KR101388628B1 - 4g 이동통신망에서의 비정상 트래픽 차단 방법 - Google Patents

4g 이동통신망에서의 비정상 트래픽 차단 방법 Download PDF

Info

Publication number
KR101388628B1
KR101388628B1 KR1020130134780A KR20130134780A KR101388628B1 KR 101388628 B1 KR101388628 B1 KR 101388628B1 KR 1020130134780 A KR1020130134780 A KR 1020130134780A KR 20130134780 A KR20130134780 A KR 20130134780A KR 101388628 B1 KR101388628 B1 KR 101388628B1
Authority
KR
South Korea
Prior art keywords
message
information
sip
packet
gtp
Prior art date
Application number
KR1020130134780A
Other languages
English (en)
Inventor
임채태
오주형
김세권
조준형
장웅
구본민
박성민
우수정
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020130134780A priority Critical patent/KR101388628B1/ko
Application granted granted Critical
Publication of KR101388628B1 publication Critical patent/KR101388628B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1069Session establishment or de-establishment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1101Session protocols
    • H04L65/1104Session initiation protocol [SIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/30Types of network names
    • H04L2101/385Uniform resource identifier for session initiation protocol [SIP URI]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Multimedia (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

비정상 트래픽 차단 방법이 제공된다. 상기 비정상 트래픽 차단 방법은, 제1 패킷 정보를 입력받는 단계, 상기 제1 패킷 정보 내에 SIP 메시지가 존재하는지 판단하는 단계, 상기 제1 패킷 정보 내에 SIP 메시지가 존재하는 경우, 상기 SIP 메시지가 SIP 초대(SIP INVITE) 메시지인지 판단하는 단계, 상기 SIP 메시지가 SIP 초대 메시지인 경우, 상기 제1 패킷 정보로부터 GTP-U TEID를 추출하는 단계, 상기 GTP-U TEID를 기반으로 제1 저장부에서 제1 사용자 단말 식별 번호 정보를 조회하는 단계, 상기 제1 저장부에 상기 제1 사용자 단말 식별 번호 정보가 존재하는 경우, 상기 SIP 메시지의 From 필드에서 제2 사용자 단말 식별 번호 정보를 추출하는 단계, 및 상기 제1 및 제2 사용자 단말 식별 번호 정보를 비교하는 단계를 포함한다.

Description

4G 이동통신망에서의 비정상 트래픽 차단 방법{Method for blocking abnormal traffic in 4G mobile network}
본 발명은 비정상 트래픽 차단 방법에 관한 것으로, 보다 상세하게는 GTP(GPRS Tunneling Protocol)를 사용하는 모바일 환경에서의 세션 정보 기반 비정상 트래픽 차단 방법에 관한 것이다.
4G 네트워크(또는 LTE 네트워크)는 무선 자원을 관리하는 4G E-RAN(Enterprise Radio Access Network)과 데이터 처리/인증/과금 등을 수행하는 4G EPC(Evolved Packet Core)를 포함하여 구성된다.
4G E-RAN은 사용자 단말(UE; User Equipment), eNB(evolved Node B) 등의 구성 요소를 포함하고, 4G EPC는 MME(Mobility Management Entity), S-GW(Serving Gateway), P-GW(PDN Gateway), HSS(Home Subscriber Server), PCRF(Policy & Charging Rule Function) 등의 구성 요소를 포함한다.
4G 네트워크 내부에서는 eNB와 S-GW간 생성되는 S1-U GTP(GPRS Tunneling Protocol) 터널과, S-GW와 P-GW간 생성되는 생성되는 S5 GTP 터널을 통해 데이터 패킷이 송수신될 수 있다. 데이터 패킷은 VoLTE 호 설정을 위한 SIP(Session Initiaion Protocol) 메시지를 포함하고, 이러한 데이터 패킷은 GTP 패킷의 페이로드에 캡슐화되어 송수신될 수 있다.
P-GW는 SIP 메시지 내에 포함되는 값들을 고려하지 않고, 데이터 패킷을 IMS(IP Multimedia Subsystem) 네트워크 내부로 전달한다. 따라서, SIP 메시지 내에 조작된 값이 포함되는 경우에도, 데이터 패킷은 제약 없이 IMS 네트워크의 내부로 전달될 수 있다.
한국공개특허 제2013-0010818호에는 비정상 트래픽 제어 장치 및 방법에 관하여 개시되어 있다.
본 발명이 해결하려는 과제는, SIP 메시지 내에 포함되는 사용자 단말 식별 번호를 조작한 비정상 트래픽을 탐지하고, 차단할 수 있는 비정상 트래픽 차단 방법을 제공하는 것이다.
본 발명이 해결하려는 과제는 이상에서 언급한 과제로 제한되지 않으며, 언급되지 않은 또 다른 과제들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
상기 과제를 해결하기 위한 본 발명의 비정상 트래픽 차단 방법의 일 실시예는, 제1 패킷 정보를 입력받는 단계, 상기 제1 패킷 정보 내에 SIP 메시지가 존재하는지 판단하는 단계, 상기 제1 패킷 정보 내에 SIP 메시지가 존재하는 경우, 상기 SIP 메시지가 SIP 초대(SIP INVITE) 메시지인지 판단하는 단계, 상기 SIP 메시지가 SIP 초대 메시지인 경우, 상기 제1 패킷 정보로부터 GTP-U TEID를 추출하는 단계, 상기 GTP-U TEID를 기반으로 제1 저장부에서 제1 사용자 단말 식별 번호 정보를 조회하는 단계, 상기 제1 저장부에 상기 제1 사용자 단말 식별 번호 정보가 존재하는 경우, 상기 SIP 메시지의 From 필드에서 제2 사용자 단말 식별 번호 정보를 추출하는 단계, 및 상기 제1 및 제2 사용자 단말 식별 번호 정보를 비교하는 단계를 포함한다.
상기 제1 및 제2 사용자 단말 식별 번호 정보가 동일하지 않은 경우, 비정상 SIP 탐지 정보를 생성하여 패킷 분석 결과 관리부로 전송하는 단계를 더 포함할 수 있다.
상기 비정상 트래픽 차단 방법은, 피해 정보 탐지/차단 정책이 설정되어 있는지 여부를 조회하는 단계를 더 포함할 수 있다.
상기 피해 정보 탐지/차단 정책이 설정되어 있는 경우, 비정상 SIP 피해 정보 탐지를 위한 룰을 생성하는 단계를 더 포함할 수 있다.
상기 SIP 메시지가 상기 SIP 초대 메시지가 아닌 경우, 입력받은 GTP 패킷을 차단하지 않고 전송할 수 있다.
상기 제1 및 제2 사용자 단말 식별 번호 정보는, MSISDN(Mobile Station International ISDN Number)을 포함할 수 있다.
트래픽 입출력 현황을 통하여 시스템의 상태를 모니터링하고, 모니터링 결과에 따라 상기 시스템의 동작 모드를 설정하는 단계를 더 포함할 수 있다.
상기 시스템의 동작 모드에 따라 시스템 동작 모드 정보를 동작 모드 정보 저장부로 전송하는 단계를 더 포함할 수 있다.
상기 시스템 동작 모드 정보를 이용하여 IPS 모드 또는 BYPASS 모드를 적용하는 단계를 더 포함할 수 있다.
상기 시스템 또는 외부 시스템에 전송되는 시스템 메시지를 분석하는 단계를 더 포함할 수 있다.
상기 시스템 메시지는, 상기 시스템의 동작 모드 설정을 위한 시스템 관리 메시지, 상기 시스템의 탐지/차단 정책 설정을 위한 정책 관리 메시지, 또는 상기 시스템의 탐지/차단 로그 조회를 위한 탐지/차단 로그 조회 메시지를 포함할 수 있다.
상기 과제를 해결하기 위한 본 발명의 비정상 트래픽 차단 방법의 다른 실시예는, 제1 패킷 정보를 입력받는 단계, 상기 제1 패킷 정보 내에 SIP 메시지가 존재하는지 판단하는 단계, 상기 제1 패킷 정보 내에 SIP 메시지가 존재하는 경우, 상기 SIP 메시지가 BYE 메시지인지 판단하는 단계, 상기 SIP 메시지가 BYE 메시지가 아닌 경우, 상기 SIP 메시지가 200 메시지인지 판단하는 단계, 및 상기 SIP 메시지가 200 메시지가 아닌 경우, 상기 SIP 메시지가 UPDATE 메시지인지 판단하는 단계를 포함한다.
상기 SIP 메시지가 BYE 메시지인 경우, 상기 제1 패킷 정보로부터 GTP-U TEID를 추출하는 단계를 더 포함할 수 있다.
비정상 SIP 탐지 정보를 조회하여, 상기 GTP-U TEID가 존재하는지 여부를 판단하는 단계를 더 포함할 수 있다.
상기 SIP 메시지가 200 메시지인 경우, 상기 제1 패킷 정보로부터 GTP-U TEID를 추출하는 단계를 더 포함할 수 있다.
비정상 SIP 탐지 정보를 조회하여, 상기 GTP-U TEID가 존재하는지 여부를 판단하는 단계를 더 포함할 수 있다.
상기 SIP 메시지가 UPDATE 메시지인 경우, 상기 제1 패킷 정보로부터 GTP-U TEID를 추출하는 단계를 더 포함할 수 있다.
비정상 SIP 탐지 정보를 조회하여, 상기 GTP-U TEID가 존재하는지 여부를 판단하는 단계를 더 포함할 수 있다.
본 발명의 기타 구체적인 사항들은 상세한 설명 및 도면들에 포함되어 있다.
본 발명에 따른 비정상 트래픽 차단 방법에 의하면, GTP-U 패킷의 헤더로부터 GTP-U TEID를 추출하고, 상기 GTP-U 패킷으로부터 SIP 메시지를 추출하고, 상기 SIP 메시지로부터 사용자 단말 식별 번호를 추출하여, 세션 정보에 기록된 GTP-U TEID 및 사용자 단말 식별 번호와 동일한지 비교하므로, SIP 메시지 내에 포함되는 사용자 단말 식별 번호를 조작한 비정상 트래픽을 탐지하고 차단할 수 있다.
도 1은 본 발명의 일 실시예에 따른 비정상 트래픽 차단 방법을 구현하기 위한 시스템을 개략적으로 도시한 블록도이다.
도 2는 GTP-U 패킷과 GTP-C 패킷을 가공하여 획득한 데이터 프레임을 도시한 것이다.
도 3은 패킷 관리부의 세부 모듈을 도시한 블록도이다.
도 4는 패킷 분석부의 세부 모듈을 도시한 블록도이다.
도 5는 GTP 터널 정보 수집 모듈의 세부 모듈을 도시한 블록도이다.
도 6은 제어 메시지 관리 모듈의 동작을 설명하기 위한 데이터 테이블이다.
도 7은 메시지 처리 모듈의 동작을 설명하기 위한 흐름도이다.
도 8 및 도 9는 메시지 처리 모듈의 동작을 설명하기 위한 데이터 테이블이다.
도 10은 패킷 분석 결과 관리부의 세부 모듈을 도시한 블록도이다.
도 11은 시스템 관리부의 세부 모듈을 도시한 블록도이다.
도 12는 시스템 통신부의 세부 모듈을 도시한 블록도이다.
도 13 및 도 14는 탐지/차단 로그 저장부에 저장되는 테이블을 예시적으로 도시한 것이다.
도 15는 비정상 SIP 탐지 모듈에서 비정상 SIP를 탐지하는 과정을 설명하기 위한 흐름도이다.
도 16은 탐지/차단된 비정상 SIP 정보에 대한 예시적 테이블이다.
도 17은 비정상 SIP 탐지/차단 정책 설정에 대해 설명하기 위한 예시적 테이블이다.
도 18 내지 도 20은 비정상 트래픽 차단 시스템의 전체적인 동작 방법을 순차적으로 나타낸 흐름도이다.
도 21은 비정상 SIP 피해 정보 탐지에 대해 설명하기 위한 흐름도이다.
도 22는 본 발명의 실시예에 따른 비정상 트래픽 차단 방법을 구현하는 시스템이 적용된 4G 네트워크의 구조를 설명하기 위한 도면이다.
도 23은 도 22의 4G 네트워크와 연동된 IMS 네트워크의 구조를 설명하기 위한 도면이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
각 블록은 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또한, 몇 가지 대체 실행 예들에서는 블록들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대 잇달아 도시되어 있는 두 개의 블록들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
비록 제1, 제2 등이 다양한 소자, 구성요소 및/또는 섹션들을 서술하기 위해서 사용되나, 이들 소자, 구성요소 및/또는 섹션들은 이들 용어에 의해 제한되지 않음은 물론이다. 이들 용어들은 단지 하나의 소자, 구성요소 또는 섹션들을 다른 소자, 구성요소 또는 섹션들과 구별하기 위하여 사용하는 것이다. 따라서, 이하에서 언급되는 제1 소자, 제1 구성요소 또는 제1 섹션은 본 발명의 기술적 사상 내에서 제2 소자, 제2 구성요소 또는 제2 섹션일 수도 있음은 물론이다.
본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성요소, 단계, 동작 및/또는 소자는 하나 이상의 다른 구성요소, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.
이하에서는, 우선, 본 발명의 일 실시예에 따른 비정상 트래픽 차단 방법을 구현하기 위한 시스템에 관하여 설명하기로 한다.
도 1은 본 발명의 일 실시예에 따른 비정상 트래픽 차단 방법을 구현하기 위한 시스템을 개략적으로 도시한 블록도이다. 도 2는 GTP-U 패킷과 GTP-C 패킷을 가공하여 획득한 데이터 프레임을 도시한 것이다.
도 1을 참조하면, 비정상 트래픽 차단 시스템은, NIC(Network Interface Card)(10), 패킷 관리부(100), 패킷 분석부(200), 패킷 분석 결과 관리부(300), 시스템 관리부(400), 시스템 통신부(500), 제1 내지 제4 저장부(DB1, DB2, DB3, DB4)를 포함할 수 있다.
NIC(10)는 GTP 패킷을 수신하여 패킷 관리부(100)로 전송하고, 패킷 관리부(100)의 제어 신호에 따라 GTP 패킷을 포워딩(forwarding)하거나 드롭(drop)할 수 있다. NIC(10)는 일반적인 네트워크 인터페이스 카드 또는 하드웨어 가속 네트워크 인터페이스 카드일 수 있다. GTP 패킷은 GTP-C 패킷과 GTP-U 패킷을 포함하며, GTP-U 패킷은 4G 네트워크 내에서 사용자의 데이터 패킷을 전송하기 위해 사용된다.
패킷 관리부(100)는 NIC(10)로부터 GTP 패킷을 전송받아 GTP-U 패킷과 GTP-C 패킷으로 분류하고, GTP-U 패킷으로부터 제1 패킷 정보(D1)를 추출하고, GTP-C 패킷으로부터 제2 패킷 정보(D2)를 추출한다. 여기에서, 제1 패킷 정보(D1)는 GTP-U 패킷의 헤더(header)로부터 추출된 GTP-U TEID(Tunnel Endpoint Identifier), GTP-U 패킷의 페이로드(payload)로부터 추출된 SIP 메시지, 및 상기 SIP 메시지로부터 추출된 사용자 단말 식별 번호를 포함할 수 있다. 제2 패킷 정보(D2)는 GTP-C 패킷의 헤더로부터 추출된 GTP-C TEID를 포함할 수 있다.
구체적으로, 도 2를 참조하면, 패킷 관리부(100)는 GTP-U 패킷으로부터 필요한 정보를 추출하여, 제1 데이터 프레임(F1)을 생성할 수 있고, 제1 데이터 프레임(F1)에는 TEID(UL-DATA), Src IP, Dst IP, Protocol, Src Port, Dst Port, Length 등의 데이터가 포함될 수 있다. 또한, 패킷 관리부(100)는 GTP-C 패킷으로부터 필요한 정보를 추출하여, 제2 데이터 프레임(F2)을 생성할 수 있고, 제2 데이터 프레임(F2)에는 Src IP, Src Port, Msg Type, TEID, GTP-C IE 등의 데이터가 포함될 수 있다. 상기 GTP-C IE(Information Element)는 메시지 타입에 따라 다른 정보를 포함할 수 있다. 예를 들어, GTP-C IE는 TEID, MSISDN, IP 등의 정보를 포함할 수 있다.
패킷 관리부(100)는 패킷 필터링 정책, 시스템 동작 모드 등을 확인하기 위하여 제2 저장부(DB2)와 통신한다. 제2 저장부(DB2)는, 예를 들어, 동작 모드 정보 저장부일 수 있다.
패킷 분석부(200)는 제1 및 제2 패킷 정보(D1, D2)를 전송받아 분석하고, 비정상 SIP 메시지를 포함한 GTP 패킷을 차단하기 위한 패킷 차단 정보(D3)를 생성하여 패킷 관리부(100)로 전송한다. 패킷 분석부(200)는 패킷 분석 결과 정보(D4)를 패킷 분석 결과 관리부(300)로 전송하고, GTP-C 패킷 분석 정보(D5)를 제1 저장부(DB1)로 전송한다. 제1 저장부(DB1)는, 예를 들어, 사용자 GTP 터널 정보 저장부일 수 있다. 또한, 패킷 분석부(200)는 탐지/차단 정책을 확인하기 위하여 제3 저장부(DB3)와 통신한다. 제3 저장부(DB3)는, 예를 들어, 탐지/차단 정책 저장부일 수 있다.
패킷 분석 결과 관리부(300)는 패킷 분석부(200)로부터 패킷 분석 결과 정보(D4)를 전송받아 사용자 정보를 추출하고, 탐지/차단 결과 정보(D6)를 생성한다. 탐지/차단 결과 정보(D6)는 상기 추출된 사용자 정보를 분석하여 얻은 결과 정보이다. 패킷 분석 결과 관리부(300)는 상기 추출된 사용자 정보를 이용하여, 제1 저장부(DB1)와 통신하여 패킷 발송 사용자를 조회한다. 또한, 패킷 분석 결과 관리부(300)는 탐지/차단 결과 정보(D6)를 제4 저장부(DB4)로 전송한다. 제4 저장부(DB4)는, 예를 들어, 탐지/차단 로그 저장부일 수 있다.
시스템 관리부(400)는 트래픽 입출력 현황을 통하여 시스템의 상태를 모니터링하고, 모니터링 결과에 따라 상기 시스템의 동작 모드를 설정하고, 시스템 동작 모드 정보(D7)를 제2 저장부(DB2)로 전송한다. 시스템 관리부(400)는 트래픽 입출력 현황 정보(D8)를 시스템 통신부(500)로 전송한다.
시스템 통신부(500)는 내부 시스템 또는 외부 시스템에 전송되는 시스템 메시지를 분석하고 관리한다. 상기 시스템 메시지는 내부 시스템의 동작 모드 설정을 위한 시스템 관리 메시지, 내부 시스템의 탐지/차단 정책 설정을 위한 정책 관리 메시지, 내부 시스템의 탐지/차단 로그 조회를 위한 탐지/차단 로그 조회 메시지, GUI와 통신을 위한 GUI 프로토콜, 외부 시스템과 연동하여 탐지/차단 정책을 설정하기 위한 외부 시스템 연동 프로토콜 등을 포함한다.
이하에서, 비정상 트래픽 차단 시스템의 세부적인 구성에 대하여 설명한다.
도 3은 패킷 관리부의 세부 모듈을 도시한 블록도이다.
도 3을 참조하면, 패킷 관리부(100)는 제2 저장부(DB2)에 저장된 시스템 동작 모드 정보를 이용하여, 시스템의 IPS 모드 또는 BYPASS 모드를 적용한다. IPS 모드는 NIC(10)를 통하여 전송되는 GTP 패킷의 비정상 여부를 분석하여, 포워딩 또는 드롭하는 모드이고, BYPASS 모드는 NIC(10)를 통하여 전송되는 GTP 패킷의 비정상 여부를 분석하지 않고, 모든 GTP 패킷을 포워딩하는 모드이다. 패킷 관리부(100)는 시스템 동작 모드에 따라 GTP 패킷을 전송받고, 이를 분석하여 설정된 목적지 IP 및 목적지 Port를 기반으로 하여 GTP 패킷을 필터링한다. 이어서, GTP 패킷을 GTP-U 패킷과 GTP-C 패킷으로 분류한다. 분류된 GTP-U 패킷과 GTP-C 패킷을 가공하여 제1 데이터 프레임(F1)과 제2 데이터 프레임(F2)을 생성하여, 패킷 분석부(200)로 전송한다(도 2 참조).
또한, 패킷 관리부(100)는 패킷 분석부(200)로부터 전송된 패킷 차단 정보(D3)를 이용하여, 패킷 제어 모듈을 통해 패킷을 제어(즉, 포워딩 또는 드롭)한다. 다만, 이러한 패킷 제어는 시스템이 IPS 모드인 경우에만 동작한다.
도 4는 패킷 분석부의 세부 모듈을 도시한 블록도이다. 도 5는 GTP 터널 정보 수집 모듈의 세부 모듈을 도시한 블록도이다. 도 6은 제어 메시지 관리 모듈의 동작을 설명하기 위한 데이터 테이블이다. 도 7은 메시지 처리 모듈의 동작을 설명하기 위한 흐름도이다. 도 8 및 도 9는 메시지 처리 모듈의 동작을 설명하기 위한 데이터 테이블이다.
도 4를 참조하면, 패킷 분석부(200)는 제3 저장부(DB3)와 통신하여 탐지/차단 정책을 확인한다. 시스템에 적용된 탐지/차단 정책에 따라, 제1 패킷 정보(D1)를 분석하고, 비정상 SIP 탐지 모듈을 통해, 비정상 SIP 메시지를 포함한 GTP 패킷을 탐지한다. 패킷 분석부(200)에서 제1 패킷 정보(D1)를 분석한 결과에 따라 GTP 패킷을 처리할 수 있다. 즉, GTP 패킷의 포워딩 또는 드롭을 위하여 패킷 분석부(200)는 패킷 차단 정보(D3)를 패킷 관리부(100)로 전송한다. 또한, 패킷 분석부(200)는 GTP 터널 정보 수집 모듈(210)을 포함하며, GTP 터널 정보 수집 모듈(210)을 통해 제2 패킷 정보(D2)로부터 세션 정보를 추출한다.
구체적으로, 도 5를 참조하면, GTP 터널 정보 수집 모듈(210)은 제어 메시지 관리 모듈과 메시지 처리 모듈을 포함한다. 제어 메시지 관리 모듈에는 메시지 버퍼를 포함하여, 요청(Request) 메시지와 응답(Response) 메시지를 통해 단일 메시지를 완성한다. 즉, 요청(Request) 메시지 확인 시, MME IP와 Sequence Number 값을 키값으로 하여 메시지 버퍼에 메시지 행을 추가한다. S-GW는 다수의 MME로부터 메시지를 수신하므로, Sequence Number 값의 중복을 고려하여 MME IP를 키값으로 추가한다. 응답(Response) 메시지 확인 시, 메시지 버퍼에 저장된 요청(Request) 메시지 중에서 동일한 키값을 갖는 메시지가 있는지를 상기 메시지 행으로부터 확인한다. 응답(Response) 메시지의 키값이 요청(Request) 메시지의 키값과 동일한 경우, 대응되는 응답(Response) 메시지의 필드 내용을 상기 메시지 행에 추가하여 단일 메시지를 완성한다(도 6을 참조하면, 밑줄 친 데이터는 응답(Response) 메시지로부터 추가된 내용이다). 완성된 단일 메시지는 메시지 처리 모듈로 전송되며, 전송 후 상기 단일 메시지는 메시지 버퍼에서 삭제된다. 메시지 처리 모듈은 상기 단일 메시지를 통해 제1 저장부(DB1)에 저장되는 사용자 정보 테이블을 관리한다. 즉, 제1 저장부(DB1) 내의 사용자 정보 테이블에 사용자 정보를 추가, 갱신, 또는 삭제한다.
도 7 내지 도 9를 참조하여 메시지 처리 모듈의 동작에 관하여 설명하면, 우선 메시지 처리 모듈은 Create Session 메시지를 수신하여 제1 저장부(DB1)의 UC 테이블에 수신된 메시지의 UC TEID+EBI 정보가 존재하는지 판단한다. UC 테이블에 UC TEID+EBI 정보가 존재하는 경우, 기존의 사용자 정보 테이블을 삭제하고, 그렇지 않은 경우에는 계속해서 동작을 수행한다. 즉, 순차적으로, UC 테이블, UD 테이블, 및 IP 테이블을 생성한다. 도 8에는 UC 테이블, UD 테이블, 및 IP 테이블을 생성하는 방법에 관하여 나타나있다. UC 테이블을 생성하여 UC TEID+EBI 값을 키값으로 하여, UD TEID 정보를 입력하고, UD 테이블에는 다시 상기 UD TEID 정보를 키값으로 하여, UE IP 정보를 입력하고, IP 테이블에는 다시 상기 UE IP 정보를 키값으로 하여, MSISDN 정보를 입력한다. 도 9에는 완성된 Create Session 메시지가 나타나있다.
또한, 패킷 분석부(200)는 시스템 동작 모드 정보(D7)를 확인하여, 고정 정책 모드(Static mode)로 동작하거나 실시간 정책 모드(Realtime mode)로 동작할 수 있다. 고정 정책 모드(또는 디폴트 모드)는 최초의 시스템 동작시에 탐지/차단 정책을 제3 저장부(DB3)에서 조회하고, 시스템의 동작이 정지될 때까지 상기 조회한 탐지/차단 정책을 유지하는 모드이다. 실시간 정책 모드는 패킷 분석부(200)에 설정된 특정 시간 단위로 탐지/차단 정책을 제3 저장부(DB3)에서 조회하고, 탐지/차단 정책의 변경 여부를 확인하여 변경 사항이 있다면 이를 반영하여 동작하는 모드이다.
도 10은 패킷 분석 결과 관리부의 세부 모듈을 도시한 블록도이다.
도 10을 참조하면, 패킷 분석 결과 관리부(300)는 패킷 분석부(200)로부터 패킷 분석 결과 정보(D4)를 전송받고, 사용자 정보 추출 모듈을 통해 사용자 정보를 추출한다. 추출된 사용자 정보를 이용하여, 제1 저장부(DB1)에서 패킷 발송 사용자를 조회한다. 또한, 패킷 분석 결과 관리부(300)는 분석 결과 저장 모듈을 통해 탐지/차단 결과 정보(D6)를 제4 저장부(DB4)로 전송한다.
도 11은 시스템 관리부의 세부 모듈을 도시한 블록도이다.
도 11을 참조하면, 시스템 관리부(400)는 트래픽 입출력 현황을 통하여 시스템의 상태를 모니터링 한다. 또한, 시스템 관리부(400)는 트래픽 입출력 현황뿐만 아니라 CPU 사용률, 메모리 사용률 등의 정보를 이용하여 시스템의 상태를 모니터링 할 수 있다. 시스템 모니터링 모듈은 NIC(10)에서 트래픽 입출력 현황을 조회하고, 이를 통해 시스템 상태를 모니터링 한다. 또한, 시스템 모니터링 모듈은 트래픽 입출력 현황 정보(D8)를 시스템 통신부(500)로 전송한다. 시스템 제어 모듈은 시스템 모니터링 모듈의 모니터링 결과에 따라 시스템의 동작 모드를 제어한다. 즉, 시스템의 동작 모드를 IPS 모드 또는 BYPASS 모드로 설정한다. 시스템 제어 모듈은 시스템 동작 모드 정보(D7)를 제2 저장부(DB2)로 전송한다.
도 12는 시스템 통신부의 세부 모듈을 도시한 블록도이다.
도 12를 참조하면, 시스템 통신부(500)는 시스템 관리 메시지 해석 모듈, 정책 관리 메시지 해석 모듈, 탐지/차단 로그 조회 메시지 해석 모듈, GUI 프로토콜 해석 모듈, 외부 시스템 연동 프로토콜 해석 모듈을 포함한다. 시스템 관리 메시지 해석 모듈은 제2 저장부(DB2)와 연동하여 시스템 동작 모드 정보를 조회하고, 시스템의 동작 모드 설정을 위한 시스템 관리 메시지를 해석한다. 정책 관리 메시지 해석 모듈은 제3 저장부(DB3)와 연동하여 탐지/차단 정책을 조회하고, 시스템의 탐지/차단 정책 설정을 위한 정책 관리 메시지를 해석한다. 탐지/차단 로그 조회 메시지 해석 모듈은 제4 저장부(DB4)와 연동하여 탐지/차단 로그를 조회하고, 시스템의 탐지/차단 로그 조회를 위한 탐지/차단 로그 조회 메시지를 해석한다. GUI 프로토콜 해석 모듈은 GUI와 연동하여 시스템의 제어를 위해 입력되는 GUI 프로토콜을 해석한다. 외부 시스템 연동 프로토콜 해석 모듈은 외부 시스템과 연동하여 탐지/차단 정책을 설정하기 위해 입력되는 외부 시스템 연동 프로토콜을 해석한다.
도 13 및 도 14는 탐지/차단 로그 저장부에 저장되는 테이블을 예시적으로 도시한 것이다.
이하에서는, 본 발명의 일 실시예에 따른 비정상 트래픽 차단 방법에 대하여 설명하기로 한다. 특히, 비정상 트래픽을 탐지/차단 하기 위해, GTP 패킷을 분석하는 패킷 분석부(200)의 동작 방법을 중심으로 설명한다.
도 15는 비정상 SIP 탐지 모듈에서 비정상 SIP를 탐지하는 과정을 설명하기 위한 흐름도이다.
도 15를 참조하면, 비정상 SIP 탐지 모듈은, 우선, 제1 패킷 정보(D1)를 입력받는다(S101).
이어서, 제1 패킷 정보(D1) 내에 SIP 메시지가 존재하는지 판단한다(S102).
이어서, 제1 패킷 정보(D1) 내에 SIP 메시지가 존재한다면, SIP 메시지가 SIP 초대 메시지인지 판단한다(S103).
이어서, SIP 메시지가 SIP 초대 메시지이면, 제1 패킷 정보(D1)로부터 GTP-U TEID를 추출하고(S104), GTP-U TEID 기반으로 사용자 단말 식별 번호(예를 들어, MSISDN_1) 정보를 조회하고(S105), 사용자 단말 식별 번호(예를 들어, MSISDN_1) 정보가 존재하는지 판단한다(S106). 만약, SIP 메시지가 SIP 초대 메시지가 아닌 경우에는 패킷 관리부(100)가 GTP 패킷을 차단하지 않고 전송하도록 한다.
이어서, 제1 패킷 정보(D1) 내에 사용자 단말 식별 번호(예를 들어, MSISDN_2) 정보가 존재한다면, From 필드에서 사용자 단말 식별 번호(예를 들어, MSISDN_2) 정보를 추출한다(S107).
이어서, 제1 패킷 정보(D1) 내의 GTP-U TEID를 기반으로 제1 저장부(DB1)를 조회하여 사용자 단말 식별 번호(예를 들어, MSISDN_1) 정보를 추출하고, 사용자 단말 식별 번호(예를 들어, MSISDN_1) 정보가 제1 패킷 정보(D1) 내의 From 필드에서 추출한 사용자 단말 식별 번호(예를 들어, MSISDN_2) 정보와 동일한지 판단하고(S108), 동일한 경우 동작을 종료한다.
만약, 제1 패킷 정보(D1) 내의 GTP-U TEID를 기반으로 제1 저장부(DB1)를 조회하여 추출한 사용자 단말 식별 번호(예를 들어, MSISDN_1) 정보와 From 필드에서 추출한 사용자 단말 식별 번호(예를 들어, MSISDN_2) 정보가 동일하지 않은 경우, 비정상 SIP 탐지 정보를 생성하여 패킷 분석 결과 관리부(300)로 전송한다(S109).
이어서, 패킷 분석 결과 관리부(300)를 통해 피해 정보 탐지/차단 여부를 판단한다(S110).
이어서, 피해 정보 탐지/차단 정책이 설정되어 있는 경우, 비정상 SIP 피해 정보 탐지를 위한 룰을 생성하고, 생성된 룰은 제3 저장부(DB3)에 저장한다(S111). 도 16에는, 탐지/차단된 비정상 SIP정보에 대한 예시 테이블이 나타나 있다. 비정상 SIP 피해 정보 탐지를 위한 정책은, 비정상 SIP를 탐지한 경우 설정된 정책을 참조하여 비정상 SIP 피해 내역 탐지/차단 정책을 설정할지 여부를 결정하여, 비정상 SIP 피해 내역 탐지/차단 정책을 설정하기로 결정된 경우에 메모리에 비정상 SIP 피해 정보 탐지를 위한 테이블을 자동 생성한다(도 17 참조).
도 18 내지 도 20은 비정상 트래픽 차단 시스템의 전체적인 동작 방법을 순차적으로 나타낸 흐름도이다.
도 18을 참조하면, 비정상 트래픽 차단 시스템은, 우선 패킷 관리부(100)가 NIC(10)를 통해 GTP 패킷을 입력받는다(S2000).
이어서, 패킷 관리부(100)는 GTP-U 패킷과 GTP-C 패킷으로 분류하고, GTP-U 패킷을 가공하여 제1 패킷 정보(D1)를 추출하고, GTP-C 패킷을 가공하여 제2 패킷 정보(D2)를 추출한다(S2100).
이어서, 제1 및 제2 패킷 정보(D1, D2)를 패킷 분석부(200)로 전송한다(S2200).
이어서, 패킷 분석부(200)는 제3 저장부(DB3)로부터 비정상 SIP 탐지/차단 정책을 확인하고 이를 시스템에 적용한다(S2300).
이어서, 패킷 분석부(200)는 제3 저장부(DB3)로부터 비정상 SIP 피해 내역 탐지/차단 정책을 확인하고, 이를 시스템에 적용한다(S2400).
이어서, 패킷 분석 결과 관리부(300)는 비정상 SIP 탐지 결과를 제4 저장부(DB4)에 저장한다(S2500).
도 19를 참조하면, 비정상 트래픽 차단 시스템은, 트래픽 입출력 현황을 통하여 시스템의 상태를 모니터링하고(S1000), 모니터링 결과에 따라 시스템의 동작 모드를 설정하고(S1100), 시스템의 동작 모드에 따라 시스템 동작 모드 정보를 동작 모드 정보 저장부로 전송하고(S1200), 시스템 동작 모드 정보를 이용하여 IPS 모드 또는 BYPASS 모드를 적용하는(S1300) 것을 더 포함할 수 있다.
도 20을 참조하면, 비정상 트래픽 차단 시스템은, 시스템 메시지를 분석하는(S1400) 것을 더 포함할 수 있다. 시스템 메시지는, 내부 시스템 또는 외부 시스템으로 전송될 수 있다. 시스템 메시지는, 내부 시스템의 동작 모드 설정을 위한 시스템 관리 메시지, 내부 시스템의 탐지/차단 정책 설정을 위한 정책 관리 메시지, 내부 시스템의 탐지/차단 로그 조회를 위한 탐지/차단 로그 조회 메시지, GUI와 통신을 위한 GUI 프로토콜, 외부 시스템과 연동하여 탐지/차단 정책을 설정하기 위한 외부 시스템 연동 프로토콜 등을 포함할 수 있다.
도 21은 비정상 SIP 피해 정보 탐지에 대해 설명하기 위한 흐름도이다.
도 21을 참조하면, 비정상 SIP 탐지 모듈은, 우선, 제1 패킷 정보(D1)를 입력받는다(S201).
이어서, 제1 패킷 정보(D1) 내에 SIP 메시지가 존재하는지 판단한다(S202).
이어서, 제1 패킷 정보(D1) 내에 SIP 메시지가 존재한다면, SIP 메시지가 BYE 메시지인지 판단한다(S203). SIP 메시지가 BYE 메시지이면, 제1 패킷 정보(D1)로부터 GTP-U TEID를 추출하고(S204), 비정상 SIP 탐지 정보에 GTP-U TEID가 존재하는지 판단한다(S205). 비정상 SIP 탐지 정보에 GTP-U TEID가 존재하는 경우, 비정상 SIP 피해 내역 탐지 정보를 생성하고, 제4 저장부(DB4)로 전송한다(S206). 그리고, Inbound 비정상 트래픽 차단/탐지 정책에서 삭제한다(S207).
또한, SIP 메시지가 BYE 메시지가 아니라면, 200 메시지인지 판단한다(S208). SIP 메시지가 200 메시지이면, 제1 패킷 정보(D1)로부터 GTP-U TEID를 추출하고(S209), 비정상 SIP 탐지 정보에 GTP-U TEID가 존재하는지 판단한다(S210). 비정상 SIP 탐지 정보에 GTP-U TEID가 존재하는 경우, Mathod 정보를 추출한다(S211). 그리고, SIP 메시지가 BYE 메시지인지 판단한다(S212).
또한, SIP 메시지가 BYE 메시지도 아니고 200 메시지도 아니라면, UPDATE 메시지인지 판단한다(S213). SIP 메시지가 UPDATE 메시지이면, 제1 패킷 정보(D1)로부터 GTP-U TEID를 추출하고(S214), 비정상 SIP 탐지 정보에 GTP-U TEID가 존재하는지 판단한다(S215). 비정상 SIP 탐지 정보에 GTP-U TEID가 존재하는 경우, 적용 시간을 갱신한다(S216).
도 22는 본 발명의 실시예에 따른 비정상 트래픽 차단 방법을 구현하는 시스템이 적용된 4G 네트워크의 구조를 설명하기 위한 도면이다.
도 22를 참조하면, 4G 네트워크(1000)는 무선 자원을 관리하는 4G E-RAN(Enterprise Radio Access Network)과 데이터 처리/인증/과금 등을 수행하는 4G EPC(Evolved Packet Core)를 포함하여 구성될 수 있다.
4G E-RAN은 사용자 단말(1100), eNB(1200)을 포함할 수 있다. 예를 들어, 사용자 단말(1100)은 4G 네트워크에 가입되어 있는 휴대 단말일 수 있다. eNB(1200)는 기지국으로서 사용자 단말(1100)과 4G 네트워크 간에 무선 연결을 제공할 수 있다.
4G EPC는 MME(1300), S-GW(1400), P-GW(1500), HSS(Home Subscriber Server; 1600), PCRF(Policy & Charging Rule Function; 1700)을 포함할 수 있다. MME(1300)는 eNB(1200)와 S1-MME GTP 터널을 통해서 GTP 패킷을 송수신할 수 있다. S-GW(1400)는 eNB(1200)와 S1-U GTP 터널을 통해서 GTP 패킷을 송수신할 수 있다. MME(1300)는 S-GW(1400)와 S11 GTP 터널을 통해서 GTP 패킷을 송수신할 수 있다. P-GW(1500)는 IMS 네트워크의 P-CSCF(2100) 및 인터넷과 연결될 수 있다.
4G 네트워크에서 S1-U GTP 터널은 데이터 트래픽을 위한 패스(path)이고, S11 GTP 터널은 시그널링을 위한 패스이고, S5 GTP 터널은 데이터 트래픽 및 시그널링을 위한 패스이다.
비정상 트래픽 차단 시스템은 eNB(1200) 및 MME(1300)와 S-GW(1400) 사이(P1, P2), 또는 S-GW(1400)과 P-GW(1500) 사이(P3)에 제공될 수 있다. 또한, 비정상 트래픽 차단 시스템은 S-GW(1400) 또는 P-GW(1500)의 내부 구성 요소로 제공될 수도 있다. 도 22에는 명확하게 도시하지 않았으나, 4G 네트워크는 S-GW(1400)을 통해서 3G 네트워크, 펨토셀 네트워크 등과 연동될 수 있다.
도 23은 도 22의 4G 네트워크와 연동된 IMS 네트워크의 구조를 설명하기 위한 도면이다.
도 23을 참조하면, IMS 네트워크(2000)는 P-CSCF(2100), I-CSCF(2200), S-CSCF(2300), BGCF(Border Gateway Control Function; 2400), HSS(2500), S-GW(2600), MGCF(Media Gateway Control Function; 2700), AS(Application Server; 2800), M-GW(Media Gateway; 2900)을 포함할 수 있다.
4G 네트워크 내부의 사용자 단말(1100)로부터 전송된 SIP 메시지는 P-GW(1500)를 통해서, IMS 네트워크 내부로 전달될 수 있다. P-GW(1500)과 연결된 P-CSCF(2100)는 상기 SIP 메시지를 I-CSCF(2200)에 전송하고, I-CSCF(2200)는 상기 SIP 메시지를 S-CSCF(2300)에 전송할 수 있다. S-GW(2600)는 PSTN(Public Switching Telephone Network)과 연결되고, M-GW(2900)은 PLMN(Public Land Mobile Network)과 연결될 수 있다.
비정상 트래픽 차단 시스템은 4G 네트워크의 내부(P1~P3)에 제공되므로, SIP 메시지 내에 포함되는 사용자 단말 식별 번호를 조작한 비정상 트래픽이 탐지되고, 비정상 트래픽이 IMS 네트워크의 내부로 전달되는 것이 차단될 수 있다.
본 발명의 실시예들과 관련하여 설명된 방법 또는 알고리즘의 단계는, 프로세서에 의해 실행되는 하드웨어 모듈, 소프트웨어 모듈, 또는 그 2개의 결합으로 직접 구현될 수 있다. 소프트웨어 모듈은 RAM 메모리, 플래시 메모리, ROM 메모리, EPROM 메모리, EEPROM 메모리, 레지스터, 하드 디스크, 착탈형 디스크, CD-ROM, 또는 본 발명의 기술 분야에서 잘 알려진 임의의 형태의 컴퓨터로 읽을 수 있는 기록 매체에 상주할 수도 있다. 예시적인 기록 매체는 프로세서에 연결되며, 그 프로세서는 기록 매체로부터 정보를 독출할 수 있고 기록 매체에 정보를 기입할 수 있다. 다른 방법으로, 기록 매체는 프로세서와 일체형일 수도 있다. 프로세서 및 기록 매체는 주문형 집적회로(ASIC) 내에 상주할 수도 있다. ASIC는 사용자 단말기 내에 상주할 수도 있다. 다른 방법으로, 프로세서 및 기록 매체는 사용자 단말기 내에 개별 구성 요소로서 상주할 수도 있다.
이상 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.
10: NIC 100: 패킷 관리부
200: 패킷 분석부 300: 패킷 분석 결과 관리부
400: 시스템 관리부 500; 시스템 통신부
DB1, DB2, DB3, DB4: 제1 내지 제4 저장부

Claims (18)

  1. 제1 패킷 정보를 입력받는 단계;
    상기 제1 패킷 정보 내에 SIP 메시지가 존재하는지 판단하는 단계;
    상기 제1 패킷 정보 내에 SIP 메시지가 존재하는 경우, 상기 SIP 메시지가 SIP 초대(SIP INVITE) 메시지인지 판단하는 단계;
    상기 SIP 메시지가 SIP 초대 메시지인 경우, 상기 제1 패킷 정보로부터 GTP-U TEID를 추출하는 단계;
    상기 GTP-U TEID를 기반으로 제1 저장부에서 제1 사용자 단말 식별 번호 정보를 조회하는 단계;
    상기 제1 저장부에 상기 제1 사용자 단말 식별 번호 정보가 존재하는 경우, 상기 SIP 메시지의 From 필드에서 제2 사용자 단말 식별 번호 정보를 추출하는 단계; 및
    상기 제1 및 제2 사용자 단말 식별 번호 정보를 비교하는 단계를 포함하는 비정상 트래픽 차단 방법.
  2. 제 1항에 있어서,
    상기 제1 및 제2 사용자 단말 식별 번호 정보가 동일하지 않은 경우, 비정상 SIP 탐지 정보를 생성하여 패킷 분석 결과 관리부로 전송하는 단계를 더 포함하는 비정상 트래픽 차단 방법.
  3. 제 2항에 있어서,
    피해 정보 탐지/차단 정책이 설정되어 있는지 여부를 조회하는 단계를 더 포함하는 비정상 트래픽 차단 방법.
  4. 제 3항에 있어서,
    상기 피해 정보 탐지/차단 정책이 설정되어 있는 경우, 비정상 SIP 피해 정보 탐지를 위한 룰을 생성하는 단계를 더 포함하는 비정상 트래픽 차단 방법.
  5. 제 1항에 있어서,
    상기 SIP 메시지가, 상기 SIP 초대 메시지를 포함하지 않는 SIP 메시지라면, 입력받은 GTP 패킷을 차단하지 않고 전송하는 비정상 트래픽 차단 방법.
  6. 제 1항에 있어서,
    상기 제1 및 제2 사용자 단말 식별 번호 정보는, MSISDN(Mobile Station International ISDN Number)을 포함하는 비정상 트래픽 차단 방법.
  7. 제 1항에 있어서,
    트래픽 입출력 현황을 통하여 시스템의 상태를 모니터링하고, 모니터링 결과에 따라 상기 시스템의 동작 모드를 설정하는 단계를 더 포함하는 비정상 트래픽 차단 방법.
  8. 제 7항에 있어서,
    상기 시스템의 동작 모드에 따라 시스템 동작 모드 정보를 동작 모드 정보 저장부로 전송하는 단계를 더 포함하는 비정상 트래픽 차단 방법.
  9. 제 8항에 있어서,
    상기 시스템 동작 모드 정보를 이용하여 IPS 모드 또는 BYPASS 모드를 적용하는 단계를 더 포함하는 비정상 트래픽 차단 방법.
  10. 제 7항에 있어서,
    상기 시스템 또는 외부 시스템에 전송되는 시스템 메시지를 분석하는 단계를 더 포함하는 비정상 트래픽 차단 방법.
  11. 제 10항에 있어서,
    상기 시스템 메시지는, 상기 시스템의 동작 모드 설정을 위한 시스템 관리 메시지, 상기 시스템의 탐지/차단 정책 설정을 위한 정책 관리 메시지, 또는 상기 시스템의 탐지/차단 로그 조회를 위한 탐지/차단 로그 조회 메시지를 포함하는 비정상 트래픽 차단 방법.
  12. 제1 패킷 정보를 입력받는 단계;
    상기 제1 패킷 정보 내에 SIP 메시지가 존재하는지 판단하는 단계;
    상기 제1 패킷 정보 내에 SIP 메시지가 존재하는 경우, 상기 SIP 메시지가 BYE 메시지인지 판단하는 단계;
    상기 SIP 메시지가 상기 BYE 메시지를 포함하지 않는 SIP 메시지라면, 상기 SIP 메시지가 200 메시지인지 판단하는 단계; 및
    상기 SIP 메시지가, 상기 BYE 메시지와 상기 200 메시지를 포함하지 않는 SIP 메시지라면, 상기 SIP 메시지가 UPDATE 메시지인지 판단하는 단계를 포함하는 비정상 트래픽 차단 방법.
  13. 제 12항에 있어서,
    상기 SIP 메시지가 BYE 메시지인 경우, 상기 제1 패킷 정보로부터 GTP-U TEID를 추출하는 단계를 더 포함하는 비정상 트래픽 차단 방법.
  14. 제 13항에 있어서,
    비정상 SIP 탐지 정보를 조회하여, 상기 GTP-U TEID가 존재하는지 여부를 판단하는 단계를 더 포함하는 비정상 트래픽 차단 방법.
  15. 제 12항에 있어서,
    상기 SIP 메시지가 200 메시지인 경우, 상기 제1 패킷 정보로부터 GTP-U TEID를 추출하는 단계를 더 포함하는 비정상 트래픽 차단 방법.
  16. 제 15항에 있어서,
    비정상 SIP 탐지 정보를 조회하여, 상기 GTP-U TEID가 존재하는지 여부를 판단하는 단계를 더 포함하는 비정상 트래픽 차단 방법.
  17. 제 12항에 있어서,
    상기 SIP 메시지가 UPDATE 메시지인 경우, 상기 제1 패킷 정보로부터 GTP-U TEID를 추출하는 단계를 더 포함하는 비정상 트래픽 차단 방법.
  18. 제 17항에 있어서,
    비정상 SIP 탐지 정보를 조회하여, 상기 GTP-U TEID가 존재하는지 여부를 판단하는 단계를 더 포함하는 비정상 트래픽 차단 방법.
KR1020130134780A 2013-11-07 2013-11-07 4g 이동통신망에서의 비정상 트래픽 차단 방법 KR101388628B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130134780A KR101388628B1 (ko) 2013-11-07 2013-11-07 4g 이동통신망에서의 비정상 트래픽 차단 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130134780A KR101388628B1 (ko) 2013-11-07 2013-11-07 4g 이동통신망에서의 비정상 트래픽 차단 방법

Publications (1)

Publication Number Publication Date
KR101388628B1 true KR101388628B1 (ko) 2014-04-24

Family

ID=50658576

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130134780A KR101388628B1 (ko) 2013-11-07 2013-11-07 4g 이동통신망에서의 비정상 트래픽 차단 방법

Country Status (1)

Country Link
KR (1) KR101388628B1 (ko)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101534160B1 (ko) * 2015-01-16 2015-07-24 한국인터넷진흥원 4G 모바일 네트워크에서의 VoLTE 세션 관리 장치 및 방법
KR101541119B1 (ko) 2015-01-15 2015-08-03 한국인터넷진흥원 4G 모바일 네트워크에서의 비정상 VoLTE 등록해제 메시지 탐지 장치, 시스템 및 방법
KR101632241B1 (ko) * 2015-04-24 2016-06-21 주식회사 윈스 VoLTE 세션 기반 탐지 서비스 제공 방법 및 장치
KR101650301B1 (ko) * 2015-04-28 2016-09-05 주식회사 윈스 VoLTE 공격 세션 탐지 서비스 제공 방법 및 장치
WO2024027381A1 (zh) * 2022-07-30 2024-02-08 华为技术有限公司 异常检测的方法和通信装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100545790B1 (ko) 2003-11-05 2006-01-24 한국전자통신연구원 Gprs의 패킷 관문 지원 노드에서의 세션 제어 방법 및이를 수행하는 프로그램이 기록된 컴퓨터 판독 가능한기록매체
JP2007267151A (ja) 2006-03-29 2007-10-11 Nippon Telegr & Teleph Corp <Ntt> 異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム
KR100852145B1 (ko) 2007-11-22 2008-08-13 한국정보보호진흥원 SIP 기반 VoIP 서비스를 위한 호 제어 메시지의보안 시스템 및 방법
KR101004376B1 (ko) 2008-08-28 2010-12-28 한국정보보호진흥원 VoIP 환경에서 SPF 스팸 차단 시스템 및 SPF 질의 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100545790B1 (ko) 2003-11-05 2006-01-24 한국전자통신연구원 Gprs의 패킷 관문 지원 노드에서의 세션 제어 방법 및이를 수행하는 프로그램이 기록된 컴퓨터 판독 가능한기록매체
JP2007267151A (ja) 2006-03-29 2007-10-11 Nippon Telegr & Teleph Corp <Ntt> 異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム
KR100852145B1 (ko) 2007-11-22 2008-08-13 한국정보보호진흥원 SIP 기반 VoIP 서비스를 위한 호 제어 메시지의보안 시스템 및 방법
KR101004376B1 (ko) 2008-08-28 2010-12-28 한국정보보호진흥원 VoIP 환경에서 SPF 스팸 차단 시스템 및 SPF 질의 방법

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101541119B1 (ko) 2015-01-15 2015-08-03 한국인터넷진흥원 4G 모바일 네트워크에서의 비정상 VoLTE 등록해제 메시지 탐지 장치, 시스템 및 방법
KR101534160B1 (ko) * 2015-01-16 2015-07-24 한국인터넷진흥원 4G 모바일 네트워크에서의 VoLTE 세션 관리 장치 및 방법
WO2016114476A1 (en) * 2015-01-16 2016-07-21 Korea Internet & Security Agency Apparatus and method for volte session managemet in 4g mobile network
KR101632241B1 (ko) * 2015-04-24 2016-06-21 주식회사 윈스 VoLTE 세션 기반 탐지 서비스 제공 방법 및 장치
KR101650301B1 (ko) * 2015-04-28 2016-09-05 주식회사 윈스 VoLTE 공격 세션 탐지 서비스 제공 방법 및 장치
WO2024027381A1 (zh) * 2022-07-30 2024-02-08 华为技术有限公司 异常检测的方法和通信装置

Similar Documents

Publication Publication Date Title
KR101388627B1 (ko) 4g 이동통신망에서의 비정상 트래픽 차단 장치
KR101388628B1 (ko) 4g 이동통신망에서의 비정상 트래픽 차단 방법
US8929356B2 (en) Mobile user identification and tracking for load balancing in packet processing systems
CN103430487B (zh) 用于检测分组数据连接的服务数据的方法、设备和系统
KR101414231B1 (ko) 비정상 호 탐지 장치 및 방법
JP4542830B2 (ja) モバイルデータ通信のサービス使用状況レコードを生成する装置および方法
US8270942B2 (en) Method for the interception of GTP-C messages
US20140171089A1 (en) Monitoring Traffic Across Diameter Core Agents
US10129110B2 (en) Apparatus and method of identifying a user plane identifier of a user device by a monitoring probe
US10785688B2 (en) Methods and systems for routing mobile data traffic in 5G networks
KR101228089B1 (ko) Ip 스푸핑 탐지 장치
KR101534161B1 (ko) 4g 모바일 네트워크에서의 사용자 세션 관리 장치 및 방법
KR101538309B1 (ko) 4G 모바일 네트워크에서의 비정상 VoLTE 등록 메시지 탐지 장치, 시스템 및 방법
KR101534160B1 (ko) 4G 모바일 네트워크에서의 VoLTE 세션 관리 장치 및 방법
US20230058366A1 (en) Managing Service Function Chains
US8948019B2 (en) System and method for preventing intrusion of abnormal GTP packet
KR101536178B1 (ko) 4g 모바일 네트워크에서의 비정상 sdp 메시지 탐지 장치 및 방법
US20150296549A1 (en) Method and apparatus for managing session based on general packet radio service tunneling protocol network
CN106162733A (zh) 一种异常流量抑制方法及装置
KR101499022B1 (ko) 4g 모바일 네트워크에서의 비정상 mms 메시지 탐지 장치 및 방법
KR20130006912A (ko) 모니터링 및 필터링 정책을 이용한 네트워크 트래픽 관리 시스템 및 그 방법
KR101785680B1 (ko) 4g 모바일 네트워크에서의 rtp 터널링 패킷 탐지 장치, 시스템 및 방법
KR101632241B1 (ko) VoLTE 세션 기반 탐지 서비스 제공 방법 및 장치
KR101541119B1 (ko) 4G 모바일 네트워크에서의 비정상 VoLTE 등록해제 메시지 탐지 장치, 시스템 및 방법
US20230037602A1 (en) Information processing method and apparatus, node device, server and storage medium

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee