 있다. The SIP message may include a SIP invitation message.

상기 패킷 관리부는, 상기 SIP 메시지가 상기 SIP 초대 메시지가 아닌 경우에 상기 GTP 패킷을 차단하지 않고 전송할 수 있다. The packet manager may transmit the GTP packet without blocking the SIP message when the SIP message is not the SIP invitation message.

상기 사용자 단말 식별 번호는, MSISDN을 포함할 수 있다. The user terminal identification number may include an MSISDN.

상기 패킷 관리부는, 상기 시스템 동작 모드 정보를 이용하여 IPS 모드 또는 BYPASS 모드를 적용할 수 있다. The packet manager may apply an IPS mode or BYPASS mode using the system operation mode information.

상기 패킷 관리부는, 상기 패킷 차단 정보를 이용하여 상기 GTP 패킷을 포워딩(forwarding) 또는 드롭(drop)하는 패킷 제어 모듈을 포함할 수 있다. The packet manager may include a packet control module for forwarding or dropping the GTP packet using the packet blocking information.

상기 패킷 분석부는, 상기 GTP-C 패킷의 헤더로부터 추출된 GTP-C TEID를 이용하여 세션 정보를 추출하는 GTP 터널 정보 수집 모듈을 포함할 수 있다. The packet analyzer may include a GTP tunnel information collection module for extracting session information using a GTP-C TEID extracted from a header of the GTP-C packet.

상기 GTP 터널 정보 수집 모듈은, 요청(request) 메시지 및 응답(response) 메시지를 통해 단일 메시지를 완성하는 제어 메시지 관리 모듈과, 상기 단일 메시지를 통해 사용자 정보 테이블을 관리하는 메시지 처리 모듈을 포함할 수 있다. The GTP tunnel information collection module may include a control message management module for completing a single message through a request message and a response message, and a message processing module for managing a user information table through the single message. have.

본 발명의 기타 구체적인 사항들은 상세한 설명 및 도면들에 포함되어 있다.Other specific details of the invention are included in the detailed description and drawings.

본 발명에 따른 비정상 트래픽 차단 장치에 의하면, GTP-U 패킷의 헤더로부터 GTP-U TEID를 추출하고, 상기 GTP-U 패킷으로부터 SIP 메시지를 추출하고, 상기 SIP 메시지로부터 사용자 단말 식별 번호를 추출하여, 세션 정보에 기록된 GTP-U TEID 및 사용자 단말 식별 번호와 동일한지 비교하므로, SIP 메시지 내에 포함되는 사용자 단말 식별 번호를 조작한 비정상 트래픽을 탐지하고 차단할 수 있다.According to the abnormal traffic blocking apparatus according to the present invention, by extracting the GTP-U TEID from the header of the GTP-U packet, extracting the SIP message from the GTP-U packet, extracting the user terminal identification number from the SIP message, Since it is compared with the GTP-U TEID and the user terminal identification number recorded in the session information, abnormal traffic that manipulates the user terminal identification number included in the SIP message can be detected and blocked.

도 1은 본 발명의 일 실시예에 따른 비정상 트래픽 차단 장치를 개략적으로 도시한 블록도이다.
도 2는 GTP-U 패킷과 GTP-C 패킷을 가공하여 획득한 데이터 프레임을 도시한 것이다.
도 3은 패킷 관리부의 세부 모듈을 도시한 블록도이다.
도 4는 패킷 분석부의 세부 모듈을 도시한 블록도이다.
도 5는 GTP 터널 정보 수집 모듈의 세부 모듈을 도시한 블록도이다.
도 6은 제어 메시지 관리 모듈의 동작을 설명하기 위한 데이터 테이블이다.
도 7은 메시지 처리 모듈의 동작을 설명하기 위한 흐름도이다.
도 8 및 도 9는 메시지 처리 모듈의 동작을 설명하기 위한 데이터 테이블이다.
도 10은 비정상 SIP 탐지 모듈에서 비정상 SIP를 탐지하는 과정을 설명하기 위한 흐름도이다.
도 11은 탐지/차단된 비정상 SIP 정보에 대한 예시적 테이블이다.
도 12는 비정상 SIP 탐지/차단 정책 설정에 대해 설명하기 위한 예시적 테이블이다.
도 13은 패킷 분석 결과 관리부의 세부 모듈을 도시한 블록도이다.
도 14는 시스템 관리부의 세부 모듈을 도시한 블록도이다.
도 15는 시스템 통신부의 세부 모듈을 도시한 블록도이다.
도 16 및 도 17은 탐지/차단 로그 저장부에 저장되는 테이블을 예시적으로 도시한 것이다.
도 18은 본 발명의 실시예에 따른 비정상 트래픽 차단 장치가 적용된 4G 네트워크의 구조를 설명하기 위한 도면이다.
도 19는는 도 18의 4G 네트워크와 연동된 IMS 네트워크의 구조를 설명하기 위한 도면이다.1 is a block diagram schematically showing an apparatus for blocking abnormal traffic according to an embodiment of the present invention.
2 illustrates a data frame obtained by processing a GTP-U packet and a GTP-C packet.
3 is a block diagram illustrating a detailed module of a packet management unit.
4 is a block diagram illustrating a detailed module of a packet analyzer.
5 is a block diagram showing a detailed module of the GTP tunnel information collection module.
6 is a data table for describing an operation of a control message management module.
7 is a flowchart for explaining an operation of a message processing module.
8 and 9 are data tables for explaining the operation of the message processing module.
10 is a flowchart illustrating a process of detecting an abnormal SIP in the abnormal SIP detection module.
11 is an exemplary table for detected / blocked abnormal SIP information.
12 is an exemplary table for explaining an abnormal SIP detection / blocking policy setting.
13 is a block diagram showing a detailed module of a packet analysis result management unit.
14 is a block diagram showing a detailed module of the system manager.
15 is a block diagram illustrating a detailed module of a system communication unit.
16 and 17 exemplarily illustrate tables stored in the detection / blocking log storage unit.
18 is a diagram illustrating a structure of a 4G network to which an apparatus for blocking abnormal traffic according to an embodiment of the present invention is applied.
FIG. 19 is a diagram for describing a structure of an IMS network interworking with the 4G network of FIG. 18.

본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.Advantages and features of the present invention and methods for achieving them will be apparent with reference to the embodiments described below in detail with the accompanying drawings. The present invention may, however, be embodied in many different forms and should not be construed as being limited to the embodiments set forth herein. Rather, these embodiments are provided so that this disclosure will be thorough and complete, and will fully convey the scope of the invention to those skilled in the art. Is provided to fully convey the scope of the invention to those skilled in the art, and the invention is only defined by the scope of the claims. Like reference numerals refer to like elements throughout the specification.

각 블록은 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또한, 몇 가지 대체 실행 예들에서는 블록들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대 잇달아 도시되어 있는 두 개의 블록들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.Each block may represent a portion of a module, segment, or code that includes one or more executable instructions for executing the specified logical function (s). It should also be noted that in some alternative implementations the functions mentioned in the blocks may occur out of order. For example, two blocks that are shown one after the other may actually be executed substantially concurrently, or the blocks may sometimes be performed in reverse order according to the corresponding function.

비록 제1, 제2 등이 다양한 소자, 구성요소 및/또는 섹션들을 서술하기 위해서 사용되나, 이들 소자, 구성요소 및/또는 섹션들은 이들 용어에 의해 제한되지 않음은 물론이다. 이들 용어들은 단지 하나의 소자, 구성요소 또는 섹션들을 다른 소자, 구성요소 또는 섹션들과 구별하기 위하여 사용하는 것이다. 따라서, 이하에서 언급되는 제1 소자, 제1 구성요소 또는 제1 섹션은 본 발명의 기술적 사상 내에서 제2 소자, 제2 구성요소 또는 제2 섹션일 수도 있음은 물론이다.Although the first, second, etc. are used to describe various elements, components and / or sections, it is needless to say that these elements, components and / or sections are not limited by these terms. These terms are only used to distinguish one element, element or section from another element, element or section. Therefore, it goes without saying that the first element, the first element or the first section mentioned below may be the second element, the second element or the second section within the technical spirit of the present invention.

본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성요소, 단계, 동작 및/또는 소자는 하나 이상의 다른 구성요소, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.The terminology used herein is for the purpose of describing particular embodiments only and is not intended to be limiting of the invention. In the present specification, the singular form includes plural forms unless otherwise specified in the specification. It is noted that the terms "comprises" and / or "comprising" used in the specification are intended to be inclusive in a manner similar to the components, steps, operations, and / Or additions.

다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.Unless defined otherwise, all terms (including technical and scientific terms) used herein may be used in a sense commonly understood by one of ordinary skill in the art to which this invention belongs. Also, commonly used predefined terms are not ideally or excessively interpreted unless explicitly defined otherwise.

도 1은 본 발명의 일 실시예에 따른 비정상 트래픽 차단 장치를 개략적으로 도시한 블록도이다. 도 2는 GTP-U 패킷과 GTP-C 패킷을 가공하여 획득한 데이터 프레임을 도시한 것이다.1 is a block diagram schematically showing an apparatus for blocking abnormal traffic according to an embodiment of the present invention. 2 illustrates a data frame obtained by processing a GTP-U packet and a GTP-C packet.

도 1 및 도 2를 참조하여, 우선, 본 발명의 일 실시예에 따른 비정상 트래픽 차단 장치의 개략적인 구성을 설명하기로 한다. 도 1을 참조하면, 본 발명의 일 실시예에 따른 비정상 트래픽 차단 장치는 NIC(Network Interface Card)(10), 패킷 관리부(100), 패킷 분석부(200), 패킷 분석 결과 관리부(300), 시스템 관리부(400), 시스템 통신부(500), 제1 내지 제4 저장부(DB1, DB2, DB3, DB4)를 포함한다. 1 and 2, first, a schematic configuration of an abnormal traffic blocking apparatus according to an embodiment of the present invention will be described. Referring to FIG. 1, an apparatus for blocking abnormal traffic according to an embodiment of the present invention includes a network interface card (NIC) 10, a packet managing unit 100, a packet analyzing unit 200, a packet analyzing result managing unit 300, The system manager 400, the system communicator 500, and the first to fourth storage units DB1, DB2, DB3, and DB4 are included.

NIC(10)는 GTP 패킷을 수신하여 패킷 관리부(100)로 전송하고, 패킷 관리부(100)의 제어 신호에 따라 GTP 패킷을 포워딩(forwarding)하거나 드롭(drop)할 수 있다. NIC(10)는 일반적인 네트워크 인터페이스 카드 또는 하드웨어 가속 네트워크 인터페이스 카드일 수 있다. GTP 패킷은 GTP-C 패킷과 GTP-U 패킷을 포함하며, GTP-U 패킷은 4G 네트워크 내에서 사용자의 데이터 패킷을 전송하기 위해 사용된다.The NIC 10 may receive the GTP packet and transmit it to the packet manager 100, and forward or drop the GTP packet according to the control signal of the packet manager 100. The NIC 10 may be a general network interface card or a hardware accelerated network interface card. GTP packets include GTP-C packets and GTP-U packets, which are used to transmit user's data packets within a 4G network.

패킷 관리부(100)는 NIC(10)로부터 GTP 패킷을 전송받아 GTP-U 패킷과 GTP-C 패킷으로 분류하고, GTP-U 패킷으로부터 제1 패킷 정보(D1)를 추출하고, GTP-C 패킷으로부터 제2 패킷 정보(D2)를 추출한다. 여기에서, 제1 패킷 정보(D1)는 GTP-U 패킷의 헤더(header)로부터 추출된 GTP-U TEID(Tunnel Endpoint Identifier), GTP-U 패킷의 페이로드(payload)로부터 추출된 SIP 메시지, 및 상기 SIP 메시지로부터 추출된 사용자 단말 식별 번호를 포함할 수 있다. 제2 패킷 정보(D2)는 GTP-C 패킷의 헤더로부터 추출된 GTP-C TEID를 포함할 수 있다. The packet manager 100 receives the GTP packet from the NIC 10, classifies it into a GTP-U packet and a GTP-C packet, extracts the first packet information D1 from the GTP-U packet, and extracts the GTP-C packet from the GTP-C packet. The second packet information D2 is extracted. Here, the first packet information D1 may include a GTP-U Tunnel Endpoint Identifier (TEID) extracted from a header of a GTP-U packet, a SIP message extracted from a payload of a GTP-U packet, and It may include a user terminal identification number extracted from the SIP message. The second packet information D2 may include a GTP-C TEID extracted from the header of the GTP-C packet.

구체적으로, 도 2를 참조하면, 패킷 관리부(100)는 GTP-U 패킷으로부터 필요한 정보를 추출하여, 제1 데이터 프레임(F1)을 생성할 수 있고, 제1 데이터 프레임(F1)에는 TEID(UL-DATA), Src IP, Dst IP, Protocol, Src Port, Dst Port, Length 등의 데이터가 포함될 수 있다. 또한, 패킷 관리부(100)는 GTP-C 패킷으로부터 필요한 정보를 추출하여, 제2 데이터 프레임(F2)을 생성할 수 있고, 제2 데이터 프레임(F2)에는 Src IP, Src Port, Msg Type, TEID, GTP-C IE 등의 데이터가 포함될 수 있다. 상기 GTP-C IE(Information Element)는 메시지 타입에 따라 다른 정보를 포함할 수 있다. 예를 들어, GTP-C IE는 TEID, MSISDN, IP 등의 정보를 포함할 수 있다. Specifically, referring to FIG. 2, the packet manager 100 may extract necessary information from a GTP-U packet to generate a first data frame F1, and the TEID (UL) may be included in the first data frame F1. DATA), Src IP, Dst IP, Protocol, Src Port, Dst Port, Length, etc. may be included. In addition, the packet manager 100 may extract necessary information from the GTP-C packet to generate a second data frame F2, and the Src IP, Src Port, Msg Type, and TEID may be generated in the second data frame F2. Data, such as GTP-C IE. The GTP-C Information Element (IE) may include other information according to the message type. For example, the GTP-C IE may include information such as TEID, MSISDN, IP, and the like.

패킷 관리부(100)는 패킷 필터링 정책, 시스템 동작 모드 등을 확인하기 위하여 제2 저장부(DB2)와 통신한다. 제2 저장부(DB2)는, 예를 들어, 동작 모드 정보 저장부일 수 있다.The packet manager 100 communicates with the second storage DB2 to check a packet filtering policy, a system operation mode, and the like. The second storage unit DB2 may be, for example, an operation mode information storage unit.

패킷 분석부(200)는 제1 및 제2 패킷 정보(D1, D2)를 전송받아 분석하고, 비정상 SIP 메시지를 포함한 GTP 패킷을 차단하기 위한 패킷 차단 정보(D3)를 생성하여 패킷 관리부(100)로 전송한다. 패킷 분석부(200)는 패킷 분석 결과 정보(D4)를 패킷 분석 결과 관리부(300)로 전송하고, GTP-C 패킷 분석 정보(D5)를 제1 저장부(DB1)로 전송한다. 제1 저장부(DB1)는, 예를 들어, 사용자 GTP 터널 정보 저장부일 수 있다. 또한, 패킷 분석부(200)는 탐지/차단 정책을 확인하기 위하여 제3 저장부(DB3)와 통신한다. 제3 저장부(DB3)는, 예를 들어, 탐지/차단 정책 저장부일 수 있다. The packet analyzer 200 receives and analyzes the first and second packet information D1 and D2 and generates packet blocking information D3 for blocking a GTP packet including an abnormal SIP message. To send. The packet analyzer 200 transmits the packet analysis result information D4 to the packet analysis result management unit 300, and transmits the GTP-C packet analysis information D5 to the first storage unit DB1. The first storage unit DB1 may be, for example, a user GTP tunnel information storage unit. In addition, the packet analyzer 200 communicates with the third storage unit DB3 to confirm the detection / blocking policy. The third storage unit DB3 may be, for example, a detection / blocking policy storage unit.

패킷 분석 결과 관리부(300)는 패킷 분석부(200)로부터 패킷 분석 결과 정보(D4)를 전송받아 사용자 정보를 추출하고, 탐지/차단 결과 정보(D6)를 생성한다. 탐지/차단 결과 정보(D6)는 상기 추출된 사용자 정보를 분석하여 얻은 결과 정보이다. 패킷 분석 결과 관리부(300)는 상기 추출된 사용자 정보를 이용하여, 제1 저장부(DB1)와 통신하여 패킷 발송 사용자를 조회한다. 또한, 패킷 분석 결과 관리부(300)는 탐지/차단 결과 정보(D6)를 제4 저장부(DB4)로 전송한다. 제4 저장부(DB4)는, 예를 들어, 탐지/차단 로그 저장부일 수 있다. The packet analysis result manager 300 receives the packet analysis result information D4 from the packet analyzer 200, extracts user information, and generates detection / blocking result information D6. The detection / blocking result information D6 is result information obtained by analyzing the extracted user information. The packet analysis result manager 300 uses the extracted user information to communicate with the first storage unit DB1 to query the packet sender. In addition, the packet analysis result manager 300 transmits the detection / blocking result information D6 to the fourth storage unit DB4. The fourth storage unit DB4 may be, for example, a detection / blocking log storage unit.

시스템 관리부(400)는 트래픽 입출력 현황을 통하여 시스템의 상태를 모니터링하고, 모니터링 결과에 따라 상기 시스템의 동작 모드를 설정하고, 시스템 동작 모드 정보(D7)를 제2 저장부(DB2)로 전송한다. 시스템 관리부(400)는 트래픽 입출력 현황 정보(D8)를 시스템 통신부(500)로 전송한다. The system manager 400 monitors the state of the system through the traffic input / output status, sets the operation mode of the system according to the monitoring result, and transmits the system operation mode information D7 to the second storage unit DB2. The system manager 400 transmits the traffic input / output status information D8 to the system communicator 500.

시스템 통신부(500)는 내부 시스템 또는 외부 시스템에 전송되는 시스템 메시지를 분석하고 관리한다. 상기 시스템 메시지는 내부 시스템의 동작 모드 설정을 위한 시스템 관리 메시지, 내부 시스템의 탐지/차단 정책 설정을 위한 정책 관리 메시지, 내부 시스템의 탐지/차단 로그 조회를 위한 탐지/차단 로그 조회 메시지, GUI와 통신을 위한 GUI 프로토콜, 외부 시스템과 연동하여 탐지/차단 정책을 설정하기 위한 외부 시스템 연동 프로토콜 등을 포함한다. The system communication unit 500 analyzes and manages system messages transmitted to an internal system or an external system. The system message is a system management message for setting an operation mode of an internal system, a policy management message for setting a detection / blocking policy of an internal system, a detection / block log inquiry message for a detection / blocking log inquiry of an internal system, and communication with a GUI. It includes a GUI protocol for interworking, and an external system interworking protocol for setting a detection / blocking policy in connection with an external system.

이하에서, 도 3 내지 도 15를 참조하여, 본 발명의 일 실시예에 따른 비정상 트래픽 차단 장치의 세부적인 구성에 대하여 설명한다. Hereinafter, a detailed configuration of an abnormal traffic blocking apparatus according to an embodiment of the present invention will be described with reference to FIGS. 3 to 15.

도 3은 패킷 관리부의 세부 모듈을 도시한 블록도이다.3 is a block diagram illustrating a detailed module of a packet management unit.

도 3을 참조하면, 패킷 관리부(100)는 제2 저장부(DB2)에 저장된 시스템 동작 모드 정보를 이용하여, 시스템의 IPS 모드 또는 BYPASS 모드를 적용한다. IPS 모드는 NIC(10)를 통하여 전송되는 GTP 패킷의 비정상 여부를 분석하여, 포워딩 또는 드롭하는 모드이고, BYPASS 모드는 NIC(10)를 통하여 전송되는 GTP 패킷의 비정상 여부를 분석하지 않고, 모든 GTP 패킷을 포워딩하는 모드이다. 패킷 관리부(100)는 시스템 동작 모드에 따라 GTP 패킷을 전송받고, 이를 분석하여 설정된 목적지 IP 및 목적지 Port를 기반으로 하여 GTP 패킷을 필터링한다. 이어서, GTP 패킷을 GTP-U 패킷과 GTP-C 패킷으로 분류한다. 분류된 GTP-U 패킷과 GTP-C 패킷을 가공하여 제1 데이터 프레임(F1)과 제2 데이터 프레임(F2)을 생성하여, 패킷 분석부(200)로 전송한다(도 2 참조).Referring to FIG. 3, the packet manager 100 applies an IPS mode or BYPASS mode of a system by using system operation mode information stored in the second storage unit DB2. The IPS mode is a mode for forwarding or dropping by analyzing an abnormality of the GTP packet transmitted through the NIC 10, and the BYPASS mode does not analyze whether an abnormality of the GTP packet transmitted through the NIC 10 is abnormal and all GTPs are analyzed. This mode forwards packets. The packet manager 100 receives the GTP packet according to the system operation mode, analyzes the GTP packet, and filters the GTP packet based on the set destination IP and the destination port. Subsequently, the GTP packet is classified into a GTP-U packet and a GTP-C packet. The classified GTP-U packet and the GTP-C packet are processed to generate a first data frame F1 and a second data frame F2, and are transmitted to the packet analyzer 200 (see FIG. 2).

또한, 패킷 관리부(100)는 패킷 분석부(200)로부터 전송된 패킷 차단 정보(D3)를 이용하여, 패킷 제어 모듈을 통해 패킷을 제어(즉, 포워딩 또는 드롭)한다. 다만, 이러한 패킷 제어는 시스템이 IPS 모드인 경우에만 동작한다. In addition, the packet manager 100 controls (ie, forwards or drops) a packet through the packet control module using the packet blocking information D3 transmitted from the packet analyzer 200. However, such packet control only works when the system is in IPS mode.

도 4는 패킷 분석부의 세부 모듈을 도시한 블록도이다. 도 5는 GTP 터널 정보 수집 모듈의 세부 모듈을 도시한 블록도이다. 도 6은 제어 메시지 관리 모듈의 동작을 설명하기 위한 데이터 테이블이다. 도 7은 메시지 처리 모듈의 동작을 설명하기 위한 흐름도이다. 도 8 및 도 9는 메시지 처리 모듈의 동작을 설명하기 위한 데이터 테이블이다. 도 10은 비정상 SIP 탐지 모듈에서 비정상 SIP를 탐지하는 과정을 설명하기 위한 흐름도이다. 도 11은 탐지/차단된 비정상 SIP 정보에 대한 예시적 테이블이다. 도 12는 비정상 SIP 탐지/차단 정책 설정에 대해 설명하기 위한 예시적 테이블이다.4 is a block diagram illustrating a detailed module of a packet analyzer. 5 is a block diagram showing a detailed module of the GTP tunnel information collection module. 6 is a data table for describing an operation of a control message management module. 7 is a flowchart for explaining an operation of a message processing module. 8 and 9 are data tables for explaining the operation of the message processing module. 10 is a flowchart illustrating a process of detecting an abnormal SIP in the abnormal SIP detection module. 11 is an exemplary table for detected / blocked abnormal SIP information. 12 is an exemplary table for explaining an abnormal SIP detection / blocking policy setting.

도 4를 참조하면, 패킷 분석부(200)는 제3 저장부(DB3)와 통신하여 탐지/차단 정책을 확인한다. 시스템에 적용된 탐지/차단 정책에 따라, 제1 패킷 정보(D1)를 분석하고, 비정상 SIP 탐지 모듈을 통해, 비정상 SIP 메시지를 포함한 GTP 패킷을 탐지한다. 패킷 분석부(200)에서 제1 패킷 정보(D1)를 분석한 결과에 따라 GTP 패킷을 처리할 수 있다. 즉, GTP 패킷의 포워딩 또는 드롭을 위하여 패킷 분석부(200)는 패킷 차단 정보(D3)를 패킷 관리부(100)로 전송한다. 또한, 패킷 분석부(200)는 GTP 터널 정보 수집 모듈(210)을 포함하며, GTP 터널 정보 수집 모듈(210)을 통해 제2 패킷 정보(D2)로부터 세션 정보를 추출한다. Referring to FIG. 4, the packet analyzer 200 checks a detection / blocking policy by communicating with the third storage unit DB3. According to the detection / blocking policy applied to the system, the first packet information D1 is analyzed and a GTP packet including an abnormal SIP message is detected through the abnormal SIP detection module. The packet analyzer 200 may process the GTP packet according to a result of analyzing the first packet information D1. That is, in order to forward or drop the GTP packet, the packet analyzer 200 transmits the packet blocking information D3 to the packet manager 100. In addition, the packet analyzer 200 includes a GTP tunnel information collection module 210 and extracts session information from the second packet information D2 through the GTP tunnel information collection module 210.

구체적으로, 도 5를 참조하면, GTP 터널 정보 수집 모듈(210)은 제어 메시지 관리 모듈과 메시지 처리 모듈을 포함한다. 제어 메시지 관리 모듈에는 메시지 버퍼를 포함하여, 요청(Request) 메시지와 응답(Response) 메시지를 통해 단일 메시지를 완성한다. 즉, 요청(Request) 메시지 확인 시, MME IP와 Sequence Number 값을 키값으로 하여 메시지 버퍼에 메시지 행을 추가한다. S-GW는 다수의 MME로부터 메시지를 수신하므로, Sequence Number 값의 중복을 고려하여 MME IP를 키값으로 추가한다. 응답(Response) 메시지 확인 시, 메시지 버퍼에 저장된 요청(Request) 메시지 중에서 동일한 키값을 갖는 메시지가 있는지를 상기 메시지 행으로부터 확인한다. 응답(Response) 메시지의 키값이 요청(Request) 메시지의 키값과 동일한 경우, 대응되는 응답(Response) 메시지의 필드 내용을 상기 메시지 행에 추가하여 단일 메시지를 완성한다(도 6을 참조하면, 밑줄 친 데이터는 응답(Response) 메시지로부터 추가된 내용이다). 완성된 단일 메시지는 메시지 처리 모듈로 전송되며, 전송 후 상기 단일 메시지는 메시지 버퍼에서 삭제된다. 메시지 처리 모듈은 상기 단일 메시지를 통해 제1 저장부(DB1)에 저장되는 사용자 정보 테이블을 관리한다. 즉, 제1 저장부(DB1) 내의 사용자 정보 테이블에 사용자 정보를 추가, 갱신, 또는 삭제한다. Specifically, referring to FIG. 5, the GTP tunnel information collection module 210 includes a control message management module and a message processing module. The control message management module includes a message buffer to complete a single message through a request message and a response message. That is, when checking the request message, a message line is added to the message buffer using MME IP and Sequence Number as key values. Since the S-GW receives messages from multiple MMEs, the M-ME IP is added as a key value in consideration of duplication of sequence number values. When checking the response message, it is checked from the message line whether there is a message having the same key value among the request messages stored in the message buffer. If the key value of the response message is the same as the key value of the request message, the field contents of the corresponding response message are added to the message line to complete a single message (see FIG. 6, underlined). Data is added from the response message). The completed single message is sent to the message processing module, after which the single message is deleted from the message buffer. The message processing module manages a user information table stored in the first storage unit DB1 through the single message. That is, user information is added, updated, or deleted in the user information table in the first storage unit DB1.

도 7 내지 도 9를 참조하여 메시지 처리 모듈의 동작에 관하여 설명하면, 우선 메시지 처리 모듈은 Create Session 메시지를 수신하여 제1 저장부(DB1)의 UC 테이블에 수신된 메시지의 UC TEID+EBI 정보가 존재하는지 판단한다. UC 테이블에 UC TEID+EBI 정보가 존재하는 경우, 기존의 사용자 정보 테이블을 삭제하고, 그렇지 않은 경우에는 계속해서 동작을 수행한다. 즉, 순차적으로, UC 테이블, UD 테이블, 및 IP 테이블을 생성한다. 도 8에는 UC 테이블, UD 테이블, 및 IP 테이블을 생성하는 방법에 관하여 나타나있다. UC 테이블을 생성하여 UC TEID+EBI 값을 키값으로 하여, UD TEID 정보를 입력하고, UD 테이블에는 다시 상기 UD TEID 정보를 키값으로 하여, UE IP 정보를 입력하고, IP 테이블에는 다시 상기 UE IP 정보를 키값으로 하여, MSISDN 정보를 입력한다. 도 9에는 완성된 Create Session 메시지가 나타나있다.Referring to FIG. 7 to FIG. 9, the message processing module first receives a Create Session message, and the UC TEID + EBI information of the received message is stored in the UC table of the first storage unit DB1. Determine if it exists. If UC TEID + EBI information exists in the UC table, the existing user information table is deleted. Otherwise, the operation continues. That is, sequentially, the UC table, the UD table, and the IP table are generated. 8 shows a method of generating a UC table, a UD table, and an IP table. Creates a UC table, inputs UD TEID information using UC TEID + EBI as a key value, inputs UE IP information using the UD TEID information as a key value again, and inputs the UE IP information into an IP table again. Enter MSISDN information with the key value. 9 shows the completed Create Session message.

또한, 패킷 분석부(200)는 시스템 동작 모드 정보(D7)를 확인하여, 고정 정책 모드(Static mode)로 동작하거나 실시간 정책 모드(Realtime mode)로 동작할 수 있다. 고정 정책 모드(또는 디폴트 모드)는 최초의 시스템 동작시에 탐지/차단 정책을 제3 저장부(DB3)에서 조회하고, 시스템의 동작이 정지될 때까지 상기 조회한 탐지/차단 정책을 유지하는 모드이다. 실시간 정책 모드는 패킷 분석부(200)에 설정된 특정 시간 단위로 탐지/차단 정책을 제3 저장부(DB3)에서 조회하고, 탐지/차단 정책의 변경 여부를 확인하여 변경 사항이 있다면 이를 반영하여 동작하는 모드이다. In addition, the packet analyzer 200 may check the system operation mode information D7 and operate in the fixed policy mode or the real time mode. The fixed policy mode (or default mode) is a mode in which the detection / blocking policy is queried by the third storage unit DB3 at the time of initial system operation and maintains the queried detection / blocking policy until the system operation is stopped. to be. The real-time policy mode inquires the detection / blocking policy in the third storage unit DB3 at a specific time unit set in the packet analyzer 200, checks whether the detection / blocking policy is changed, and reflects the change if there is a change. Mode.

여기에서, 도 10을 참조하여, 패킷 분석부(200) 내의 비정상 SIP 탐지 모듈의 동작을 설명한다.Here, the operation of the abnormal SIP detection module in the packet analyzer 200 will be described with reference to FIG. 10.

도 10을 참조하면, 비정상 SIP 탐지 모듈은, 우선, 제1 패킷 정보(D1)를 입력받는다(S101).Referring to FIG. 10, the abnormal SIP detection module first receives first packet information D1 (S101).

이어서, 제1 패킷 정보(D1) 내에 SIP 메시지가 존재하는지 판단한다(S102).Next, it is determined whether a SIP message exists in the first packet information D1 (S102).

이어서, 제1 패킷 정보(D1) 내에 SIP 메시지가 존재한다면, SIP 메시지가 SIP 초대 메시지인지 판단한다(S103).Subsequently, if there is a SIP message in the first packet information D1, it is determined whether the SIP message is a SIP invitation message (S103).

이어서, SIP 메시지가 SIP 초대 메시지이면, 제1 패킷 정보(D1)로부터 GTP-U TEID를 추출하고(S104), GTP-U TEID 기반으로 사용자 단말 식별 번호(예를 들어, MSISDN_1) 정보를 조회하고(S105), 사용자 단말 식별 번호(예를 들어, MSISDN_1) 정보가 존재하는지 판단한다(S106). 만약, SIP 메시지가 SIP 초대 메시지가 아닌 경우에는 패킷 관리부(100)가 GTP 패킷을 차단하지 않고 전송하도록 한다. Subsequently, if the SIP message is the SIP invitation message, the GTP-U TEID is extracted from the first packet information D1 (S104), and the user terminal identification number (eg, MSISDN_1) information is queried based on the GTP-U TEID. In step S105, it is determined whether user terminal identification number (for example, MSISDN_1) information exists (S106). If the SIP message is not the SIP invitation message, the packet manager 100 transmits the GTP packet without blocking.

이어서, 제1 패킷 정보(D1) 내에 사용자 단말 식별 번호(예를 들어, MSISDN_2) 정보가 존재한다면, From 필드에서 사용자 단말 식별 번호(예를 들어, MSISDN_2) 정보를 추출한다(S107).Subsequently, if the user terminal identification number (eg, MSISDN_2) information exists in the first packet information D1, the user terminal identification number (eg, MSISDN_2) information is extracted from the From field (S107).

이어서, 제1 패킷 정보(D1) 내의 GTP-U TEID를 기반으로 제1 저장부(DB1)를 조회하여 사용자 단말 식별 번호(예를 들어, MSISDN_1) 정보를 추출하고, 사용자 단말 식별 번호(예를 들어, MSISDN_1) 정보가 제1 패킷 정보(D1) 내의 From 필드에서 추출한 사용자 단말 식별 번호(예를 들어, MSISDN_2) 정보와 동일한지 판단하고(S108), 동일한 경우 동작을 종료한다.Subsequently, the first storage unit DB1 is queried based on the GTP-U TEID in the first packet information D1 to extract user terminal identification number (for example, MSISDN_1) information, and the user terminal identification number (for example, For example, it is determined whether the MSISDN_1 information is the same as the user terminal identification number (for example, MSISDN_2) information extracted from the From field in the first packet information D1 (S108).

만약, 제1 패킷 정보(D1) 내의 GTP-U TEID를 기반으로 제1 저장부(DB1)를 조회하여 추출한 사용자 단말 식별 번호(예를 들어, MSISDN_1) 정보와 From 필드에서 추출한 사용자 단말 식별 번호(예를 들어, MSISDN_2) 정보가 동일하지 않은 경우, 비정상 SIP 탐지 정보를 생성하여 패킷 분석 결과 관리부(300)로 전송한다(S109).If the user terminal identification number (for example, MSISDN_1) extracted by searching the first storage unit DB1 based on the GTP-U TEID in the first packet information D1 and extracted from the From field, For example, if the MSISDN_2) information is not the same, abnormal SIP detection information is generated and transmitted to the packet analysis result manager 300 (S109).

이어서, 패킷 분석 결과 관리부(300)를 통해 피해 정보 탐지/차단 여부를 판단한다(S110).Subsequently, the packet analysis result manager 300 determines whether the damage information is detected / blocked (S110).

이어서, 피해 정보 탐지/차단 정책이 설정되어 있는 경우, 비정상 SIP 피해 정보 탐지를 위한 룰을 생성하고, 생성된 룰은 제3 저장부(DB3)에 저장한다(S111). 도 11에는, 탐지/차단된 비정상 SIP정보에 대한 예시 테이블이 나타나 있다. 비정상 SIP 피해 정보 탐지를 위한 정책은, 비정상 SIP를 탐지한 경우 설정된 정책을 참조하여 비정상 SIP 피해 내역 탐지/차단 정책을 설정할지 여부를 결정하여, 비정상 SIP 피해 내역 탐지/차단 정책을 설정하기로 결정된 경우에 메모리에 비정상 SIP 피해 정보 탐지를 위한 테이블을 자동 생성한다(도 12 참조). Subsequently, when the damage information detection / blocking policy is set, a rule for detecting abnormal SIP damage information is generated, and the generated rule is stored in the third storage unit DB3 (S111). 11 shows an example table for detected / blocked abnormal SIP information. The policy for detecting an abnormal SIP damage information is determined to set an abnormal SIP damage history detection / blocking policy by determining whether to set an abnormal SIP damage history detection / blocking policy by referring to the set policy when detecting an abnormal SIP damage information. In this case, a table for detecting abnormal SIP damage information is automatically generated in memory (see FIG. 12).

도 13은 패킷 분석 결과 관리부의 세부 모듈을 도시한 블록도이다.13 is a block diagram showing a detailed module of a packet analysis result management unit.

도 13을 참조하면, 패킷 분석 결과 관리부(300)는 패킷 분석부(200)로부터 패킷 분석 결과 정보(D4)를 전송받고, 사용자 정보 추출 모듈을 통해 사용자 정보를 추출한다. 추출된 사용자 정보를 이용하여, 제1 저장부(DB1)에서 패킷 발송 사용자를 조회한다. 또한, 패킷 분석 결과 관리부(300)는 분석 결과 저장 모듈을 통해 탐지/차단 결과 정보(D6)를 제4 저장부(DB4)로 전송한다. Referring to FIG. 13, the packet analysis result manager 300 receives the packet analysis result information D4 from the packet analyzer 200 and extracts user information through the user information extraction module. Using the extracted user information, the first storage unit DB1 inquires about the packet sending user. In addition, the packet analysis result manager 300 transmits the detection / blocking result information D6 to the fourth storage unit DB4 through the analysis result storage module.

도 14는 시스템 관리부의 세부 모듈을 도시한 블록도이다.14 is a block diagram showing a detailed module of the system manager.

도 14를 참조하면, 시스템 관리부(400)는 트래픽 입출력 현황을 통하여 시스템의 상태를 모니터링 한다. 또한, 시스템 관리부(400)는 트래픽 입출력 현황뿐만 아니라 CPU 사용률, 메모리 사용률 등의 정보를 이용하여 시스템의 상태를 모니터링 할 수 있다. 시스템 모니터링 모듈은 NIC(10)에서 트래픽 입출력 현황을 조회하고, 이를 통해 시스템 상태를 모니터링 한다. 또한, 시스템 모니터링 모듈은 트래픽 입출력 현황 정보(D8)를 시스템 통신부(500)로 전송한다. 시스템 제어 모듈은 시스템 모니터링 모듈의 모니터링 결과에 따라 시스템의 동작 모드를 제어한다. 즉, 시스템의 동작 모드를 IPS 모드 또는 BYPASS 모드로 설정한다. 시스템 제어 모듈은 시스템 동작 모드 정보(D7)를 제2 저장부(DB2)로 전송한다. Referring to FIG. 14, the system manager 400 monitors a state of a system through a traffic input / output status. In addition, the system manager 400 may monitor the state of the system using information such as CPU utilization and memory utilization as well as traffic input / output status. The system monitoring module inquires the traffic I / O status from the NIC 10 and monitors the system status through the system. In addition, the system monitoring module transmits the traffic input / output status information D8 to the system communication unit 500. The system control module controls the operation mode of the system according to the monitoring result of the system monitoring module. That is, the operation mode of the system is set to IPS mode or BYPASS mode. The system control module transmits the system operation mode information D7 to the second storage unit DB2.

도 15는 시스템 통신부의 세부 모듈을 도시한 블록도이다. 15 is a block diagram illustrating a detailed module of a system communication unit.

도 15를 참조하면, 시스템 통신부(500)는 시스템 관리 메시지 해석 모듈, 정책 관리 메시지 해석 모듈, 탐지/차단 로그 조회 메시지 해석 모듈, GUI 프로토콜 해석 모듈, 외부 시스템 연동 프로토콜 해석 모듈을 포함한다. 시스템 관리 메시지 해석 모듈은 제2 저장부(DB2)와 연동하여 시스템 동작 모드 정보를 조회하고, 시스템의 동작 모드 설정을 위한 시스템 관리 메시지를 해석한다. 정책 관리 메시지 해석 모듈은 제3 저장부(DB3)와 연동하여 탐지/차단 정책을 조회하고, 시스템의 탐지/차단 정책 설정을 위한 정책 관리 메시지를 해석한다. 탐지/차단 로그 조회 메시지 해석 모듈은 제4 저장부(DB4)와 연동하여 탐지/차단 로그를 조회하고, 시스템의 탐지/차단 로그 조회를 위한 탐지/차단 로그 조회 메시지를 해석한다. GUI 프로토콜 해석 모듈은 GUI와 연동하여 시스템의 제어를 위해 입력되는 GUI 프로토콜을 해석한다. 외부 시스템 연동 프로토콜 해석 모듈은 외부 시스템과 연동하여 탐지/차단 정책을 설정하기 위해 입력되는 외부 시스템 연동 프로토콜을 해석한다. Referring to FIG. 15, the system communication unit 500 includes a system management message interpretation module, a policy management message interpretation module, a detection / blocking log inquiry message interpretation module, a GUI protocol interpretation module, and an external system interworking protocol interpretation module. The system management message interpretation module interoperates with the second storage unit DB2 to inquire the system operation mode information and interprets the system management message for setting the operation mode of the system. The policy management message interpretation module interoperates with the third storage DB3 to query the detection / blocking policy and interprets the policy management message for setting the detection / blocking policy of the system. The detection / blocking log inquiry message interpretation module interoperates with the fourth storage DB4 to search the detection / blocking log and interprets the detection / blocking log inquiry message for the detection / blocking log inquiry of the system. The GUI protocol interpretation module interprets the GUI protocol input for controlling the system in conjunction with the GUI. The external system interworking protocol analysis module analyzes the external system interworking protocol inputted to set the detection / blocking policy in connection with the external system.

도 16 및 도 17은 탐지/차단 로그 저장부에 저장되는 테이블을 예시적으로 도시한 것이다. 16 and 17 exemplarily illustrate tables stored in the detection / blocking log storage unit.

도 18은 본 발명의 실시예에 따른 비정상 트래픽 차단 장치가 적용된 4G 네트워크의 구조를 설명하기 위한 도면이다.18 is a diagram illustrating a structure of a 4G network to which an apparatus for blocking abnormal traffic according to an embodiment of the present invention is applied.

도 18을 참조하면, 4G 네트워크(1000)는 무선 자원을 관리하는 4G E-RAN(Enterprise Radio Access Network)과 데이터 처리/인증/과금 등을 수행하는 4G EPC(Evolved Packet Core)를 포함하여 구성될 수 있다.Referring to FIG. 18, the 4G network 1000 includes a 4G Enterprise Radio Access Network (E-RAN) for managing radio resources and a 4G Evolved Packet Core (EPC) for performing data processing / authentication / billing. Can be.

4G E-RAN은 사용자 단말(1100), eNB(1200)을 포함할 수 있다. 예를 들어, 사용자 단말(1100)은 4G 네트워크에 가입되어 있는 휴대 단말일 수 있다. eNB(1200)는 기지국으로서 사용자 단말(1100)과 4G 네트워크 간에 무선 연결을 제공할 수 있다.The 4G E-RAN may include a user terminal 1100 and an eNB 1200. For example, the user terminal 1100 may be a mobile terminal subscribed to a 4G network. The eNB 1200 may provide a wireless connection between the user terminal 1100 and the 4G network as a base station.

4G EPC는 MME(1300), S-GW(1400), P-GW(1500), HSS(Home Subscriber Server; 1600), PCRF(Policy & Charging Rule Function; 1700)을 포함할 수 있다. MME(1300)는 eNB(1200)와 S1-MME GTP 터널을 통해서 GTP 패킷을 송수신할 수 있다. S-GW(1400)는 eNB(1200)와 S1-U GTP 터널을 통해서 GTP 패킷을 송수신할 수 있다. MME(1300)는 S-GW(1400)와 S11 GTP 터널을 통해서 GTP 패킷을 송수신할 수 있다. P-GW(1500)는 IMS 네트워크의 P-CSCF(2100) 및 인터넷과 연결될 수 있다.The 4G EPC may include an MME 1300, an S-GW 1400, a P-GW 1500, a Home Subscriber Server 1600, and a Policy & Charging Rule Function 1700. The MME 1300 can send and receive GTP packets through the S1-MME GTP tunnel with the eNB 1200. [ The S-GW 1400 can send and receive GTP packets through the S1-U GTP tunnel with the eNB 1200. [ The MME 1300 can transmit and receive GTP packets through the S-GW 1400 and the S11 GTP tunnel. The P-GW 1500 may be connected to the P-CSCF 2100 of the IMS network and the Internet.

4G 네트워크에서 S1-U GTP 터널은 데이터 트래픽을 위한 패스(path)이고, S11 GTP 터널은 시그널링을 위한 패스이고, S5 GTP 터널은 데이터 트래픽 및 시그널링을 위한 패스이다.In a 4G network, the S1-U GTP tunnel is a path for data traffic, the S11 GTP tunnel is a path for signaling, and the S5 GTP tunnel is a path for data traffic and signaling.

도 1 내지 도 15를 참조하여 설명한 비정상 트래픽 차단 장치는 eNB(1200) 및 MME(1300)와 S-GW(1400) 사이(P1, P2), 또는 S-GW(1400)과 P-GW(1500) 사이(P3)에 제공될 수 있다. 또한, 도 1 내지 도 15를 참조하여 설명한 비정상 트래픽 차단 장치는 S-GW(1400) 또는 P-GW(1500)의 내부 구성 요소로 제공될 수도 있다. 도 18에는 명확하게 도시하지 않았으나, 4G 네트워크는 S-GW(1400)을 통해서 3G 네트워크, 펨토셀 네트워크 등과 연동될 수 있다.The abnormal traffic blocking apparatus described with reference to FIGS. 1 to 15 includes the eNB 1200 and the MME 1300 and the S-GW 1400 (P1, P2), or the S-GW 1400 and the P-GW 1500. ) May be provided between (P3). In addition, the abnormal traffic blocking apparatus described with reference to FIGS. 1 to 15 may be provided as an internal component of the S-GW 1400 or the P-GW 1500. Although not clearly illustrated in FIG. 18, the 4G network may be linked with a 3G network, a femtocell network, and the like through the S-GW 1400.

도 19는 도 18의 4G 네트워크와 연동된 IMS 네트워크의 구조를 설명하기 위한 도면이다.FIG. 19 illustrates a structure of an IMS network interworking with the 4G network of FIG. 18.

도 19를 참조하면, IMS 네트워크(2000)는 P-CSCF(2100), I-CSCF(2200), S-CSCF(2300), BGCF(Border Gateway Control Function; 2400), HSS(2500), S-GW(2600), MGCF(Media Gateway Control Function; 2700), AS(Application Server; 2800), M-GW(Media Gateway; 2900)을 포함할 수 있다.Referring to FIG. 19, the IMS network 2000 includes a P-CSCF 2100, an I-CSCF 2200, an S-CSCF 2300, a Border Gateway Control Function 2400, an HSS 2500, and an S-. It may include a GW 2600, a Media Gateway Control Function (MGCF) 2700, an Application Server (2800), and a Media Gateway (M-GW) 2900.

4G 네트워크 내부의 사용자 단말(1100)로부터 전송된 SIP 메시지는 P-GW(1500)를 통해서, IMS 네트워크 내부로 전달될 수 있다. P-GW(1500)과 연결된 P-CSCF(2100)는 상기 SIP 메시지를 I-CSCF(2200)에 전송하고, I-CSCF(2200)는 상기 SIP 메시지를 S-CSCF(2300)에 전송할 수 있다. S-GW(2600)는 PSTN(Public Switching Telephone Network)과 연결되고, M-GW(2900)은 PLMN(Public Land Mobile Network)과 연결될 수 있다.The SIP message transmitted from the user terminal 1100 in the 4G network can be delivered to the inside of the IMS network through the P-GW 1500. [ The P-CSCF 2100 associated with the P-GW 1500 may send the SIP message to the I-CSCF 2200 and the I-CSCF 2200 may send the SIP message to the S-CSCF 2300 . The S-GW 2600 may be connected to a Public Switching Telephone Network (PSTN), and the M-GW 2900 may be connected to a PLMN (Public Land Mobile Network).

도 1 내지 도 15를 참조하여 설명한 비정상 트래픽 차단 장치는 4G 네트워크의 내부(P1~P3)에 제공되므로, SIP 메시지 내에 포함되는 사용자 단말 식별 번호를 조작한 비정상 트래픽이 탐지되고, 비정상 트래픽이 IMS 네트워크의 내부로 전달되는 것이 차단될 수 있다.Since the abnormal traffic blocking apparatus described with reference to FIGS. 1 to 15 is provided inside the 4G network (P1 to P3), abnormal traffic that manipulates a user terminal identification number included in a SIP message is detected, and the abnormal traffic is an IMS network. It can be blocked from being delivered to the inside of the.

본 발명의 실시예들과 관련하여 설명된 방법 또는 알고리즘의 단계는, 프로세서에 의해 실행되는 하드웨어 모듈, 소프트웨어 모듈, 또는 그 2개의 결합으로 직접 구현될 수 있다. 소프트웨어 모듈은 RAM 메모리, 플래시 메모리, ROM 메모리, EPROM 메모리, EEPROM 메모리, 레지스터, 하드 디스크, 착탈형 디스크, CD-ROM, 또는 본 발명의 기술 분야에서 잘 알려진 임의의 형태의 컴퓨터로 읽을 수 있는 기록 매체에 상주할 수도 있다. 예시적인 기록 매체는 프로세서에 연결되며, 그 프로세서는 기록 매체로부터 정보를 독출할 수 있고 기록 매체에 정보를 기입할 수 있다. 다른 방법으로, 기록 매체는 프로세서와 일체형일 수도 있다. 프로세서 및 기록 매체는 주문형 집적회로(ASIC) 내에 상주할 수도 있다. ASIC는 사용자 단말기 내에 상주할 수도 있다. 다른 방법으로, 프로세서 및 기록 매체는 사용자 단말기 내에 개별 구성 요소로서 상주할 수도 있다.The steps of a method or algorithm described in connection with embodiments of the present invention may be implemented directly in a hardware module, a software module, or a combination of the two executed by a processor. A software module may reside in RAM memory, flash memory, ROM memory, EPROM memory, EEPROM memory, registers, a hard disk, a removable disk, a CD-ROM, or any form of computer readable media known in the art Lt; / RTI > An exemplary recording medium is coupled to a processor, which is capable of reading information from, and writing information to, the recording medium. In the alternative, the recording medium may be integral to the processor. The processor and the recording medium may reside in an application specific integrated circuit (ASIC). The ASIC may reside within the user terminal. Alternatively, the processor and the recording medium may reside as discrete components in a user terminal.

이상 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.While the present invention has been described in connection with what is presently considered to be practical exemplary embodiments, it is to be understood that the invention is not limited to the disclosed embodiments, but, on the contrary, You will understand. It is therefore to be understood that the above-described embodiments are illustrative in all aspects and not restrictive.

10: NIC 100: 패킷 관리부
200: 패킷 분석부 300: 패킷 분석 결과 관리부
400: 시스템 관리부 500; 시스템 통신부
DB1, DB2, DB3, DB4: 제1 내지 제4 저장부10: NIC 100: packet management unit
200: packet analysis unit 300: packet analysis result management unit
400: system manager 500; System communication unit
DB1, DB2, DB3, DB4: first to fourth storage unit

Claims (20)

GTP 패킷을 전송받아 GTP-U 패킷과 GTP-C 패킷으로 분류하고, 상기 GTP-U 패킷으로부터 제1 패킷 정보를 추출하고, 상기 GTP-C 패킷으로부터 제2 패킷 정보를 추출하는 패킷 관리부;
상기 제1 및 제2 패킷 정보를 전송받아 분석하고, 비정상 SIP 메시지를 포함한 GTP 패킷을 차단하기 위한 패킷 차단 정보를 생성하여 상기 패킷 관리부로 전송하는 패킷 분석부;
상기 패킷 분석부로부터 패킷 분석 결과 정보를 전송받아 사용자 정보를 추출하고, 탐지/차단 결과 정보를 생성하는 패킷 분석 결과 관리부; 및
상기 패킷 분석 결과 관리부로부터 상기 탐지/차단 결과 정보를 전송받아 저장하는 탐지/차단 로그 저장부를 포함하는 비정상 트래픽 차단 장치.A packet manager configured to receive a GTP packet, classify it into a GTP-U packet and a GTP-C packet, extract first packet information from the GTP-U packet, and extract second packet information from the GTP-C packet;
A packet analyzer configured to receive and analyze the first and second packet information, generate packet blocking information for blocking a GTP packet including an abnormal SIP message, and transmit the packet blocking information to the packet manager;
A packet analysis result management unit which receives the packet analysis result information from the packet analysis unit, extracts user information, and generates detection / blocking result information; And
And a detection / blocking log storage unit for receiving and storing the detection / blocking result information from the packet analysis result management unit. 제 1항에 있어서,
상기 제1 패킷 정보는, 상기 GTP-U 패킷의 헤더로부터 추출된 GTP-U TEID, 상기 GTP-U 패킷의 페이로드로부터 추출된 SIP 메시지, 및 상기 SIP 메시지로부터 추출된 사용자 단말 식별 번호를 포함하고,
상기 제2 패킷 정보는, 상기 GTP-C 패킷의 헤더로부터 추출된 GTP-C TEID, 상기 GTP-U TEID, UE IP, 및 상기 사용자 단말 식별 번호를 포함하는 비정상 트래픽 차단 장치.The method of claim 1,
The first packet information includes a GTP-U TEID extracted from a header of the GTP-U packet, a SIP message extracted from a payload of the GTP-U packet, and a user terminal identification number extracted from the SIP message. ,
And the second packet information includes a GTP-C TEID, the GTP-U TEID, a UE IP, and the user terminal identification number extracted from a header of the GTP-C packet. 제 2항에 있어서,
상기 SIP 메시지는, SIP 초대(SIP INVITE) 메시지를 포함하는 비정상 트래픽 차단 장치.3. The method of claim 2,
The SIP message, abnormal traffic blocking device including a SIP INVITE (SIP INVITE) message. 제 3항에 있어서,
상기 패킷 관리부는, 상기 SIP 메시지가 상기 SIP 초대 메시지를 포함하지 않는 SIP 메시지라면, 상기 GTP 패킷을 차단하지 않고 전송하는 비정상 트래픽 차단 장치.The method of claim 3,
The packet management unit, if the SIP message is a SIP message that does not include the SIP invitation message, abnormal traffic blocking apparatus for transmitting without blocking the GTP packet. 제 2항에 있어서,
상기 사용자 단말 식별 번호는, MSISDN(Mobile Station International ISDN Number)을 포함하는 비정상 트래픽 차단 장치.3. The method of claim 2,
The user terminal identification number, abnormal traffic blocking device including an MSISDN (Mobile Station International ISDN Number). 제 1항에 있어서,
트래픽 입출력 현황을 통하여 시스템의 상태를 모니터링하고, 모니터링 결과에 따라 상기 시스템의 동작 모드를 설정하고, 시스템 동작 모드 정보를 동작 모드 정보 저장부로 전송하는 시스템 관리부를 더 포함하는 비정상 트래픽 차단 장치.The method of claim 1,
And a system management unit for monitoring a state of a system through a traffic input / output status, setting an operation mode of the system according to a monitoring result, and transmitting system operation mode information to an operation mode information storage unit. 제 6항에 있어서,
상기 패킷 관리부는, 상기 시스템 동작 모드 정보를 이용하여 IPS 모드 또는 BYPASS 모드를 적용하는 비정상 트래픽 차단 장치.The method according to claim 6,
The packet management unit, the abnormal traffic blocking device to apply the IPS mode or BYPASS mode using the system operation mode information. 제 6항에 있어서,
상기 시스템 또는 외부 시스템에 전송되는 시스템 메시지를 분석하고 관리하는 시스템 통신부를 더 포함하는 비정상 트래픽 차단 장치.The method according to claim 6,
Abnormal traffic blocking device further comprises a system communication unit for analyzing and managing system messages transmitted to the system or an external system. 제 8항에 있어서,
상기 시스템 메시지는, 상기 시스템의 동작 모드 설정을 위한 시스템 관리 메시지, 상기 시스템의 탐지/차단 정책 설정을 위한 정책 관리 메시지, 또는 상기 시스템의 탐지/차단 로그 조회를 위한 탐지/차단 로그 조회 메시지를 포함하는 비정상 트래픽 차단 장치.The method of claim 8,
The system message may include a system management message for setting an operation mode of the system, a policy management message for setting a detection / blocking policy of the system, or a detection / block log inquiry message for a detection / blocking log inquiry of the system. Abnormal traffic blocking device. 제 1항에 있어서,
상기 패킷 관리부는, 상기 패킷 차단 정보를 이용하여 상기 GTP 패킷을 포워딩(forwarding) 또는 드롭(drop)하는 패킷 제어 모듈을 포함하는 비정상 트래픽 차단 장치.The method of claim 1,
The packet management unit includes a packet control module for forwarding or dropping the GTP packet using the packet blocking information. 제 1항에 있어서,
상기 패킷 분석부는, 상기 제2 패킷 정보를 이용하여 세션 정보를 추출하는 GTP 터널 정보 수집 모듈을 포함하는 비정상 트래픽 차단 장치.The method of claim 1,
The packet analysis unit, abnormal traffic blocking apparatus including a GTP tunnel information collection module for extracting session information using the second packet information. 제 11항에 있어서,
상기 GTP 터널 정보 수집 모듈은, 요청(request) 메시지 및 응답(response) 메시지를 통해 단일 메시지를 완성하는 제어 메시지 관리 모듈과, 상기 단일 메시지를 통해 사용자 정보 테이블을 관리하는 메시지 처리 모듈을 포함하는 비정상 트래픽 차단 장치.12. The method of claim 11,
The GTP tunnel information collection module includes a control message management module for completing a single message through a request message and a response message, and a message processing module for managing a user information table through the single message. Traffic blocker. GTP 패킷을 전송받아 GTP-U 패킷과 GTP-C 패킷으로 분류하고, 상기 GTP-U 패킷의 헤더로부터 GTP-U TEID를 추출하고, 상기 GTP-U 패킷의 페이로드로부터 SIP 메시지를 추출하고, 상기 SIP 메시지로부터 사용자 단말 식별 번호를 추출하는 패킷 관리부;
상기 GTP-U TEID와 상기 사용자 단말 식별 번호를 전송받아 분석하고, 비정상 SIP 메시지를 포함한 GTP 패킷을 차단하기 위한 패킷 차단 정보를 생성하여 상기 패킷 관리부로 전송하는 패킷 분석부;
상기 패킷 분석부로부터 패킷 분석 결과 정보를 전송받아 사용자 정보를 추출하고, 탐지/차단 결과 정보를 생성하는 패킷 분석 결과 관리부;
트래픽 입출력 현황을 통하여 시스템의 상태를 모니터링하고, 모니터링 결과에 따라 상기 시스템의 동작 모드를 설정하고, 시스템 동작 모드 정보를 생성하는 시스템 관리부; 및
상기 시스템 또는 외부 시스템에 전송되는 시스템 메시지를 분석하고 관리하는 시스템 통신부를 포함하는 비정상 트래픽 차단 장치.Receiving a GTP packet and classifying it into a GTP-U packet and a GTP-C packet, extracting a GTP-U TEID from the header of the GTP-U packet, extracting a SIP message from the payload of the GTP-U packet, A packet manager extracting a user terminal identification number from the SIP message;
A packet analyzer configured to receive and analyze the GTP-U TEID and the user terminal identification number, generate packet blocking information for blocking a GTP packet including an abnormal SIP message, and transmit the packet blocking information to the packet manager;
A packet analysis result management unit which receives the packet analysis result information from the packet analysis unit, extracts user information, and generates detection / blocking result information;
A system manager for monitoring a state of a system through a traffic input / output status, setting an operation mode of the system according to a monitoring result, and generating system operation mode information; And
Abnormal traffic blocking device including a system communication unit for analyzing and managing the system messages transmitted to the system or an external system. 제 13항에 있어서,
상기 SIP 메시지는, SIP 초대 메시지를 포함하는 비정상 트래픽 차단 장치.14. The method of claim 13,
The SIP message, abnormal traffic blocking device comprising a SIP invitation message. 제 14항에 있어서,
상기 패킷 관리부는, 상기 SIP 메시지가 상기 SIP 초대 메시지를 포함하지 않는 SIP 메시지라면, 상기 GTP 패킷을 차단하지 않고 전송하는 비정상 트래픽 차단 장치.15. The method of claim 14,
The packet management unit, if the SIP message is a SIP message that does not include the SIP invitation message, abnormal traffic blocking apparatus for transmitting without blocking the GTP packet. 제 13항에 있어서,
상기 사용자 단말 식별 번호는, MSISDN을 포함하는 비정상 트래픽 차단 장치.14. The method of claim 13,
The user terminal identification number, abnormal traffic blocking device comprising an MSISDN. 제 13항에 있어서,
상기 패킷 관리부는, 상기 시스템 동작 모드 정보를 이용하여 IPS 모드 또는 BYPASS 모드를 적용하는 비정상 트래픽 차단 장치.14. The method of claim 13,
The packet management unit, the abnormal traffic blocking device to apply the IPS mode or BYPASS mode using the system operation mode information. 제 13항에 있어서,
상기 패킷 관리부는, 상기 패킷 차단 정보를 이용하여 상기 GTP 패킷을 포워딩(forwarding) 또는 드롭(drop)하는 패킷 제어 모듈을 포함하는 비정상 트래픽 차단 장치.14. The method of claim 13,
The packet management unit includes a packet control module for forwarding or dropping the GTP packet using the packet blocking information. 제 13항에 있어서,
상기 패킷 분석부는, 상기 GTP-C 패킷의 헤더로부터 추출된 GTP-C TEID를 이용하여 세션 정보를 추출하는 GTP 터널 정보 수집 모듈을 포함하는 비정상 트래픽 차단 장치.14. The method of claim 13,
And the packet analyzer comprises a GTP tunnel information collection module for extracting session information using a GTP-C TEID extracted from a header of the GTP-C packet. 제 19항에 있어서,
상기 GTP 터널 정보 수집 모듈은, 요청(request) 메시지 및 응답(response) 메시지를 통해 단일 메시지를 완성하는 제어 메시지 관리 모듈과, 상기 단일 메시지를 통해 사용자 정보 테이블을 관리하는 메시지 처리 모듈을 포함하는 비정상 트래픽 차단 장치.
20. The method of claim 19,
The GTP tunnel information collection module includes a control message management module for completing a single message through a request message and a response message, and a message processing module for managing a user information table through the single message. Traffic blocker.
KR1020130134836A 2013-11-07 2013-11-07 Apparatus for blocking abnormal traffic in 4g mobile network KR101388627B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130134836A KR101388627B1 (en) 2013-11-07 2013-11-07 Apparatus for blocking abnormal traffic in 4g mobile network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130134836A KR101388627B1 (en) 2013-11-07 2013-11-07 Apparatus for blocking abnormal traffic in 4g mobile network

Publications (1)

Publication Number Publication Date
KR101388627B1 true KR101388627B1 (en) 2014-04-24

Family

ID=50658575

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130134836A KR101388627B1 (en) 2013-11-07 2013-11-07 Apparatus for blocking abnormal traffic in 4g mobile network

Country Status (1)

Country Link
KR (1) KR101388627B1 (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101534161B1 (en) * 2014-10-31 2015-07-07 한국인터넷진흥원 Apparatus and method for user session management in 4G mobile network
KR101534160B1 (en) * 2015-01-16 2015-07-24 한국인터넷진흥원 Apparatus and method for VoLTE session management in 4G mobile network
WO2016098997A1 (en) * 2014-12-17 2016-06-23 Korea Internet & Security Agency Apparatus, system and method for detecting abnormal volte registration message in 4g mobile network
KR101804633B1 (en) * 2015-10-06 2018-01-10 주식회사 엘지유플러스 Apparatus and method for processing communication packet
KR101834503B1 (en) * 2016-08-19 2018-03-05 (주)이지서티 Log generating method and apparatus based on packet gathering per session in big data system
WO2019151552A1 (en) * 2018-02-02 2019-08-08 (주)이지서티 Method and apparatus for generating log on basis of packet collection for each session in big data system

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100545790B1 (en) 2003-11-05 2006-01-24 한국전자통신연구원 A computer-readable recording medium recording a session control method and a program for performing the session in a packet gateway support node of the
JP2007267151A (en) 2006-03-29 2007-10-11 Nippon Telegr & Teleph Corp <Ntt> Apparatus, method and program for detecting abnormal traffic
KR100852145B1 (en) 2007-11-22 2008-08-13 한국정보보호진흥원 Security system and securing method of call signaling messages for session initiation protocol based voice over the internet protocol service
KR101011221B1 (en) 2008-12-23 2011-01-26 한국인터넷진흥원 Detection and block system for hacking attack of internet telephone using the SIP-based and method thereof

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100545790B1 (en) 2003-11-05 2006-01-24 한국전자통신연구원 A computer-readable recording medium recording a session control method and a program for performing the session in a packet gateway support node of the
JP2007267151A (en) 2006-03-29 2007-10-11 Nippon Telegr & Teleph Corp <Ntt> Apparatus, method and program for detecting abnormal traffic
KR100852145B1 (en) 2007-11-22 2008-08-13 한국정보보호진흥원 Security system and securing method of call signaling messages for session initiation protocol based voice over the internet protocol service
KR101011221B1 (en) 2008-12-23 2011-01-26 한국인터넷진흥원 Detection and block system for hacking attack of internet telephone using the SIP-based and method thereof

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101534161B1 (en) * 2014-10-31 2015-07-07 한국인터넷진흥원 Apparatus and method for user session management in 4G mobile network
WO2016068475A1 (en) * 2014-10-31 2016-05-06 Korea Internet & Security Agency Apparatus and method for user session management in 4g mobile network
WO2016098997A1 (en) * 2014-12-17 2016-06-23 Korea Internet & Security Agency Apparatus, system and method for detecting abnormal volte registration message in 4g mobile network
KR101534160B1 (en) * 2015-01-16 2015-07-24 한국인터넷진흥원 Apparatus and method for VoLTE session management in 4G mobile network
WO2016114476A1 (en) * 2015-01-16 2016-07-21 Korea Internet & Security Agency Apparatus and method for volte session managemet in 4g mobile network
KR101804633B1 (en) * 2015-10-06 2018-01-10 주식회사 엘지유플러스 Apparatus and method for processing communication packet
KR101834503B1 (en) * 2016-08-19 2018-03-05 (주)이지서티 Log generating method and apparatus based on packet gathering per session in big data system
WO2019151552A1 (en) * 2018-02-02 2019-08-08 (주)이지서티 Method and apparatus for generating log on basis of packet collection for each session in big data system

Similar Documents

Publication Publication Date Title
KR101388627B1 (en) Apparatus for blocking abnormal traffic in 4g mobile network
EP2744151B1 (en) Method, system, and computer-readable medium for monitoring traffic across diameter core agents
CN103430487B (en) For detecting the method, apparatus and system of the service data that grouped data connects
KR101388628B1 (en) Method for blocking abnormal traffic in 4g mobile network
US8270942B2 (en) Method for the interception of GTP-C messages
KR101414231B1 (en) Apparatus and method for detecting abnormal call
US20160285762A1 (en) Techniques for exchanging control and configuration information in a network visibility system
US9467360B2 (en) System, device and method for managing network traffic by using monitoring and filtering policies
US10129110B2 (en) Apparatus and method of identifying a user plane identifier of a user device by a monitoring probe
EP3874683B1 (en) Network-charging communication-failure handling
KR101228089B1 (en) Ip spoofing detection apparatus
US20200187060A1 (en) Methods and Systems for Routing Mobile Data Traffic in 5G Networks
KR101534161B1 (en) Apparatus and method for user session management in 4G mobile network
US8948019B2 (en) System and method for preventing intrusion of abnormal GTP packet
KR101534160B1 (en) Apparatus and method for VoLTE session management in 4G mobile network
US20150296549A1 (en) Method and apparatus for managing session based on general packet radio service tunneling protocol network
KR101538309B1 (en) APPARATUS, SYSTEM AND METHOD FOR DETECTING ABNORMAL VoLTE REGISTRATION MESSAGE IN 4G MOBILE NETWORKS
KR101536178B1 (en) Apparatus and method for detecting abnormal sdp message in 4g mobile networks
EP3641248A1 (en) Traffic optimization device, communication system, traffic optimization method, and program
KR20130006912A (en) System and method for managing network traffic using monitoring and filtering policy
KR101632241B1 (en) METHOD AND APPARATUS FOR PROVIDING DETECTION SERVICE BASED VoLTE SESSION
KR101785680B1 (en) Apparatus, system and method for detecting a rtp tunneling packet in 4g mobile networks
JP2015204538A (en) Call processing sequence analyzer and communication system
KR101711074B1 (en) Apparatus, system and method for detecting a sip tunneling packet in 4g mobile networks
KR101541119B1 (en) APPARATUS, SYSTEM AND METHOD FOR DETECTING ABNORMAL VoLTE DE-REGISTRATION MESSAGE IN 4G MOBILE NETWORKS

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee