KR101414231B1 - 비정상 호 탐지 장치 및 방법 - Google Patents

비정상 호 탐지 장치 및 방법 Download PDF

Info

Publication number
KR101414231B1
KR101414231B1 KR20130102564A KR20130102564A KR101414231B1 KR 101414231 B1 KR101414231 B1 KR 101414231B1 KR 20130102564 A KR20130102564 A KR 20130102564A KR 20130102564 A KR20130102564 A KR 20130102564A KR 101414231 B1 KR101414231 B1 KR 101414231B1
Authority
KR
South Korea
Prior art keywords
gtp
packet
user terminal
teid
terminal identification
Prior art date
Application number
KR20130102564A
Other languages
English (en)
Inventor
임채태
오주형
김세권
김성호
조준형
장웅
구본민
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR20130102564A priority Critical patent/KR101414231B1/ko
Application granted granted Critical
Publication of KR101414231B1 publication Critical patent/KR101414231B1/ko
Priority to MYPI2015703717A priority patent/MY157106A/en
Priority to PCT/KR2014/007915 priority patent/WO2015030458A1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/1016IP multimedia subsystem [IMS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/102Gateways
    • H04L65/1033Signalling gateways
    • H04L65/104Signalling gateways in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1069Session establishment or de-establishment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1076Screening of IP real time communications, e.g. spam over Internet telephony [SPIT]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1101Session protocols
    • H04L65/1104Session initiation protocol [SIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/128Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M2207/00Type of exchange or network, i.e. telephonic medium, in which the telephonic communication takes place
    • H04M2207/18Type of exchange or network, i.e. telephonic medium, in which the telephonic communication takes place wireless networks
    • H04M2207/187Type of exchange or network, i.e. telephonic medium, in which the telephonic communication takes place wireless networks combining circuit and packet-switched, e.g. GPRS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M3/00Automatic or semi-automatic exchanges
    • H04M3/22Arrangements for supervision, monitoring or testing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/12Setup of transport tunnels

Abstract

비정상 호 탐지 장치 및 방법이 제공된다. 상기 비정상 호 탐지 장치는 제1 GTP-U TEID 및 제1 사용자 단말 식별 번호를 포함하는 세션 정보를 저장하는 세션 정보 저장부, GTP(GPRS Tunneling Protocol)-U 패킷의 헤더로부터 제2 GTP-U TEID를 추출하고, 상기 GTP-U 패킷의 페이로드로부터 SIP(Session Initiaion Protocol) 메시지를 추출하고, 상기 SIP 메시지로부터 제2 사용자 단말 식별 번호를 추출하는 패킷 정보 추출부, 및 상기 제1 및 제2 GTP-U TEID가 동일하고, 상기 제1 및 제2 사용자 단말 식별 번호가 동일하지 않으면, 상기 GTP-U 패킷을 차단하는 패킷 처리부를 포함한다.

Description

비정상 호 탐지 장치 및 방법{Apparatus and method for detecting abnormal call}
본 발명은 비정상 호 탐지 장치 및 방법에 관한 것으로, 보다 상세하게는 GTP(GPRS Tunneling Protocol)를 사용하는 모바일 환경에서의 세션 정보 기반 비정상 호 탐지 장치 및 방법에 관한 것이다.
4G 네트워크(또는, LTE 네트워크)는 무선 자원을 관리하는 4G E-RAN(Enterprise Radio Access Network)과 데이터 처리/인증/과금 등을 수행하는 4G EPC(Evolved Packet Core)를 포함하여 구성된다.
4G E-RAN은 사용자 단말(UE; User Equipment), eNB(evolved Node B) 등의 구성 요소를 포함하고, 4G EPC는 MME(Mobility Management Entity), S-GW(Serving Gateway), P-GW(PDN Gateway), HSS(Home Subscriber Server), PCRF(Policy & Charging Rule Function) 등의 구성 요소를 포함한다.
4G 네트워크 내부에서는 eNB와 S-GW간 생성되는 S1-U GTP(GPRS Tunneling Protocol) 터널과, S-GW와 P-GW간 생성되는 생성되는 S5 GTP 터널을 통해 데이터 패킷이 송수신될 수 있다. 데이터 패킷은 VoLTE 호 설정을 위한 SIP(Session Initiaion Protocol) 메시지를 포함하고, 이러한 데이터 패킷은 GTP 패킷의 페이로드에 캡슐화되어 송수신될 수 있다.
P-GW는 SIP 메시지 내에 포함되는 값들을 고려하지 않고, 데이터 패킷을 IMS(IP Multimedia Subsystem) 네트워크 내부로 전달한다. 따라서, SIP 메시지 내에 조작된 값이 포함되는 경우에도, 데이터 패킷은 제약 없이 IMS 네트워크의 내부로 전달될 수 있다.
본 발명이 해결하려는 과제는, SIP 메시지 내에 포함되는 사용자 단말 식별 번호를 조작한 비정상 호를 탐지할 수 있는 비정상 호 탐지 장치를 제공하는 것이다.
본 발명이 해결하려는 다른 과제는, SIP 메시지 내에 포함되는 사용자 단말 식별 번호를 조작한 비정상 호를 탐지할 수 있는 비정상 호 탐지 방법을 제공하는 것이다.
본 발명이 해결하려는 과제들은 이상에서 언급한 과제들로 제한되지 않으며, 언급되지 않은 또 다른 과제들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
상기 과제를 해결하기 위한 본 발명의 비정상 호 탐지 장치의 일 면(aspect)은 제1 GTP-U TEID 및 제1 사용자 단말 식별 번호를 포함하는 세션 정보를 저장하는 세션 정보 저장부, GTP-U 패킷의 헤더로부터 제2 GTP-U TEID를 추출하고, 상기 GTP-U 패킷의 페이로드로부터 SIP 메시지를 추출하고, 상기 SIP 메시지로부터 제2 사용자 단말 식별 번호를 추출하는 패킷 정보 추출부, 및 상기 제1 및 제2 GTP-U TEID가 동일하고, 상기 제1 및 제2 사용자 단말 식별 번호가 동일하지 않으면, 상기 GTP-U 패킷을 차단하는 패킷 처리부를 포함한다.
상기 과제를 해결하기 위한 본 발명의 비정상 호 탐지 장치의 다른 면은 GTP-C 패킷으로부터 제1 GTP-U TEID 및 제1 사용자 단말 식별 번호를 추출하는 GTP-C 패킷 정보 추출부, 상기 제1 GTP-U TEID 및 상기 제1 사용자 단말 식별 번호를 포함하는 세션 정보를 저장하는 세션 정보 저장부, GTP-U 패킷의 헤더로부터 제2 GTP-U TEID를 추출하고, 상기 GTP-U 패킷의 페이로드로부터 SIP 메시지를 추출하고, 상기 SIP 메시지로부터 제2 GTP-U TEID 및 제2 사용자 단말 식별 번호를 추출하는 GTP-U 패킷 정보 추출부, 및 상기 제1 및 제2 GTP-U TEID와, 상기 제1 및 제2 사용자 단말 식별 번호의 비교 결과에 따라 상기 GTP-U 패킷을 차단하는 패킷 처리부를 포함한다.
상기 과제를 해결하기 위한 본 발명의 비정상 호 탐지 시스템의 일 면은 GTP-C 패킷으로부터 제1 GTP-U TEID 및 제1 사용자 단말 식별 번호를 추출하는 GTP-C 패킷 정보 추출부와, 상기 제1 GTP-U TEID 및 상기 제1 사용자 단말 식별 번호를 포함하는 세션 정보를 생성하는 세션 정보 생성부를 포함하는 세션 정보 수집 장치, 및 GTP-U 패킷의 헤더로부터 제2 GTP-U TEID를 추출하고, 상기 GTP-U 패킷의 페이로드로부터 SIP 메시지를 추출하고, 상기 SIP 메시지로부터 제2 사용자 단말 식별 번호를 추출하는 GTP-U 패킷 정보 추출부와, 상기 세션 정보 수집 장치로부터 수신한 상기 세션 정보를 이용하여, 상기 제1 및 제2 GTP-U TEID와, 상기 제1 및 제2 사용자 단말 식별 번호의 비교 결과에 따라 상기 GTP-U 패킷을 차단하는 패킷 처리부를 포함하는 비정상 호 탐지 장치를 포함한다.
상기 과제를 해결하기 위한 본 발명의 비정상 호 탐지 방법의 일 면은 GTP-U 패킷을 수신하는 단계, 상기 GTP-U 패킷의 헤더로부터 제2 GTP-U TEID를 추출하고, 상기 GTP-U 패킷의 페이로드로부터 SIP 메시지를 추출하고, 상기 SIP 메시지로부터 제2 사용자 단말 식별 번호를 추출하는 단계, 세션 정보의 제1 GTP-U TEID 및 상기 제2 GTP-U TEID가 동일하고, 상기 세션 정보의 제1 사용자 단말 식별 번호 및 상기 제2 사용자 단말 식별 번호가 동일한지 비교하는 단계, 및 상기 제1 및 제2 GTP-U TEID가 동일하고, 상기 제1 및 제2 사용자 단말 식별 번호가 동일하지 않으면, 상기 GTP-U 패킷을 차단하는 단계를 포함한다.
본 발명의 기타 구체적인 사항들은 상세한 설명 및 도면들에 포함되어 있다.
상술한 본 발명의 비정상 호 탐지 장치 및 방법에 따르면, GTP-U 패킷의 헤더로부터 GTP-U TEID를 추출하고, 상기 GTP-U 패킷으로부터 SIP 메시지를 추출하고, 상기 SIP 메시지로부터 사용자 단말 식별 번호를 추출하여, 세션 정보에 기록된 GTP-U TEID 및 사용자 단말 식별 번호와 동일한지 비교하므로, SIP 메시지 내에 포함되는 사용자 단말 식별 번호를 조작한 비정상 호를 탐지하고 이를 차단할 수 있다.
도 1은 본 발명의 일 실시예에 따른 비정상 호 탐지 장치를 설명하기 위한 블록도이다.
도 2는 4G 네트워크 내부 및 4G 네트워크와 IMS 네트워크간 비정상 SIP 메시지의 전송 과정을 설명하기 위한 도면이다.
도 3은 SIP 메시지를 이용한 VoLTE 호 설정 과정을 설명하기 위한 도면이다.
도 4는 SIP 초대 메시지 내에 포함되는 값들을 개략적으로 설명하기 위한 도면이다.
도 5는 도 1의 세션 정보 저장부에 저장된 세션 정보를 설명하기 위한 테이블이다.
도 6은 본 발명의 일 실시예에 따른 비정상 호 탐지 방법을 설명하기 위한 흐름도이다.
도 7은 본 발명의 다른 실시예에 따른 비정상 호 탐지 장치를 설명하기 위한 블록도이다.
도 8은 4G 네트워크 내부에서 GTP 터널의 생성 과정을 설명하기 위한 도면이다.
도 9는 세션 생성 요청 메시지 내에 포함되는 값들을 개략적으로 설명하기 위한 도면이다.
도 10은 세션 생성 응답 메시지 내에 포함되는 값들을 개략적으로 설명하기 위한 도면이다.
도 11은 본 발명의 일 실시예에 따른 비정상 호 탐지 시스템을 설명하기 위한 블록도이다.
도 12는 본 발명의 일 실시예에 따른 세션 정보 수집 방법을 설명하기 위한 흐름도이다.
도 13은 본 발명의 몇몇 실시예에 따른 비정상 호 탐지 장치 또는 시스템이 적용된 4G 네트워크의 구조를 설명하기 위한 도면이다.
도 14는 도 13의 4G 네트워크와 연동된 IMS 네트워크의 구조를 설명하기 위한 도면이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
각 블록은 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또한, 몇 가지 대체 실행 예들에서는 블록들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대 잇달아 도시되어 있는 두 개의 블록들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
비록 제1, 제2 등이 다양한 소자, 구성요소 및/또는 섹션들을 서술하기 위해서 사용되나, 이들 소자, 구성요소 및/또는 섹션들은 이들 용어에 의해 제한되지 않음은 물론이다. 이들 용어들은 단지 하나의 소자, 구성요소 또는 섹션들을 다른 소자, 구성요소 또는 섹션들과 구별하기 위하여 사용하는 것이다. 따라서, 이하에서 언급되는 제1 소자, 제1 구성요소 또는 제1 섹션은 본 발명의 기술적 사상 내에서 제2 소자, 제2 구성요소 또는 제2 섹션일 수도 있음은 물론이다.
본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성요소, 단계, 동작 및/또는 소자는 하나 이상의 다른 구성요소, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.
도 1은 본 발명의 일 실시예에 따른 비정상 호 탐지 장치를 설명하기 위한 블록도이다.
도 1을 참조하면, 본 발명의 일 실시예에 따른 비정상 호 탐지 장치(100)는 NIC(Network Interface Card; 110a, 110b), 패킷 정보 추출부(120), 패킷 분석부(130), 세션 정보 저장부(140), 패킷 처리부(150), 로그 저장부(160)를 포함한다.
NIC(110a)는 GTP-U 패킷을 수신하여 패킷 정보 추출부(120)에 전송하고, NIC(110b)는 패킷 처리부(150)의 제어 신호에 따라 GTP-U 패킷을 전송(forward)하거나 차단(drop)할 수 있다. NIC(110a, 110b)는 일반적인 네트워크 인터페이스 카드 또는 하드웨어 가속 네트워크 인터페이스 카드일 수 있다. GTP-U 패킷은 4G 네트워크 내에서 사용자의 데이터 패킷을 전송하기 위해 사용된다.
패킷 정보 추출부(120)는 GTP-U 패킷으로부터 각종 패킷 정보를 추출할 수 있다. 패킷 정보 추출부(120)는 GTP-U 패킷의 헤더(header)로부터 TEID(Tunnel Endpoint Identifier)를 추출할 수 있다. GTP-U 패킷의 헤더로부터 추출되는 TEID는 업링크(uplink) GTP-U TEID일 수 있다. 여기서, 업링크는 사용자 단말로부터 IMS 네트워크를 향해 데이터 패킷이 전송되는 경우를 나타내고, 다운링크(downlink)는 IMS 네트워크로부터 사용자 단말을 향해 데이터 패킷이 전송되는 경우를 나타낼 수 있다.
패킷 정보 추출부(120)는 GTP-U 패킷의 페이로드(payload)로부터 SIP(Session Initiaion Protocol) 메시지를 추출할 수 있다. SIP 메시지는 VoLTE 호 연결을 위해 사용된다. 패킷 정보 추출부(120)는 SIP 메시지로부터 사용자 단말 식별 번호를 추출할 수 있다. 예를 들어, 사용자 단말 식별번호는 MSISDN(Mobile Station International ISDN Number)일 수 있으나, 본 발명이 이에 한정되는 것은 아니다.
패킷 분석부(130)는 패킷 정보 추출부(120)에 의해 추출된 업링크 GTP-U TEID 및 사용자 단말 식별 번호를 기초로 상기 GTP-U 패킷이 비정상 호에 관한 것인지 분석할 수 있다. 여기서, 비정상 호는 SIP 메시지 내에 포함되는 사용자 단말 식별 번호를 조작한 GTP-U 패킷을 나타낼 수 있다. 패킷 분석부(130)는 상기 GTP-U 패킷을 분석하기 위해서 미리 저장된 세션 정보를 이용할 수 있다.
세션 정보 저장부(140)는 업링크 GTP-U TEID 및 사용자 단말 식별 번호를 포함하는 세션 정보를 미리 저장할 수 있다. 상기 업링크 GTP-U TEID 및 사용자 단말 식별 번호는 GTP-C 패킷으로부터 미리 추출될 수 있다. GTP-C 패킷은 4G 네트워크 내에서 GTP 터널을 생성/갱신/삭제하기 위해 사용된다. GTP-U 패킷은 GTP 터널을 통해서 전송될 수 있다.
이하에서는, 각각의 업링크 GTP-U TEID 및 사용자 단말 식별 번호를 서로 구별하기 위해서, 세션 정보 저장부(140)에 저장된 업링크 GTP-U TEID 및 사용자 단말 식별 번호를 제1 업링크 GTP-U TEID 및 제1 사용자 단말 식별 번호로 언급하고, 패킷 정보 추출부(120)에 의해 추출된 업링크 GTP-U TEID 및 사용자 단말 식별 번호를 제2 업링크 GTP-U TEID 및 제2 사용자 단말 식별 번호로 언급하여 설명하기로 한다.
패킷 분석부(130)는 제1 및 제2 업링크 GTP-U TEID가 동일하고, 제1 및 제2 사용자 단말 식별 번호가 동일한지 비교하여, 비정상 호를 탐지할 수 있다. 먼저, 패킷 분석부(130)는 제2 업링크 GTP-U TEID와 동일한 제1 업링크 GTP-U TEID가 세션 정보 내에 존재하는지 판단할 수 있다. 다음으로, 패킷 분석부(130)는 제1 및 제2 업링크 GTP-U TEID가 동일하고, 제1 및 제2 사용자 단말 식별 번호가 동일하지 않으면, 제2 사용자 단말 식별 번호가 조작된 것으로 판단하여, 상기 GTP-U 패킷을 비정상 호에 관한 것으로 판단할 수 있다.
패킷 처리부(150)는 패킷 분석부(130)의 비정상 호 탐지 결과에 따라 GTP-U 패킷을 전송하거나 차단하도록 NIC(110b)를 제어할 수 있다. 여기서, GTP-U 패킷을 전송한다는 것은 GTP-U 패킷을 목적지 IP 주소로 전송하는 것을 나타내고, GTP-U 패킷을 차단한다는 것은 GTP-U 패킷을 목적지 IP 주소로 전송하지 않는 것을 나타낼 수 있다.
로그 저장부(160)는 비정상 호의 탐지 결과에 따라 상기 GTP-U 패킷이 차단되면, 탐지 로그를 기록할 수 있다. 탐지 로그는 상기 GTP-U 패킷으로부터 추출된 제2 업링크 GTP-U TEID 및 제2 사용자 단말 식별 번호 중 적어도 하나를 포함할 수 있다. 이외에도, 탐지 로그는 비정상 호의 탐지 시간, GTP-U 패킷의 차단 유무, 목적지 IP 주소, 목적지 포트 등의 정보를 더 포함할 수도 있다.
도 1의 비정상 호 탐지 장치(100)에서, NIC(110a, 110b), 패킷 정보 추출부(120), 패킷 분석부(130), 세션 정보 저장부(140), 패킷 처리부(150), 로그 저장부(160)를 별도의 구성 요소로 설명하였으나, 실시예에 따라, 패킷 정보 추출부(120), 패킷 분석부(130), 패킷 처리부(150)가 일체로 구성되거나, 세션 정보 저장부(140), 로그 저장부(160)이 일체로 구성되도록 변형될 수 있다.
도 2는 4G 네트워크 내부 및 4G 네트워크와 IMS(IP Multimedia Subsystem) 네트워크간 비정상 SIP 메시지의 전송 과정을 설명하기 위한 도면이다.
도 2를 참조하면, 사용자 단말(UE; 1100)은 S-GW(Serving Gateway; 1400)에 데이터 패킷을 전송하고, S-GW(1400)는 사용자 단말이 전송한 데이터 패킷을 P-GW(PDN Gateway; 1500)에 전송할 수 있다. 도 2에는 명확하게 도시하지 않았으나, 사용자 단말(1100)은 eNB(evolved Node B)에 데이터 패킷을 전송하고, eNB가 상기 데이터 패킷을 S-GW(1400)에 전송하면, S-GW(1400)가 사용자 단말이 전송한 데이터 패킷을 P-GW(1500)에 전송할 수 있다. 예를 들어, 사용자 단말(1100)이 전송한 데이터 패킷은 IP 패킷일 수 있다.
eNB와 S-GW(1400)간, 및 S-GW(1400)와 P-GW(1500)간에는 각각의 GTP 터널이 생성되고, 사용자 단말(1100)이 전송한 데이터 패킷은 상기 각각의 GTP 터널을 통해서 P-GW(1500)까지 전송될 수 있다. 사용자 단말(1100)이 전송한 데이터 패킷은 4G 네트워크 내부에서 GTP 프로토콜을 이용하여 전송될 수 있다. 이와 같이, 사용자 단말(1100)이 전송하여 P-GW(1500)을 향해 전달되는 GTP-U 패킷은 아웃바운드(outbound) GTP-U 패킷이라고 불리워질 수 있다. GTP-U 패킷의 헤더에는 GTP 터널용 IP 헤더, UDP 헤더, GTP-U 헤더가 추가되고, GTP-U 패킷의 페이로드에는 사용자 단말(1100)이 전송한 데이터 패킷이 캡슐화될 수 있다. 그리고, GTP-U 헤더에는 TEID가 포함될 수 있다. 사용자 단말(1100)이 전송한 데이터 패킷은 P-GW(1500)으로부터 IMS 네트워크 내부의 P-CSCF(Proxy Call Session Control Function; 2100)에 전달될 수 있다.
사용자 단말(1100)이 전송한 데이터 패킷은 VoLTE 호 설정을 위한 SIP 메시지를 포함할 수 있다. SIP 메시지 내에는 사용자 단말 식별 번호가 포함될 수 있다.
여기서, 4G 네트워크 내부의 P-GW(1500)는 SIP 메시지 내에 포함되는 값들을 고려하지 않고, 사용자 단말(1100)이 전송한 데이터 패킷을 IMS 네트워크 내부의 P-CSCF(2100)로 전달한다. 따라서, SIP 메시지 내에, GTP 터널 생성/갱신 시 할당된 업링크 GTP-U TEID 및 사용자 단말 식별 번호가 아닌, 조작된 값이 포함된 경우에도, 사용자 단말(1100)이 전송한 데이터 패킷은 제약 없이 P-GW(1500)까지 전송되고, IMS 네트워크 내의 P-CSCF(2100)에 전달될 수 있다. 도 2에서 도면 부호 10, 30은 정상 SIP 메시지가 전송되는 경우를 도시한 것이고, 도면 부호 20, 40은 비정상 SIP 메시지가 전송되는 경우를 도시한 것이다.
본 발명의 일 실시예에 따른 비정상 호 탐지 장치(100)는 GTP 터널의 생성/갱신시 할당된 제1 업링크 GTP-U TEID 및 제1 사용자 단말 식별 번호를 세션 정보로 미리 저장하고, 세션 정보와 GTP-U 패킷으로부터 추출된 제2 업링크 GTP-U TEID 및 제2 사용자 단말 식별 번호가 동일한지 비교하므로, 이와 같은 비정상 SIP 메시지를 탐지할 수 있다.
도 3은 SIP 메시지를 이용한 VoLTE 호 설정 과정을 설명하기 위한 도면이다.
도 3을 참조하면, 개략적으로, 발신자 단말(1100a)이 송신한 SIP 초대(SIP INVITE) 메시지가 수신자 단말(1100b)에 전송되고, 수신자 단말(1100b)이 송신한 200 OK 메시지가 발신자 단말(1100a)에 전송되면, VoLTE 호 설정이 완료될 수 있다. VoLTE 호 설정 과정에서 SIP 메시지는 4G 네트워크 내부의 P-GW(500)와, IMS 네트워크 내부의 P-CSCF(2100), I-CSCF(Interrogating Call Session Control Function; 2200), S-CSCF(Serving Call Session Control Function; 2300) 등을 경유하여 전달될 수 있다. VoLTE 호 설정이 완료되면, 발신자 단말(1100a)와 수신자 단말(1100b)은 RTP(Real-time Transport Protocol)를 이용하여 보이스 트래픽을 송수신할 수 있다.
VoLTE 호 설정 과정에서, 패킷 정보 추출부(120)는 발신자 단말(1100a)로부터 최초 전송되는 SIP 초대 메시지로부터 제2 사용자 단말 식별 번호를 추출할 수 있다.
그 밖의 VoLTE 호 설정 과정에 관한 내용은 본 발명이 속하는 기술 분야의 통상의 기술자에게 자명하고, 이에 관한 상세한 설명은 본 발명의 요지를 흐릴 수 있으므로, 이하 상세한 설명은 생략하기로 한다.
도 4는 SIP 초대 메시지 내에 포함되는 값들을 개략적으로 설명하기 위한 도면이다.
도 4를 참조하면, SIP 초대 메시지의 메시지 헤더(Message Header)에는 Via 필드, From 필드, P-Preferred-Identity 필드 등이 포함될 수 있다. Via 필드에는 사용자 단말 IP 주소가 기록되고, From 필드 및 P-Preferred-Identity 필드에는 사용자 단말 식별 번호가 기록될 수 있다.
패킷 정보 추출부(120)는 SIP 초대 메시지의 From 필드로부터 제2 사용자 단말 식별 번호를 추출할 수 있다.
도 4에는 명확하게 도시하지 않았으나, SIP 초대 메시지의 메시지 헤더 또는 메시지 바디(Message Body)에는 사용자 단말 식별 번호가 기록되는 다른 필드들이 더 포함될 수 있다.
실시예에 따라, 패킷 정보 추출부(120)는 이러한 필드들로부터 제2 사용자 단말 식별 번호를 추출하도록 변형될 수 있다.
도 5는 도 1의 세션 정보 저장부에 저장된 세션 정보를 설명하기 위한 테이블이다.
도 5를 참조하면, 세션 정보 저장부(140)는 업링크 GTP-C TEID, 업링크 GTP-U TEID, 사용자 단말 식별 번호(예를 들어, MSISDN), 다운링크 GTP-C TEID, 응답 플래그를 포함하는 세션 정보를 저장할 수 있다.
업링크 GTP-C TEID는 S11 GTP 터널에서 MME(Mobility Management Entity)로부터 S-GW(1400)으로 전송되는 GTP-C 패킷의 TEID, 또는 S5 GTP 터널에서 S-GW(1400)로부터 P-GW(1500)으로 전송되는 GTP-C 패킷의 TEID를 나타낼 수 있다. 다운링크 GTP-C TEID는 S11 GTP 터널에서 S-GW(1400)로부터 MME(1400)로 전송되는 GTP-C 패킷의 TEID, 또는 S5 GTP 터널에서 P-GW(1500)로부터 S-GW(1400)으로 전송되는 GTP-C 패킷의 TEID를 나타낼 수 있다.
세션 정보 저장부(140)는 GTP 터널 정보(예를 들어, TEID)를 세션 정보와 함께 관리하면서, GTP-C 패킷이 세션 갱신 요청(Update Session Request) 메시지 또는 세션 갱신 응답(Update Session Response) 메시지를 포함하는 경우, 상기 GTP-C 패킷의 TEID에 대응하는 세션 정보를 갱신하여 저장할 수 있다. 또는, 세션 정보 저장부(140)는 GTP-C 패킷이 세션 삭제 요청(Delete Session Request) 메시지 또는 세션 삭제 응답(Update Session Response) 메시지를 포함하는 경우, 상기 GTP-C 패킷의 TEID에 대응하는 세션 정보를 삭제할 수도 있다.
도 6은 본 발명의 일 실시예에 따른 비정상 호 탐지 방법을 설명하기 위한 흐름도이다. 설명의 편의를 위하여, 상술한 내용과 중복되는 설명은 생략하기로 한다.
도 6을 참조하면, 본 발명의 일 실시예에 따른 비정상 호 탐지 방법은 먼저, GTP-U 패킷을 수신한다(S201).
이어서, 패킷 정보 추출부(120)에서, GTP-U 패킷의 정보를 추출하고(S202), GTP-U 패킷의 페이로드 내에 SIP 메시지가 존재하는지 판단한다(S203).
이어서, GTP-U 패킷의 페이로드 내에 SIP 메시지가 존재하면, 패킷 정보 추출부(120)에서, GTP-U 패킷의 페이로드 내에 존재하는 SIP 메시지가 SIP 초대 메시지인지 판단한다(S204).
이어서, GTP-U 패킷의 페이로드 내에 존재하는 SIP 메시지가 SIP 초대 메시지이면, 패킷 정보 추출부(120)에서, GTP-U 패킷의 헤더로부터 제2 업링크 GTP-U TEID를 추출하고, 상기 SIP 메시지로부터 제2 사용자 단말 식별 번호를 추출한다(S205). 예를 들어, 사용자 단말 식별 번호는 MSISDN일 수 있으나, 본 발명이 이에 한정되는 것은 아니다.
이어서, 패킷 분석부(130)에서, 제2 업링크 GTP-U TEID와 대응하는 세션 정보가 세션 정보 저장부(140) 내에 존재하는지 판단한다(S206). 패킷 분석부(130)는 제2 업링크 GTP-U TEID와 동일한 제1 업링크 GTP-U TEID가 세션 정보 내에 존재하는지 판단할 수 있다. 이어서, 세션 정보가 존재하면, 패킷 분석부(130)에서, 추출된 제2 업링크 GTP-U TEID 및 제2 사용자 단말 식별 번호가 상기 세션 정보와 일치하는지 판단한다(S207). 패킷 분석부(130)는 제1 및 제2 업링크 GTP-U TEID가 동일하고, 제1 및 제2 사용자 단말 식별 번호가 동일한지 비교할 수 있다.
이어서, 세션 정보와 일치하면, 패킷 처리부(150)에서, 상기 GTP-U 패킷을 전송 처리한다(S209). 또한, GTP-U 패킷 내에 SIP 메시지가 존재하지 않거나, GTP-U 패킷 내에 존재하는 SIP 메시지가 SIP 초대 메시지가 아니거나, 세션 정보가 존재하지 않는 경우에도, 패킷 처리부(150)에서, 상기 GTP-U 패킷을 전송 처리한다.
한편, 세션 정보가 일치하지 않으면, 패킷 처리부(150)에서, 상기 GTP-U 패킷을 차단 처리한다(S209). 패킷 분석부(130)는 제1 및 제2 업링크 GTP-U TEID가 동일하고, 제1 및 제2 사용자 단말 식별 번호가 동일하지 않으면, 상기 GTP-U 패킷을 차단 처리할 수 있다. 그리고, 로그 저장부(160)에서, 탐지 로그를 기록한다(S210).
도 7은 본 발명의 다른 실시예에 따른 비정상 호 탐지 장치를 설명하기 위한 블록도이다. 설명의 편의를 위하여, 도 1과 차이점을 중점으로 하여 설명하기로 한다.
도 7을 참조하면, 본 발명의 다른 실시예에 따른 비정상 호 탐지 장치(300)는 NIC(310a, 310b), GTP-U 패킷 정보 추출부(320), 패킷 분석부(330), 세션 정보 저장부(340), 패킷 처리부(350), 로그 저장부(360), 패킷 분류부(370), GTP-C 패킷 정보 추출부(380), 세션 정보 생성부(390)를 포함한다.
NIC(310a)는 GTP 패킷을 수신하여 패킷 분류부(370)에 전송하고, NIC(310b)는 패킷 처리부(350)의 제어 신호에 따라 GTP 패킷을 전송(forward)하거나 차단(drop)할 수 있다.
GTP-U 패킷 정보 추출부(120)는 GTP-U 패킷의 헤더로부터 제2 업링크 GTP-U TEID를 추출할 수 있다. GTP-U 패킷 정보 추출부(120)는 GTP-U 패킷의 페이로드로부터 SIP 메시지를 추출하고, SIP 메시지로부터 제2 사용자 단말 식별 번호를 추출할 수 있다.
패킷 분석부(330)는 제1 및 제2 업링크 GTP-U TEID가 동일하고, 제1 및 제2 사용자 단말 식별 번호가 동일한지 비교하여 비정상 호를 탐지할 수 있다.
세션 정보 저장부(340)는 제1 업링크 GTP-U TEID 및 제1 사용자 단말 식별 번호를 포함하는 세션 정보를 미리 저장할 수 있다.
패킷 처리부(350)는 패킷 분석부(330)의 비정상 호 탐지 결과에 따라 GTP 패킷을 전송하거나 차단하도록 NIC(310b)를 제어할 수 있다.
로그 저장부(360)는 비정상 호의 탐지 결과에 따라 상기 GTP-U 패킷이 차단되면, 탐지 로그를 기록할 수 있다
패킷 분류부(370)는 GTP 패킷을 분류한다. 패킷 분류부(370)는 GTP 패킷을 GTP-C 패킷과 GTP-U 패킷으로 분류할 수 있다. 패킷 분류부(370)는 분류 결과에 따라 GTP-C 패킷은 GTP-C 패킷 정보 추출부(380)에 전송하고, GTP-U 패킷은 GTP-U 패킷 정보 추출부(320)에 전송할 수 있다.
GTP-C 패킷 정보 추출부(380)는 GTP-C 패킷으로부터 제1 업링크 GTP-U TEID 및 제1 사용자 단말 식별 번호를 추출할 수 있다. GTP-C 패킷 정보 추출부(380)는 GTP-C 패킷으로부터 업링크 GTP-C TEID, 다운링크 GTP-C TEID를 더 추출할 수도 있다.
세션 정보 생성부(390)는 GTP-C 패킷 정보 추출부(380)에 의해 추출된 제1 업링크 GTP-U TEID 및 제1 사용자 단말 식별 번호를 포함하는 세션 정보를 생성할 수 있다.
도 8은 4G 네트워크 내부에서 GTP 터널의 생성 과정을 설명하기 위한 도면이다.
도 8을 참조하면, 4G 네트워크 내부에서 GTP 터널을 생성하기 위해 세션 생성 요청 메시지(Create Session Request)와 세션 생성 응답 메시지(Create Session Response)가 전송될 수 있다. 세션 생성 요청 메시지와 세션 생성 응답 메시지는 GTP-C 패킷에 포함되어 전송된다.
MME(1300)가 S-GW(1400)에 세션 생성 요청 메시지를 전송하고, S-GW(1400)가 P-GW(1500)에 세션 생성 요청 메시지를 전송할 수 있다. 이에 대한 응답으로, P-GW(1500)가 S-GW(1400)에 세션 생성 응답 메시지를 전송하여, S-GW(1400)와 P-GW(1500)간 S5 GTP 터널을 생성할 수 있다. 그리고, S-GW(1400)가 MMME(1300)에 세션 생성 응답 메시지를 전송하여, MME(1300)과 S-GW(1400)간 S11 GTP 터널을 생성하고, eNB(1200)와 S-GW(1400)간 S1-U GTP 터널을 생성할 수 있다. 후속하는 세션 갱신 메시지 또는 세션 삭제 메시지는 S11 GTP 터널 또는 S5 GTP 터널을 통해서 전송될 수 있다.
도 8에는 명확하게 도시하지 않았으나, S1-U GTP 터널의 생성 전에, eNB(1200) 및 MME(1300) 사이, MME(1300) 및 S-GW(1400) 사이에서 추가적인 메시지가 더 송수신될 수 있다.
GTP 터널의 생성 과정에서, GTP-C 패킷 정보 추출부(380)는 세션 생성 요청 메시지 및 세션 생성 응답 메시지로부터 제1 사용자 단말 식별 번호 및 제1 업링크 GTP-U TEID를 추출할 수 있다.
도 9는 세션 생성 요청 메시지 내에 포함되는 값들을 개략적으로 설명하기 위한 도면이고, 도 10은 세션 생성 응답 메시지 내에 포함되는 값들을 개략적으로 설명하기 위한 도면이다.
도 9 및 도 10을 참조하면, 세션 생성 요청 메시지의 헤더에는 Sequence Number 필드, MSISDN 필드, F-TEID 필드 등이 포함되고, 세션 생성 응답 메시지의 헤더에는 Tunnel Endpoint Identifier 필드, Sequence Number 필드, F-TEID 필드, Bearer Context 필드 등이 포함될 수 있다. 세션 생성 요청 메시지의 MSISDN 필드에는 사용자 단말 식별 번호가 기록되고, 세션 생성 응답 메시지의 Bearer Context 필드에는 업링크 GTP-U TEID가 기록될 수 있다. Sequence Number 필드에 기록된 값은 요청 메시지와 응답 메시지의 매칭을 위해 사용될 수 있다.
GTP-C 패킷 정보 추출부(380)는 세션 생성 요청 메시지의 MSISDN 필드로부터 사용자 단말 식별 번호를 추출하고, 세션 생성 응답 메시지의 Bearer Context 필드로부터 업링크 GTP-U TEID를 추출할 수 있다. GTP-C 패킷 정보 추출부(380)는 세션 생성 요청 메시지의 F-TEID 필드로부터 다운링크 GTP-C TEID를 추출하고, 세션 생성 응답 메시지의 F-TEID 필드로부터 업링크 GTP-C TEID를 더 추출할 수도 있다. 업링크 GTP-C TEID 및 다운링크 GTP-C TEID는 세션 정보의 갱신 및 삭제를 위해 사용될 수 있다.
도 11은 본 발명의 일 실시예에 따른 비정상 호 탐지 시스템을 설명하기 위한 블록도이다. 설명의 편의를 위하여 도 7과 차이점을 중점으로 하여 설명하기로 한다.
도 11을 참조하면, 본 발명의 일 실시예에 따른 비정상 호 탐지 시스템(400)은 세션 정보 수집 장치(410)와 비정상 호 탐지 장치(420)를 포함한다.
세션 정보 수집 장치(410)는 NIC(411a, 411b), GTP-C 패킷 정보 추출부(408), 세션 정보 생성부(409), 패킷 처리부(405)를 포함하여 구성될 수 있다.
비정상 호 탐지 장치(420)는 NIC(421a, 421b), GTP-U 패킷 정보 추출부(422), 패킷 분석부(423), 세션 정보 저장부(424), 패킷 처리부(425), 로그 저장부(426)을 포함하여 구성될 수 있다.
도 11의 비정상 호 탐지 시스템(400)은 GTP-C 패킷으로부터 제1 업링크 GTP-U TEID 및 제1 사용자 단말 식별 번호를 추출하고, 이를 포함하는 세션 정보를 생성하는 구성 요소와, GTP-U 패킷으로부터 제2 업링크 GTP-U TEID 및 제2 사용자 단말 식별 번호를 추출하고, 세션 정보와의 비교 결과에 따라 비정상 호를 탐지하는 구성 요소가 물리적으로 분리된 경우를 도시한 것이다.
GTP-C 패킷 정보 추출부(408)는 GTP-C 패킷으로부터 제1 업링크 GTP-U TEID 및 제1 사용자 단말 식별 번호를 추출할 수 있다.
세션 정보 생성부(409)는 GTP-C 패킷 정보 추출부(408)에 의해 추출된 제1 업링크 GTP-U TEID 및 제1 사용자 단말 식별 번호를 포함하는 세션 정보를 생성할 수 있다.
GTP-U 패킷 정보 추출부(422)는 GTP-U 패킷의 헤더로부터 업링크 GTP-U TEID를 추출하고, GTP-U 패킷의 페이로드로부터 SIP 메시지를 추출하고, SIP 메시지로부터 제2 사용자 단말 식별 번호를 추출할 수 있다.
패킷 분석부(423)는 세션 정보 저장부(424)에 저장된 세션 정보를 이용하여, 제1 및 제2 업링크 GTP-U TEID와, 제1 및 제2 사용자 단말 식별 번호의 비교 결과에 따라 비정상 호를 탐지할 수 있다.
세션 정보 저장부(424)는 세션 정보 수집 장치(410)으로부터 수신한 세션 정보를 저장할 수 있다.
패킷 처리부(425)는 패킷 분석부(423)의 비정상 호 탐지 결과에 따라 GTP-U 패킷을 전송하거나 차단하도록 NIC(421b)를 제어할 수 있다.
도 12는 본 발명의 일 실시예에 따른 세션 정보 수집 방법을 설명하기 위한 흐름도이다.
도 12를 참조하면, 본 발명의 일 실시예에 따른 세션 정보 수집 방법은 먼저, GTP-C 패킷을 수신한다(S501).
이어서, GTP-C 패킷 정보 추출부(380, 408)에서, GTP-C 패킷의 정보를 추출하고(S502), GTP-C 패킷이 세션 생성 메시지를 포함하는지 판단한다(S503).
이어서, GTP-C 패킷이 세션 생성 메시지를 포함하면, GTP-C 패킷 정보 추출부(380, 408)에서, GTP-C 패킷 내에 포함되는 세션 생성 메시지가 세션 생성 요청 메시지인지 판단한다(S504).
이어서, GTP-C 패킷 내에 포함되는 세션 생성 메시지가 세션 생성 요청 메시지이면, GTP-C 패킷 정보 추출부(380, 408)에서, 다운링크 GTP-C TEID 및 사용자 단말 식별 번호를 추출하고, 응답 플래그를 “0”으로 설정한다(S505). 예를 들어, 사용자 단말 식별 번호는 MSISDN일 수 있으나, 본 발명이 이에 한정되는 것은 아니다.
한편, GTP-C 패킷 내에 포함되는 세션 생성 메시지가 세션 생성 요청 메시지가 아니면, 즉 세션 생성 메시지가 세션 생성 응답 메시지이면, GTP-C 패킷 정보 추출부(380, 408)에서, 업링크 GTP-C TEID 및 업링크 GTP-U TEID를 추출하고, 응답 플래그를 “1”로 설정한다(S506).
한편, GTP-C 패킷이 세션 생성 메시지를 포함하지 않으면, GTP-C 패킷 정보 추출부(380, 408)에서, GTP-C 패킷이 세션 갱신 메시지를 포함하는지 판단하고(S507), GTP-C 패킷이 세션 갱신 메시지를 포함하면, 세션 정보 저장부(390, 409)에서, 상기 GTP-C 패킷의 TEID에 대응하는 세션 정보를 갱신하여 저장한다(S508). GTP-C 패킷이 세션 갱신 메시지를 포함하지 않으면, 즉 GTP-C 패킷이 세션 삭제 메시지를 포함하면, 세션 정부 저장부(390, 409)에서, 상기 GTP-C 패킷의 TEID에 대응하는 세션 정보를 삭제한다(S509).
이어서, 패킷 처리부(350, 405)에서, GTP-C 패킷을 전송 처리한다(S510).
도 13은 본 발명의 몇몇 실시예에 따른 비정상 호 탐지 장치 또는 시스템이 적용된 4G 네트워크의 구조를 설명하기 위한 도면이다.
도 13을 참조하면, 4G 네트워크(1000)는 무선 자원을 관리하는 4G E-RAN(Enterprise Radio Access Network)과 데이터 처리/인증/과금 등을 수행하는 4G EPC(Evolved Packet Core)를 포함하여 구성될 수 있다.
4G E-RAN은 사용자 단말(1100), eNB(1200)을 포함할 수 있다. 예를 들어, 사용자 단말(1100)은 4G 네트워크에 가입되어 있는 휴대 단말일 수 있다. eNB(1200)는 기지국으로서 사용자 단말(1100)과 4G 네트워크 간에 무선 연결을 제공할 수 있다.
4G EPC는 MME(1300), S-GW(1400), P-GW(1500), HSS(Home Subscriber Server; 1600), PCRF(Policy & Charging Rule Function; 1700)을 포함할 수 있다. MME(1300)는 eNB(1200)와 S1-MME GTP 터널을 통해서 GTP 패킷을 송수신할 수 있다. S-GW(1400)는 eNB(1200)와 S1-U GTP 터널을 통해서 GTP 패킷을 송수신할 수 있다. MME(1300)는 S-GW(1400)와 S11 GTP 터널을 통해서 GTP 패킷을 송수신할 수 있다. P-GW(1500)는 IMS 네트워크의 P-CSCF(2100) 및 인터넷과 연결될 수 있다.
4G 네트워크에서 S1-U GTP 터널은 데이터 트래픽을 위한 패스(path)이고, S11 GTP 터널은 시그널링을 위한 패스이고, S5 GTP 터널은 데이터 트래픽 및 시그널링을 위한 패스이다.
도 1 및 도 7을 참조하여 설명한 비정상 호 탐지 장치(100, 300)는 eNB(1200) 및 MME(1300)와 S-GW(1400) 사이(P1, P2), 또는 S-GW(1400)과 P-GW(1500) 사이(P3)에 제공될 수 있다. 또한, 도 1 및 도 7을 참조하여 설명한 비정상 호 탐지 장치(100, 300)는 S-GW(1400) 또는 P-GW(1500)의 내부 구성 요소로 제공될 수도 있다. 도 11을 참조하여 설명한 비정상 호 탐지 시스템(400)의 세션 정보 수집 장치(410)는 MME(1300)와 S-GW(1400) 사이(P2)에 제공되고, 비정상 호 탐지 장치(420)는 eNB(1200)와 S-GW(1400) 사이(P1)에 제공될 수 있다.
도 13에는 명확하게 도시하지 않았으나, 4G 네트워크는 S-GW(1400)을 통해서 3G 네트워크, 펨토셀 네트워크 등과 연동될 수 있다.
도 14는 도 13의 4G 네트워크와 연동된 IMS 네트워크의 구조를 설명하기 위한 도면이다.
도 14를 참조하면, IMS 네트워크(2000)는 P-CSCF(2100), I-CSCF(2200), S-CSCF(2300), BGCF(Border Gateway Control Function; 2400), HSS(2500), S-GW(2600), MGCF(Media Gateway Control Function; 2700), AS(Application Server; 2800), M-GW(Media Gateway; 2900)을 포함할 수 있다.
4G 네트워크 내부의 사용자 단말(1100)로부터 전송된 SIP 메시지는 P-GW(1500)를 통해서, IMS 네트워크 내부로 전달될 수 있다. P-GW(1500)과 연결된 P-CSCF(2100)는 상기 SIP 메시지를 I-CSCF(2200)에 전송하고, I-CSCF(2200)는 상기 SIP 메시지를 S-CSCF(2300)에 전송할 수 있다. S-GW(2600)는 PSTN(Public Switching Telephone Network)과 연결되고, M-GW(2900)은 PLMN(Public Land Mobile Network)과 연결될 수 있다.
도 1 및 도 7을 참조하여 설명한 비정상 호 탐지 장치(100, 300) 또는 도 11을 참조하여 설명한 비정상 호 탐지 시스템(400)이 4G 네트워크의 내부(P1~P3)에 제공되므로, SIP 메시지 내에 포함되는 사용자 단말 식별 번호를 조작한 비정상 호가 탐지되고, 비정상 호가 IMS 네트워크의 내부로 전달되는 것이 차단될 수 있다.
본 발명의 실시예들과 관련하여 설명된 방법 또는 알고리즘의 단계는, 프로세서에 의해 실행되는 하드웨어 모듈, 소프트웨어 모듈, 또는 그 2 개의 결합으로 직접 구현될 수 있다. 소프트웨어 모듈은 RAM 메모리, 플래시 메모리, ROM 메모리, EPROM 메모리, EEPROM 메모리, 레지스터, 하드 디스크, 착탈형 디스크, CD-ROM, 또는 본 발명의 기술 분야에서 잘 알려진 임의의 형태의 컴퓨터로 읽을 수 있는 기록 매체에 상주할 수도 있다. 예시적인 기록 매체는 프로세서에 연결되며, 그 프로세서는 기록 매체로부터 정보를 독출할 수 있고 기록 매체에 정보를 기입할 수 있다. 다른 방법으로, 기록 매체는 프로세서와 일체형일 수도 있다. 프로세서 및 기록 매체는 주문형 집적회로(ASIC) 내에 상주할 수도 있다. ASIC는 사용자 단말기 내에 상주할 수도 있다. 다른 방법으로, 프로세서 및 기록 매체는 사용자 단말기 내에 개별 구성 요소로서 상주할 수도 있다.
이상 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.
100: 비정상 호 탐지 장치
110a, 110b: NIC
120: 패킷 정보 추출부
130: 패킷 분석부
140: 세션 정보 저장부
150; 패킷 처리부
160: 로그 저장부

Claims (30)

  1. 제1 GTP-U TEID 및 제1 사용자 단말 식별 번호를 포함하는 세션 정보를 저장하는 세션 정보 저장부;
    GTP(GPRS Tunneling Protocol)-U 패킷의 헤더로부터 제2 GTP-U TEID를 추출하고, 상기 GTP-U 패킷의 페이로드로부터 SIP(Session Initiaion Protocol) 메시지를 추출하고, 상기 SIP 메시지로부터 제2 사용자 단말 식별 번호를 추출하는 패킷 정보 추출부; 및
    상기 제1 및 제2 GTP-U TEID가 동일하고, 상기 제1 및 제2 사용자 단말 식별 번호가 동일하지 않으면, 상기 GTP-U 패킷을 차단하는 패킷 처리부를 포함하되,
    상기 SIP 메시지는 SIP 초대(SIP INVITE) 메시지를 포함하는, 비정상 호 탐지 장치.
  2. 제1항에 있어서,
    상기 패킷 처리부는 상기 세션 정보 내에 상기 제2 GTP-U TEID와 동일한 상기 제1 GTP-U TEID가 존재하지 않으면, 상기 GTP-U 패킷을 전송하는, 비정상 호 탐지 장치.
  3. 삭제
  4. 제1항에 있어서,
    상기 패킷 처리부는 상기 SIP 메시지가 상기 SIP 초대 메시지가 아니면, 상기 GTP-U 패킷을 차단하지 않고 전송하는, 비정상 호 탐지 장치.
  5. 제1항에 있어서,
    상기 패킷 정보 추출부는 상기 SIP 메시지의 From 필드로부터 상기 제2 사용자 단말 식별 번호를 추출하는, 비정상 호 탐지 장치.
  6. 제1항에 있어서,
    상기 제1 및 제2 GTP-U TEID가 동일하고, 상기 제1 및 제2 사용자 단말 식별 번호가 동일한지 비교하는 패킷 분석부를 더 포함하는, 비정상 호 탐지 장치.
  7. 제1항에 있어서,
    상기 GTP-U 패킷이 차단되면, 상기 제2 GTP-U TEID 및 상기 제2 사용자 단말 식별 번호 중 적어도 하나를 기록하는 로그 저장부를 더 포함하는, 비정상 호 탐지 장치.
  8. 제1항에 있어서,
    상기 사용자 단말 식별번호는 MSISDN(Mobile Station International ISDN Number)를 포함하는, 비정상 호 탐지 장치.
  9. 제1항에 있어서,
    상기 GTP-U 패킷은 아웃바운드(outbound) GTP-U 패킷을 포함하는, 비정상 호 탐지 장치.
  10. 제1항에 있어서,
    상기 GTP-U 패킷은 eNB와 S-GW간 생성되는 S1-U GTP 터널 또는 S-GW와 P-GW간 생성되는 S5 GTP 터널 중 적어도 하나에서 전송되는, 비정상 호 탐지 장치.
  11. GTP-C 패킷으로부터 제1 GTP-U TEID 및 제1 사용자 단말 식별 번호를 추출하는 GTP-C 패킷 정보 추출부;
    상기 제1 GTP-U TEID 및 상기 제1 사용자 단말 식별 번호를 포함하는 세션 정보를 저장하는 세션 정보 저장부;
    GTP-U 패킷의 헤더로부터 제2 GTP-U TEID를 추출하고, 상기 GTP-U 패킷의 페이로드로부터 SIP 메시지를 추출하고, 상기 SIP 메시지로부터 제2 GTP-U TEID 및 제2 사용자 단말 식별 번호를 추출하는 GTP-U 패킷 정보 추출부; 및
    상기 제1 및 제2 GTP-U TEID와, 상기 제1 및 제2 사용자 단말 식별 번호의 비교 결과에 따라 상기 GTP-U 패킷을 차단하는 패킷 처리부를 포함하되,
    상기 SIP 메시지는 SIP 초대 메시지를 포함하는, 비정상 호 탐지 장치.
  12. 제11항에 있어서,
    상기 GTP-C 패킷 정보 추출부는 제1 GTP-C 패킷으로부터 상기 제1 사용자 단말 식별 번호를 추출하고, 상기 제1 GTP-C 패킷과 다른 제2 GTP-C 패킷으로부터 상기 제1 GTP-U TEID를 추출하는, 비정상 호 탐지 장치.
  13. 제12항에 있어서,
    상기 제1 GTP-C 패킷은 세션 생성 요청(Create Session Request) 메시지를 포함하고, 상기 제2 GTP-C 패킷은 세션 생성 응답(Create Session Response) 메시지를 포함하는, 비정상 호 탐지 장치.
  14. 제11항에 있어서,
    상기 GTP-C 패킷 정보 추출부는 상기 GTP-C 패킷으로부터 GTP-C TEID를 더 추출하고,
    상기 세션 정보 저장부는 상기 GTP-C 패킷이 세션 갱신 요청(Update Session Request) 메시지 또는 세션 갱신 응답(Update Session Response) 메시지를 포함하는 경우, 상기 GTP-C TEID에 대응하는 상기 세션 정보를 갱신하여 저장하는, 비정상 호 탐지 장치.
  15. 제11항에 있어서,
    상기 GTP-C 패킷 정보 추출부는 상기 GTP-C 패킷으로부터 GTP-C TEID를 더 추출하고,
    상기 세션 정보 저장부는 상기 GTP-C 패킷이 세션 삭제 요청(Delete Session Request) 메시지 또는 세션 삭제 응답(Update Session Response) 메시지를 포함하는 경우, 상기 GTP-C TEID에 대응하는 상기 세션 정보를 삭제하는, 비정상 호 탐지 장치.
  16. 제11항에 있어서,
    상기 제1 및 제2 GTP-U TEID가 동일하고, 상기 제1 및 제2 사용자 단말 식별 번호가 동일한지 비교하는 패킷 분석부를 더 포함하는, 비정상 호 탐지 장치.
  17. 제11항에 있어서,
    상기 패킷 정보 추출부는 상기 SIP 메시지의 From 필드로부터 상기 제2 사용자 단말 식별 번호를 추출하는, 비정상 호 탐지 장치.
  18. 제11항에 있어서,
    상기 사용자 단말 식별번호는 MSISDN을 포함하는, 비정상 호 탐지 장치.
  19. 제11항에 있어서,
    상기 GTP-U 패킷은 아웃바운드 GTP-U 패킷을 포함하는, 비정상 호 탐지 장치.
  20. 제11항에 있어서,
    상기 GTP-U 패킷은 eNB와 S-GW간 생성되는 S1-U GTP 터널 또는 S-GW와 P-GW간 생성되는 S5 GTP 터널 중 적어도 하나에서 전송되는, 비정상 호 탐지 장치.
  21. GTP-C 패킷으로부터 제1 GTP-U TEID 및 제1 사용자 단말 식별 번호를 추출하는 GTP-C 패킷 정보 추출부와,
    상기 제1 GTP-U TEID 및 상기 제1 사용자 단말 식별 번호를 포함하는 세션 정보를 생성하는 세션 정보 생성부를 포함하는 세션 정보 수집 장치; 및
    GTP-U 패킷의 헤더로부터 제2 GTP-U TEID를 추출하고, 상기 GTP-U 패킷의 페이로드로부터 SIP 메시지를 추출하고, 상기 SIP 메시지로부터 제2 사용자 단말 식별 번호를 추출하는 GTP-U 패킷 정보 추출부와,
    상기 세션 정보 수집 장치로부터 수신한 상기 세션 정보를 이용하여, 상기 제1 및 제2 GTP-U TEID와, 상기 제1 및 제2 사용자 단말 식별 번호의 비교 결과에 따라 상기 GTP-U 패킷을 차단하는 패킷 처리부를 포함하는 비정상 호 탐지 장치를 포함하되,
    상기 SIP 메시지는 SIP 초대 메시지를 포함하는, 비정상 호 탐지 시스템.
  22. 제21항에 있어서,
    상기 GTP-C 패킷은 MME와 S-GW간 생성되는 S11 터널에서 전송되고, 상기 GTP-U 패킷은 eNB와 상기 S-GW간 S1-U 터널에서 전송되는, 비정상 호 탐지 시스템.
  23. GTP-U 패킷을 수신하는 단계;
    상기 GTP-U 패킷의 헤더로부터 제2 GTP-U TEID를 추출하고, 상기 GTP-U 패킷의 페이로드로부터 SIP 메시지를 추출하고, 상기 SIP 메시지로부터 제2 사용자 단말 식별 번호를 추출하는 단계;
    세션 정보의 제1 GTP-U TEID 및 상기 제2 GTP-U TEID가 동일하고, 상기 세션 정보의 제1 사용자 단말 식별 번호 및 상기 제2 사용자 단말 식별 번호가 동일한지 비교하는 단계; 및
    상기 제1 및 제2 GTP-U TEID가 동일하고, 상기 제1 및 제2 사용자 단말 식별 번호가 동일하지 않으면, 상기 GTP-U 패킷을 차단하는 단계를 포함하되,
    상기 SIP 메시지는 SIP 초대 메시지를 포함하는, 비정상 호 탐지 방법.
  24. 제23항에 있어서,
    상기 세션 정보 내에 상기 제2 GTP-U TEID와 동일한 상기 제1 GTP-U TEID가 존재하지 않으면, 상기 GTP-U 패킷을 전송하는 단계를 더 포함하는, 비정상 호 탐지 방법.
  25. 삭제
  26. 제23항에 있어서,
    상기 패킷 처리부는 상기 SIP 메시지가 상기 SIP 초대 메시지가 아니면, 상기 GTP-U 패킷을 차단하지 않고 전송하는, 비정상 호 탐지 방법.
  27. 제23항에 있어서,
    상기 제2 GTP-U TEID 및 제2 사용자 단말 식별 번호를 추출하는 단계는 상기 SIP 메시지의 From 필드로부터 상기 제2 사용자 단말 식별 번호를 추출하는, 비정상 호 탐지 방법.
  28. 제23항에 있어서,
    상기 사용자 단말 식별번호는 MSISDN을 포함하는, 비정상 호 탐지 방법.
  29. 제23항에 있어서,
    상기 GTP-U 패킷은 아웃바운드 GTP-U 패킷을 포함하는, 비정상 호 탐지 방법.
  30. 제23항에 있어서,
    상기 GTP-U 패킷은 eNB와 S-GW간 생성되는 S1-U GTP 터널 또는 S-GW와 P-GW간 생성되는 S5 GTP 터널 중 적어도 하나에서 전송되는, 비정상 호 탐지 방법.
KR20130102564A 2013-08-28 2013-08-28 비정상 호 탐지 장치 및 방법 KR101414231B1 (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR20130102564A KR101414231B1 (ko) 2013-08-28 2013-08-28 비정상 호 탐지 장치 및 방법
MYPI2015703717A MY157106A (en) 2013-08-28 2014-08-26 Apparatus and method for detecting abnormal call
PCT/KR2014/007915 WO2015030458A1 (en) 2013-08-28 2014-08-26 Apparatus and method for detecting abnormal call

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR20130102564A KR101414231B1 (ko) 2013-08-28 2013-08-28 비정상 호 탐지 장치 및 방법

Publications (1)

Publication Number Publication Date
KR101414231B1 true KR101414231B1 (ko) 2014-07-01

Family

ID=51740927

Family Applications (1)

Application Number Title Priority Date Filing Date
KR20130102564A KR101414231B1 (ko) 2013-08-28 2013-08-28 비정상 호 탐지 장치 및 방법

Country Status (3)

Country Link
KR (1) KR101414231B1 (ko)
MY (1) MY157106A (ko)
WO (1) WO2015030458A1 (ko)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101538310B1 (ko) * 2014-12-17 2015-07-22 한국인터넷진흥원 4G 모바일 네트워크에서의 VoLTE 서비스 기반 비정상 위치정보 획득 메시지 탐지 장치, 시스템 및 방법
KR101538309B1 (ko) * 2014-12-17 2015-07-23 한국인터넷진흥원 4G 모바일 네트워크에서의 비정상 VoLTE 등록 메시지 탐지 장치, 시스템 및 방법
KR101541119B1 (ko) 2015-01-15 2015-08-03 한국인터넷진흥원 4G 모바일 네트워크에서의 비정상 VoLTE 등록해제 메시지 탐지 장치, 시스템 및 방법
KR101632241B1 (ko) * 2015-04-24 2016-06-21 주식회사 윈스 VoLTE 세션 기반 탐지 서비스 제공 방법 및 장치
WO2016114476A1 (en) * 2015-01-16 2016-07-21 Korea Internet & Security Agency Apparatus and method for volte session managemet in 4g mobile network

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017101121A1 (zh) * 2015-12-18 2017-06-22 华为技术有限公司 传输信令、传输数据和建立gtp隧道的方法及设备
CN109246708B (zh) * 2017-05-09 2022-10-14 中兴通讯股份有限公司 一种信息传输方法和装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050122997A (ko) * 2004-06-26 2005-12-29 삼성전자주식회사 Igsn과 다른 네트워크의 sgsn 및 ggsn과의 방법
KR20080057161A (ko) * 2006-12-19 2008-06-24 주식회사 케이티프리텔 점대점 터널링 통신을 위한 침입 방지 장치 및 방법
US20080198845A1 (en) 2004-11-10 2008-08-21 Krister Boman Arrangement, Nodes and a Method Relating to Services Access Over a Communication System
KR20120100872A (ko) * 2012-08-13 2012-09-12 한국인터넷진흥원 Gtp를 사용하는 모바일 환경에서의 ip 스푸핑 탐지 장치 및 방법

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8191116B1 (en) * 2005-08-29 2012-05-29 At&T Mobility Ii Llc User equipment validation in an IP network

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050122997A (ko) * 2004-06-26 2005-12-29 삼성전자주식회사 Igsn과 다른 네트워크의 sgsn 및 ggsn과의 방법
US20080198845A1 (en) 2004-11-10 2008-08-21 Krister Boman Arrangement, Nodes and a Method Relating to Services Access Over a Communication System
KR20080057161A (ko) * 2006-12-19 2008-06-24 주식회사 케이티프리텔 점대점 터널링 통신을 위한 침입 방지 장치 및 방법
KR20120100872A (ko) * 2012-08-13 2012-09-12 한국인터넷진흥원 Gtp를 사용하는 모바일 환경에서의 ip 스푸핑 탐지 장치 및 방법

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101538310B1 (ko) * 2014-12-17 2015-07-22 한국인터넷진흥원 4G 모바일 네트워크에서의 VoLTE 서비스 기반 비정상 위치정보 획득 메시지 탐지 장치, 시스템 및 방법
KR101538309B1 (ko) * 2014-12-17 2015-07-23 한국인터넷진흥원 4G 모바일 네트워크에서의 비정상 VoLTE 등록 메시지 탐지 장치, 시스템 및 방법
WO2016098990A1 (en) * 2014-12-17 2016-06-23 Korea Internet & Security Agency Apparatus, system and method for detecting abnormal message for obtaining location information based on volte service in 4g mobile networks
WO2016098997A1 (en) * 2014-12-17 2016-06-23 Korea Internet & Security Agency Apparatus, system and method for detecting abnormal volte registration message in 4g mobile network
KR101541119B1 (ko) 2015-01-15 2015-08-03 한국인터넷진흥원 4G 모바일 네트워크에서의 비정상 VoLTE 등록해제 메시지 탐지 장치, 시스템 및 방법
WO2016114476A1 (en) * 2015-01-16 2016-07-21 Korea Internet & Security Agency Apparatus and method for volte session managemet in 4g mobile network
KR101632241B1 (ko) * 2015-04-24 2016-06-21 주식회사 윈스 VoLTE 세션 기반 탐지 서비스 제공 방법 및 장치

Also Published As

Publication number Publication date
WO2015030458A1 (en) 2015-03-05
MY157106A (en) 2016-04-28

Similar Documents

Publication Publication Date Title
KR101414231B1 (ko) 비정상 호 탐지 장치 및 방법
US20210135954A1 (en) Telecommunication event object classification based on information from multiple protocols
US10517011B2 (en) Automated measurement and analysis of end-to-end performance of VoLTE service
KR101228089B1 (ko) Ip 스푸핑 탐지 장치
KR101388627B1 (ko) 4g 이동통신망에서의 비정상 트래픽 차단 장치
US9992109B2 (en) Data transmission method, apparatus and system
US20160006625A1 (en) Apparatus and method of identifying a user plane identifier of a user device by a monitoring probe
US10785688B2 (en) Methods and systems for routing mobile data traffic in 5G networks
KR101538309B1 (ko) 4G 모바일 네트워크에서의 비정상 VoLTE 등록 메시지 탐지 장치, 시스템 및 방법
KR101388628B1 (ko) 4g 이동통신망에서의 비정상 트래픽 차단 방법
KR101536178B1 (ko) 4g 모바일 네트워크에서의 비정상 sdp 메시지 탐지 장치 및 방법
CN106162733B (zh) 一种异常流量抑制方法及装置
KR101499022B1 (ko) 4g 모바일 네트워크에서의 비정상 mms 메시지 탐지 장치 및 방법
WO2017059707A1 (zh) 一种识别用户位置的方法及装置
KR101534161B1 (ko) 4g 모바일 네트워크에서의 사용자 세션 관리 장치 및 방법
KR101534160B1 (ko) 4G 모바일 네트워크에서의 VoLTE 세션 관리 장치 및 방법
KR101541348B1 (ko) Gtp 네트워크 기반 세션 관리 방법 및 장치
KR101541119B1 (ko) 4G 모바일 네트워크에서의 비정상 VoLTE 등록해제 메시지 탐지 장치, 시스템 및 방법
KR101785680B1 (ko) 4g 모바일 네트워크에서의 rtp 터널링 패킷 탐지 장치, 시스템 및 방법
KR101516233B1 (ko) 4g 모바일 네트워크에서의 비정상 sip refer 메시지 탐지 장치 및 방법
KR101538310B1 (ko) 4G 모바일 네트워크에서의 VoLTE 서비스 기반 비정상 위치정보 획득 메시지 탐지 장치, 시스템 및 방법
KR101711074B1 (ko) 4g 모바일 네트워크에서의 sip 터널링 패킷 탐지 장치, 시스템 및 방법
KR101516234B1 (ko) 4g 모바일 네트워크에서의 비정상 sip subscribe 메시지 탐지 장치 및 방법
JP2015204538A (ja) 呼処理シーケンスの解析装置および通信システム
CN109076631A (zh) 交换机以及通信方法

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee