KR101466895B1 - VoIP 불법 검출 방법, 이를 수행하는 VoIP 불법 검출 장치 및 이를 저장하는 기록매체 - Google Patents

VoIP 불법 검출 방법, 이를 수행하는 VoIP 불법 검출 장치 및 이를 저장하는 기록매체 Download PDF

Info

Publication number
KR101466895B1
KR101466895B1 KR20140104320A KR20140104320A KR101466895B1 KR 101466895 B1 KR101466895 B1 KR 101466895B1 KR 20140104320 A KR20140104320 A KR 20140104320A KR 20140104320 A KR20140104320 A KR 20140104320A KR 101466895 B1 KR101466895 B1 KR 101466895B1
Authority
KR
South Korea
Prior art keywords
packet
illegal
pattern
flow
control unit
Prior art date
Application number
KR20140104320A
Other languages
English (en)
Inventor
이정원
엄종훈
Original Assignee
주식회사 크레블
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 크레블 filed Critical 주식회사 크레블
Priority to KR20140104320A priority Critical patent/KR101466895B1/ko
Application granted granted Critical
Publication of KR101466895B1 publication Critical patent/KR101466895B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Telephonic Communication Services (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 VoIP 불법 검출 장치에 관한 것으로, 네트워크 패킷망에 전송되는 패킷을 수집하여 VoIP(Voice over Internet Protocol)와 연관된 패킷을 필터링하고 플로우 기반으로 패킷을 제어하는 플로우 제어 스위치, 상기 필터링된 패킷을 분석하여 상기 패킷과 연관된 플로우 및 세션에 대한 불법 패턴을 검출하고 스위치 제어 신호를 생성하는 탐지 및 제어 유닛, 상기 검출된 불법 패턴을 저장하는 분산 데이터베이스 및 상기 불법 패턴을 수신하면 상기 분산 데이터베이스에 불법 패턴 목록의 검색을 요청하고 상기 검색의 결과를 수신하여 제어 정책을 상기 탐지 및 제어 유닛에 송신하는 관제 유닛을 포함한다. 따라서 VoIP 망에 전송되는 패킷을 수집하여 불법 호를 검출할 수 있다.

Description

VoIP 불법 검출 방법, 이를 수행하는 VoIP 불법 검출 장치 및 이를 저장하는 기록매체{METHOD OF DETECTING VOIP FRAUD, APPARATUS PERFORMING THE SAME AND STORAGE MEDIA STORING THE SAME}
본 발명은 VoIP 불법 검출 기술에 관한 것으로, 보다 상세하게는, 인터넷 망에서 전송되는 VoIP 패킷을 수집하여 불법 호 또는 불법 호를 발생시킬 수 있는 비정상적인(Anomaly) 시도를 검출할 수 있는 VoIP 불법 검출 방법, 이를 수행하는 VoIP 불법 검출 장치 및 이를 저장하는 기록매체에 관한 것이다.
현재 인터넷 전화 서비스는 IP(Internet Protocol])망에서 SIP(Session Initiation Protocol)와 RTP(Real time Transport Protocol) 등의 다양한 기술을 통해 널리 보급되고 있다. 이에 따라 IP망이 가진 다양한 보안 취약성과 인터넷 전화 서비스를 제공하는 기술적 복잡성이 발생하였고 기술적 복잡성으로 인해 VoIP 전화연결 지연, 방해, 종료 및 음성 통화 품질 감소 등의 피해를 주는 VoIP 이상 트래픽들이 등장하기 시작했다. 국내 대부분의 VoIP 응용들은 현재 표준으로 정의되어 있는 보안 프로토콜을 사용하지 않고 있어 공격자가 패킷을 쉽게 스니핑하고 사용자의 정보 및 헤더 정보를 얻을 수 있을 뿐만 아니라 이상 트래픽을 쉽게 생성시킬 수 있다.
한국등록특허 제10-0835647호는 VoIP 망에 전송되는 모든 패킷을 실시간으로 캡쳐(Mirroring)하여 패킷 정보를 저장한 패킷 정보 데이터베이스로부터 패킷수에 대한 기초적 통계를 추출할 수 있는 캡쳐된 패킷의 통계자료 관리 장치 및 방법을 개시한다. 이러한 기술은 실시간 모니터링과 성능 추이 분석를 동시에 할 수 있고, 패킷 캡쳐를 통애 다양한 망 현황 데이터를 얻어올 수 있어 이상 있는 장비를 검출할 수 있다.
한국등록특허 제10-1218253호는 침입 검출, 서비스 거부 공격 또는 분산 서비스 거부 공격 검출, 스팸 검출, 비정상 통화 검출 등을 위한 다양한 보안 및 불법호 검출 기능을 내장하는 보안 및 불법 호 검출 시스템과 그 방법을 개시한다. 이러한 기술은 보안 검출 서비스와 불법호 검출 서비스를 위해 별도의 장비를 구축할 필요가 없어 시스템 구축 및 유지관리 비용을 절감할 수 있다.
한국등록특허 제10-0835647호 한국등록특허 제10-1218253호
본 발명의 일 실시예는 인터넷 망에서 전송되는 VoIP 패킷을 수집하여 불법 호 또는 불법 호를 발생시킬 수 있는 비정상적인(Anomaly) 시도를 검출할 수 있는 VoIP 불법 검출 장치를 제공하고자 한다.
본 발명의 일 실시예는 패킷 및 플로우(Flow)에 대한 패턴을 분석하여 불법 패킷인지 체크하고 그에 따라 오픈플로우(Openflow) 스위치에서 불법 패턴을 차단할 수 있는 VoIP 불법 검출 장치를 제공하고자 한다.
본 발명의 일 실시예는 대용량 데이터 분석 환경에서 VoIP 불법 호를 검출하고 수집된 패킷을 분석 및 제어할 수 있는 VoIP 불법 검출 장치를 제공하고자 한다.
실시예들 중에서, VoIP 불법 검출 장치는 네트워크 패킷망에 전송되는 패킷을 수집하여 VoIP(Voice over Internet Protocol)와 연관된 패킷을 필터링하고 플로우 기반으로 패킷을 제어하는 플로우 제어 스위치, 상기 필터링된 패킷을 분석하여 상기 패킷과 연관된 플로우 및 세션에 대한 불법 패턴을 검출하고 스위치 제어 신호를 생성하는 탐지 및 제어 유닛, 상기 검출된 불법 패턴을 저장하는 분산 데이터베이스 및 상기 불법 패턴을 수신하면 상기 분산 데이터베이스에 불법 패턴 목록의 검색을 요청하고 상기 검색의 결과를 수신하여 제어 정책을 상기 탐지 및 제어 유닛에 송신하는 관제 유닛을 포함한다.
일 실시예에서, 상기 플로우 제어 스위치는 상기 네트워크 패킷망에서 액티브 모드(Active Mode)로 동작하여 상기 생성된 스위치 제어 신호에 따라 상기 패킷을 플로우 기반으로 실시간으로 차단할 수 있다. 상기 플로우 제어 스위치는 상기 네트워크 패킷망에서 액티브 모드(Active Mode)로 동작하여 상기 필터링된 패킷을 실시간으로 차단할 수 있다.
상기 탐지 및 제어 유닛은 제1 단층 패킷 분석(Shallow Packet Inspection, SPI), 제2 단층 패킷 분석(Statefull Packet Inspection, SPI) 및 심층 패킷 분석(Deep Packet Inspection, DPI)을 통해 상기 필터링된 패킷을 분석할 수 있다.
상기 탐지 및 제어 유닛은 상기 필터링된 패킷에 대한 접속 설정 프로토콜(Session Initiation Protocol; SIP)의 헤더부 및 바디부 중 적어도 하나를 체크하여 상기 필터링된 패킷과 연관된 플로우에 대한 불법 패턴을 검출할 수 있다.
. 상기 탐지 및 제어 유닛은 상기 필터링된 패킷을 분석하여 상기 패킷과 연관된 호(Call)에 대한 워닝 포인트(Warring Point)를 측정하고 불법 타입을 결정할 수 있다.
일 실시예에서, 상기 관제 유닛은 상기 불법 패턴이 상기 불법 패턴 목록에 포함되어 있는지에 따라 상기 불법 패턴이 새로운 패턴인지 여부를 결정하고, 상기 불법 패턴이 새로운 패턴에 해당하면 상기 불법 패턴에 대한 모니터링을 제공하여 사용자로부터 상기 패킷과 연관된 호에 대한 차단 여부를 입력받을 수 있다. 상기 탐지 및 제어 유닛은 상기 입력된 패킷에 대한 차단 여부에 따라 상기 스위치 제어 신호를 생성할 수 있다.
실시예들 중에서, VoIP 불법 검출 방법은 네트워크 패킷망에 전송되는 패킷을 수집하여 VoIP(Voice over Internet Protocol)와 연관된 패킷을 필터링하는 단계, 상기 필터링된 패킷을 분석하여 상기 패킷과 연관된 플로우 및 세션에 대한 불법 패턴을 검출하고 스위치 제어 신호를 생성하는 단계, 상기 검출된 불법 패턴을 저장하는 단계 및 상기 불법 패턴을 수신하면 상기 분산 데이터베이스에 불법 패턴 목록의 검색을 요청하고 상기 검색의 결과를 수신하여 제어 정책을 상기 탐지 및 제어 유닛에 송신하는 단계를 포함한다.
실시예들 중에서, VoIP 불법 검출 방법에 관한 컴퓨터 프로그램을 저장하는 기록매체는 네트워크 패킷망에 전송되는 패킷을 수집하여 VoIP(Voice over Internet Protocol)와 연관된 패킷을 필터링하고 플로우 기반으로 패킷을 제어하는 기능, 상기 필터링된 패킷을 분석하여 상기 패킷과 연관된 플로우 및 세션에 대한 불법 패턴을 검출하고 스위치 제어 신호를 생성하는 기능, 상기 검출된 불법 패턴을 저장하는 기능 및 상기 불법 패턴을 수신하면 상기 분산 데이터베이스에 불법 패턴 목록의 검색을 요청하고 상기 검색의 결과를 수신하여 제어 정책을 상기 탐지 및 제어 유닛에 송신하는 기능을 포함한다.
본 발명의 일 실시예에 따른 VoIP 불법 검출 장치는 인터넷 망에서 전송되는 VoIP 패킷을 수집하여 불법 호 또는 불법 호를 발생시킬 수 있는 비정상적인(Anomaly) 시도를 검출할 수 있다.
본 발명의 일 실시예에 따른 VoIP 불법 검출 장치는 패킷 및 플로우에 대한 패턴을 분석하여 불법 패킷인지 체크하고 그에 따라 오픈플로우(Openflow) 스위치에서 불법 패턴을 차단할 수 있다.
본 발명의 일 실시예에 따른 VoIP 불법 검출 장치는 대용량 데이터 분석 환경에서 VoIP 불법 호를 검출하고 수집된 패킷을 분석 및 제어할 수 있다.
도 1은 본 발명의 일 실시예에 따른 VoIP 불법 검출 장치를 설명하는 블록도이다.
도 2는 도 1에 있는 VoIP 불법 검출 장치에서 수행되는 VoIP 불법 검출 과정을 설명하는 순서도이다.
도 3은 도 1에 있는 VoIP 불법 검출 장치의 탐지 및 제어 유닛에서 수행되는 단층 패킷 분석 및 심층 패킷 분석을 설명하는 도면이다.
도 4는 도 1에 있는 VoIP 불법 검출 장치의 플로우 제어 스위치를 설명하는 도면이다.
도 5는 도 1에 있는 VoIP 불법 검출 장치의 탐지 및 제어 유닛을 설명하는 도면이다.
도 6은 도 1에 있는 VoIP 불법 검출 장치의 관제 유닛을 설명하는 도면이다.
본 발명에 관한 설명은 구조적 내지 기능적 설명을 위한 실시예에 불과하므로, 본 발명의 권리범위는 본문에 설명된 실시예에 의하여 제한되는 것으로 해석되어서는 아니 된다. 즉, 실시예는 다양한 변경이 가능하고 여러 가지 형태를 가질 수 있으므로 본 발명의 권리범위는 기술적 사상을 실현할 수 있는 균등물들을 포함하는 것으로 이해되어야 한다. 또한, 본 발명에서 제시된 목적 또는 효과는 특정 실시예가 이를 전부 포함하여야 한다거나 그러한 효과만을 포함하여야 한다는 의미는 아니므로, 본 발명의 권리범위는 이에 의하여 제한되는 것으로 이해되어서는 아니 될 것이다.
한편, 본 출원에서 서술되는 용어의 의미는 다음과 같이 이해되어야 할 것이다.
"제1", "제2" 등의 용어는 하나의 구성요소를 다른 구성요소로부터 구별하기 위한 것으로, 이들 용어들에 의해 권리범위가 한정되어서는 아니 된다. 예를 들어, 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다.
어떤 구성요소가 다른 구성요소에 "연결되어"있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결될 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어"있다고 언급된 때에는 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. 한편, 구성요소들 간의 관계를 설명하는 다른 표현들, 즉 "~사이에"와 "바로 ~사이에" 또는 "~에 이웃하는"과 "~에 직접 이웃하는" 등도 마찬가지로 해석되어야 한다.
단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한 복수의 표현을 포함하는 것으로 이해되어야 하고, "포함하다"또는 "가지다" 등의 용어는 실시된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이며, 하나 또는 그 이상의 다른 특징이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
각 단계들에 있어 식별부호(예를 들어, a, b, c 등)는 설명의 편의를 위하여 사용되는 것으로 식별부호는 각 단계들의 순서를 설명하는 것이 아니며, 각 단계들은 문맥상 명백하게 특정 순서를 기재하지 않는 이상 명기된 순서와 다르게 일어날 수 있다. 즉, 각 단계들은 명기된 순서와 동일하게 일어날 수도 있고 실질적으로 동시에 수행될 수도 있으며 반대의 순서대로 수행될 수도 있다.
본 발명은 컴퓨터가 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현될 수 있고, 컴퓨터가 읽을 수 있는 기록 매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록 매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광 데이터 저장 장치 등이 있으며, 또한, 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한, 컴퓨터가 읽을 수 있는 기록 매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산 방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.
패킷(Packet)은 네트워크 망에 흐르는 최소한의 전송 단위로 정의되고, 플로우(Flow)는 패킷을 기본적으로 5튜플(Tuple)(Src(출발지), Dest(목적지), IP, Port, Protocol)을 기준으로 분류한 집합으로 정의되며, 또는 그 이상의 다른 정보를 포함할 수 있다. 세션(Session)은 특정 프로토콜을 기반으로 주고 받는 논리적 패킷의 집합으로 정의된다.
SIP(Session Initiation Protocol)는 멀티미디어 통신에서 세션이나 호(call)를 관리하는 프로토콜로 정의된다. 하나의 호는 하나의 세션 또는 하나 이상의 세션으로 구성될 수 있다. 예를 들어, 하나의 호는 단 대 단으로 연결되는 경우 하나의 세션으로 구성되고, 단 대 단으로 연결되지 않고 중간에 중계 서버를 지나는 경우 하나 이상의 세션으로 구성될 수 있다.
여기서 사용되는 모든 용어들은 다르게 정의되지 않는 한, 본 발명이 속하는 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 일반적으로 사용되는 사전에 정의되어 있는 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한 이상적이거나 과도하게 형식적인 의미를 지니는 것으로 해석될 수 없다.
도 1은 본 발명의 일 실시예에 따른 VoIP 불법 검출 장치를 설명하는 블록도이다.
도 1을 참조하면, VoIP 불법 검출 장치(100)는 플로우 제어 스위치(110), 탐지 및 제어 유닛(120), 분산 데이터베이스(130) 및 관제 유닛(140)을 포함한다.
플로우 제어 스위치(110)는 네트워크 패킷망에 전송되는 패킷을 수집하여 VoIP(Voice over Internet Protocol)와 연관된 패킷을 필터링한다. 플로우 제어 스위치(110)는 플로우(Flow)에 속하는 패킷 단위로 제어할 수 있다. 플로우 제어 스위치(110)는 목적지(10)(예를 들어, 상대방)의 경유 경로인 네트워크 패킷망에 전송되는 패킷을 수집하여 VoIP(Voice over Internet Protocol)와 연관된 패킷을 필터링할 수 있다.
플로우 제어 스위치(110)는 네트워크 패킷망에 전송되는 모든 패킷에서 VoIP와 연관된 패킷을 검출하여 VoIP와 연관된 패킷만 탐지 및 제어 유닛으로 송신할 수 있다.
플로우 제어 스위치(110)는 네트워크 패킷망에서 액티브 모드(Active Mode)로 동작하여 필터링된 패킷을 실시간으로 차단할 수 있다. 액티브 모드는 플로우 제어 스위치(110)가 멈추지 않고 계속 동작하도록 할 수 있다. 일 실시예에서, 플로우 제어 스위치(110)는 1 ~ 10G(bps) 또는 그 이상의 트래픽을 제어할 수 있다.
플로우 제어 스위치(110)는 관제 유닛(140)에서 결정된 제어 정책에 의해 탐지 및 제어 유닛(120)에서 생성된 스위치 제어 신호에 따라 플로우 기반으로 패킷을 차단할 수 있다. 플로우 제어 스위치(110)는 스위치 제어 신호가 플로우 차단 신호에 해당하면 플로우 기반으로 패킷을 차단하고 스위치 제어 신호가 패킷 허용 신호에 해당하면 플로우 기반으로 패킷을 허용할 수 있다.
플로우 제어 스위치(110)는 망 관리 시스템(Network Management System; NMS)의 통계 정보를 생성할 수 있다. 플로우 제어 스위치(110)는 망 관리 시스템의 프로토콜, IP 또는 Port 별로 통계 정보를 생성하여 탐지 및 제어 유닛(120)으로 송신할 수 있다.
탐지 및 제어 유닛(120)은 플로우 제어 스위치(110)로부터 필터링된 패킷을 수신하여 필터링된 패킷을 기초로 세션(Session) 및 호(Call)를 생성할 수 있다.
탐지 및 제어 유닛(120)은 필터링된 패킷을 분석하여 패킷과 연관된 플로우 및 세션에 대한 불법 패턴을 검출하고 스위치 제어 신호를 생성한다. 탐지 및 제어 유닛(120)은 호(Call)에 속하는 플로우 단위로 제어할 수 있다. 불법 패턴은 불법 통화에 사용될 수 있는 호를 생성하기 위해 발생되는 다양한 공격 트래픽 패턴 또는 SIP(Session Initiation Protocol; 접속 설정 프로토콜) 메시지 변조 등을 통한 공격 패턴을 의미한다.
탐지 및 제어 유닛(120)은 제1 단층 패킷 분석(Shallow Packet Inspection, SPI), 제2 단층 패킷 분석(Statefull Packet Inspection, SPI) 및 심층 패킷 분석(Deep Packet Inspection, DPI)을 통해 필터링된 패킷을 분석할 수 있다. 제1 단층 패킷 분석, 제2 단층 패킷 분석 및 심층 패킷 분석은 도 3에서 자세히 설명한다.
탐지 및 제어 유닛(120)은 필터링된 패킷에 포함된 음성에 대한 세션(Session)을 관리하고 음성에 대한 품질을 측정할 수 있다. 일 실시예에서, 탐지 및 제어 유닛(120)은 출발지 또는 발신지에 따라 음성에 대한 세션(Session)을 관리할 수 있다.
탐지 및 제어 유닛(120)은 관제 유닛(140)으로부터 수신한 제어 정책에 따라 스위치 제어 신호를 생성하여 플로우 제어 스위치(110)로 송신할 수 있다. 탐지 및 제어 유닛(120)은 관제 유닛(140)으로부터 수신한 제어 정책이 불법 패턴을 포함하면 필터링된 패킷을 해당 호와 연관된 플로우 단위로 차단하도록 하는 스위치 제어 신호를 생성하고 제어 정책이 불법 패턴을 포함하지 않으면 필터링된 패킷을 해당 호와 연관된 플로우 단위로 허용하도록 하는 스위치 제어 신호를 생성할 수 있다.
탐지 및 제어 유닛(120)은 필터링된 패킷에 대한 접속 설정 프로토콜(Session Initiation Protocol; SIP)의 헤더부 및 바디부 중 적어도 하나를 체크하여 필터링된 패킷과 연관된 호에 대한 불법 패턴을 검출할 수 있다. 탐지 및 제어 유닛(120)은 출발지와 도착지 및 패킷에 대한 세션 또는 호 별로 IP, Port, SIP, SDP(Session Description Protocol) 등의 헤더 정보 등에 의해 생성되는 불법 패턴을 검출할 수 있다. 탐지 및 제어 유닛(120)은 검출된 불법 패턴을 관제 유닛(140)에 송신할 수 있다.
일 실시예에서, 탐지 및 제어 유닛(120)은 필터링된 패킷과 연관된 호를 검출하여 출발지 또는 도착지의 식별자에 따라 분류할 수 있다.
탐지 및 제어 유닛(120)은 분석된 CDR(Call Detail Record)을 분산 데이터베이스(130)에 송신할 수 있다. 예를 들어, CDR은 음성 발신 가입자의 전화번호, 음성 착신 가입자의 전화번호, 호(Call)의 시작 시간, 음성 통화 시간, 호(Call)의 종료 시간 등의 정보를 포함할 수 있다.
탐지 및 제어 유닛(120)은 필터링된 패킷, 플로우 및 세션의 패턴을 분석하여 워닝 포인트(Warring Point)를 측정하고 불법 타입을 결정할 수 있다. 워닝 포인트는 각각의 호에 대한 복수의 불법 패턴들에 따라 주어지는 가중치에 해당하고 복수의 불법 패턴들 중 최상위 불법 타입이 결정되면 최상위 불법 패턴에 따른 워닝 포인트의 합이 해당 호에 대한 최종 워닝 포인트로 결정될 수 있다.
분산 데이터베이스(130)는 탐지 및 제어 유닛(120)에서 검출된 불법 패턴을 저장한다. 분산 데이터베이스(130)는 불법 패턴을 저장하여 불법 패턴 목록을 생성할 수 있다. 분산 데이터베이스(130)는 하둡(Hadoop)또는 맵리듀스(MapReduce)에 해당하여 대용량의 데이터를 저장할 수 있다.
분산 데이터베이스(130)는 관제 유닛(140)으로부터 불법 패턴 목록의 검색을 요청받으면 복수의 불법 패턴들을 포함하는 불법 패턴 목록을 제공할 수 있다. 예를 들어, 분산 데이터베이스(130)는 관제 유닛(140)으로부터 출발지 또는 발신지 정보를 함께 수신하여 수신한 출발지 또는 발신지 정보에 대응하는 복수의 불법 패턴들을 불법 패턴 목록으로 제공할 수 있다. 다른 예를 들어, 분산 데이터베이스(130)는 관제 유닛(140)으로부터 IP, Port, SIP, SDP 등의 헤더 정보 등을 함께 수신하여 수신한 IP, Port, SIP, SDP 등의 헤더 정보에 대응하는 복수의 불법 패턴들을 불법 패턴 목록으로 제공할 수 있다.
일 실시예에서, 분산 데이터베이스(130)는 호 처리 정보, CDR(Call Detail Record) 및 로우 패킷(Raw Packet)을 저장할 수 있다.
관제 유닛(140)은 탐지 및 제어 유닛(120)으로부터 불법 패턴을 수신하면 분산 데이터베이스(130)에 불법 패턴 목록의 검색을 요청한다. 관제 유닛(140)은 호(Call) 단위로 정책을 제어할 수 있다. 관제 유닛(140)은 탐지 및 제어 유닛(120)과 1:N으로 연결될 수 있다.
관제 유닛(140)은 분산 데이터베이스(130)에 요청한 불법 패턴 목록의 검색의 결과를 수신하여 제어 정책을 탐지 및 제어 유닛(120)에 송신한다. 여기에서, 제어 정책은 필터링된 패킷에 대한 불법 패턴이 불법 패턴인지 아닌지에 따라 달라질 수 있다. 구체적으로, 관제 유닛(140)은 불법 패턴이 불법 패턴 목록에 포함되어 있는지에 따라 불법 패턴이 새로운 패턴인지 여부를 결정할 수 있다. 관제 유닛(140)은 불법 패턴이 불법 패턴 목록에 포함되어 있지 않으면 불법 패턴이 새로운 패턴인 것으로 결정하고 불법 패턴에 대한 모니터링을 제공하여 사용자로부터 필터링된 패킷에 대한 차단 여부를 입력받을 수 있다. 관제 유닛(140)은 사용자가 입력한 정보에 따라 제어 정책을 생성할 수 있다.
도 2는 도 1에 있는 VoIP 불법 검출 장치에서 수행되는 VoIP 불법 검출 과정을 설명하는 순서도이다.
도 2를 참조하면, 플로우 제어 스위치(110)는 네트워크 패킷망에 전송되는 패킷을 수집하여 VoIP(Voice over Internet Protocol)와 연관된 패킷을 필터링한다(단계 S201).
일 실시예에서, 네트워크 패킷망은 VoIP 서비스 네트워크와 연결되어 음성 패킷을 수신할 수 있다. VoIP 서비스 네트워크는 VoIP 장치, IP-PBX(인터넷 전화 교환기), 소프트 스위치, SIP(Session Initiation Protocol) 서버, IP-Centrix(인터넷 전화 교환기) 및 SBC(Server Based Computing)와 연결될 수 있다.
탐지 및 제어 유닛(120)은 필터링된 패킷을 분석하여 실시간으로 불법 패턴을 검출하고 워닝 포인트를 측정하며 불법 타입을 판단한다(단계 S202).
탐지 및 제어 유닛(120)은 검출된 불법 패턴이 분산 데이터베이스(130)의 불법 패턴 목록에 저장되어 있거나 BL(Black List)에 등록되어 있는지 판단하고, 만약 그렇다면, 제어 정책에 따라 스위치 제어 신호를 생성한다(단계 S203 및 S204).
탐지 및 제어 유닛(120)은 만약 그렇지 않다면, 측정된 워닝 포인트가 임계치(Thread Hold)보다 크거나 같은지 또는 불법 타입이 기 설정된 관심 불법 타입(Concerned Fraud Type)에 포함되어 있는지 판단한다(단계 S205).
탐지 및 제어 유닛(120)은 측정된 워닝 포인트가 임계치(Thread Hold)보다 크거나 같거나 또는 불법 타입이 기 설정된 관심 불법 타입(Concerned Fraud Type)에 포함되어 있으면 검출된 불법 패턴을 관제 서버(140)로 전송한다(단계 S206).
관제 유닛(140)은 탐지 및 제어 유닛(120)으로부터 불법 패턴을 수신하면 제어 정책을 결정하고 불법 패턴을 분석하여 저장한다(단계 S207).
분산 데이터베이스(130)는 측정된 워닝 포인트가 임계치(Thread Hold)보다 크거나 같거나 또는 불법 타입이 기 설정된 관심 불법 타입(Concerned Fraud Type)에 포함되어 있으면 탐지 및 제어 유닛(120)에서 검출된 불법 패턴을 저장한다(단계 S208).
이 후에, 분산 데이터베이스(130)는 비실시간으로 불법 패턴을 검출하는 검색을 수행한다(단계 S209).
플로우 제어 스위치(110)는 탐지 및 제어 유닛(120)에서 생성된 스위치 제어 신호에 따라 해당 호와 연관된 패킷을 플로우 기반으로 차단한다(단계 S210).
도 3은 도 1에 있는 VoIP 불법 검출 장치의 탐지 및 제어 유닛에서 수행되는 단층 패킷 분석 및 심층 패킷 분석을 설명하는 도면이다.
도 3을 참조하면, 탐지 및 제어 유닛(120)은 제1 단층 패킷 분석(즉, Shallow Packet Inspection, SPI)을 통해 패킷의 헤더를 체크하여 블랙 리스트(Black List, 사용자 이름이나 전체 도메인 이름 등을 스팸 발송자 목록으로 관리하여 스팸 필터링에 활용하는 방식) 및 화이트 리스트(White List, 정당한 송신자의 호와 메시지만 걸러서 수신하는 방식) 각각에서 IP 정보와 Port 정보를 실시간으로 검출할 수 있다.
탐지 및 제어 유닛(120)은 제2 단층 패킷 분석(즉, Statefull Packet Inspection, SPI)을 통해 패킷 기반의 통계 정보 및 플로우 기반 통계 정보를 생성하여 출발지(또는 발신지)와 목적지(또는 착신지) 간의 빈도수 및 출발지(또는 발신지)와 목적지(또는 착신지) 각각에 대한 위치에 따라 플로우 정보를 실시간으로 분석할 수 있다.
탐지 및 제어 유닛(120)은 심층 패킷 분석(즉, Deep Packet Inspection, DPI)을 통해 User Agent, Via, Route/Record-Record, 착신번호 및 SDP (Session Description Protocol) 별로 패킷의 헤더를 실시간으로 검출하고, 행동과 휴리스틱(Behavior and Heuristics)(구체적으로, Call 기반의 특정 발신 번호를 고정하고 수신 번호를 순차적으로 변경하여 통화를 시도하는 경우 등의 행위 기반)을 비실시간으로 검출할 수 있다.
한편, 도 3에서 도시된 탐지 및 제어 유닛(120)에 의한 수행은 일 실시예에 해당하며, 다른 실시예로서도 구현 가능하다.
도 4는 도 1에 있는 VoIP 불법 검출 장치의 플로우 제어 스위치를 설명하는 도면이다.
도 4를 참조하면, 플로우 제어 스위치(110)는 네트워크 패킷망에서 패킷을 수집하면 패킷 필터링, 패킷 분석 및 분류, 플로우 생성, 관리 및 제어, 통계 수집을 수행하고 탐지 및 제어 유닛(120)에 VoIP와 연관된 패킷 및 기본 상태를 송신할 수 있다. 또한, 플로우 제어 스위치(110)는 탐지 및 제어 유닛(120)으로부터 플로우 컨트롤 정보를 수신할 수 있다.
도 5는 도 1에 있는 VoIP 불법 검출 장치의 탐지 및 제어 유닛을 설명하는 도면이다.
도 5를 참조하면, 탐지 및 제어 유닛(120)은 플로우 제어 스위치(110)로부터 VoIP와 연관된 패킷 및 기본 상태를 수신하면 세션 프로세서, VQM(Voice Quality Measurement) 프로세서, 불법 감지, 통계 정보 수집기 및 빅데이터 컨트롤러를 기초로 실시간 기본 정보와 VoIP 불법 상태 정보, 날짜를 생성하여 관제 유닛(140)으로 송신할 수 있다. 또한, 탐지 및 제어 유닛(120)은 관제 유닛(140)으로부터 플로우 컨트롤 정보를 수신할 수 있다.
도 6은 도 1에 있는 VoIP 불법 검출 장치의 관제 유닛을 설명하는 도면이다.
도 6을 참조하면, 관제 유닛(140)은 탐지 및 제어 유닛(120)으로부터 실시간 기본 정보와 VoIP 불법 상태 정보, 날짜를 수신하면 빅데이터 컨트롤러, GUI(Graphical User Interface) 인터페이스를 기초로 플로우 컨트롤 정보를 생성하여 탐지 및 제어 유닛(120)으로 송신할 수 있다.
상기에서는 본 출원의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 출원을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
100: VoIP 불법 검출 장치
110: 플로우 제어 스위치
120: 탐지 및 제어 유닛
130: 분산 데이터베이스
140: 관제 유닛

Claims (9)

  1. 네트워크 패킷망에 전송되는 패킷을 수집하여 VoIP(Voice over Internet Protocol)와 연관된 패킷을 필터링하고 플로우 기반으로 패킷을 제어하는 플로우 제어 스위치;
    제2 단층 패킷 분석(즉, Statefull Packet Inspection, SPI)을 통해 패킷 기반의 통계 정보 및 플로우 기반 통계 정보를 생성하여 출발지와 목적지 간의 빈도수 및 출발지와 목적지 각각에 대한 위치에 따라 상기 필터링된 패킷을 분석하여 상기 패킷과 연관된 플로우 및 세션에 대한 불법 패턴을 검출하고, 상기 필터링된 패킷, 플로우 및 세션에 대한 패턴을 분석하여 상기 불법 패턴에 따라 주어지는 가중치에 해당하는 워닝 포인트(Warring Point)를 측정하고 불법 타입을 결정하고, 상기 워닝 포인트가 기 설정된 임계치(Thread Hold)보다 크거나 같은지 또는 상기 불법 타입이 기 설정된 관심 불법 타입(Concerned Fraud Type)에 포함되어 있는지 판단하며, 상기 패킷에 대한 차단 여부에 따라 스위치 제어 신호를 생성하는 탐지 및 제어 유닛;
    상기 검출된 불법 패턴을 저장하는 분산 데이터베이스; 및
    상기 불법 패턴을 수신하면 상기 분산 데이터베이스에 불법 패턴 목록의 검색을 요청하고 상기 검색의 결과를 기초로 상기 필터링된 패킷에 대한 불법 패턴 여부에 따라 제어 정책을 생성하여 상기 제어 정책을 상기 탐지 및 제어 유닛에 송신하는 관제 유닛을 포함하고,
    상기 플로우 제어 스위치는
    상기 관제 유닛에서 결정된 제어 정책에 의해 상기 탐지 및 제어 유닛에서 생성된 스위치 제어 신호에 따라 플로우 기반으로 패킷을 차단하는 것을 특징으로 하는 VoIP 불법 검출 장치.
  2. 제1항에 있어서, 상기 플로우 제어 스위치는
    상기 네트워크 패킷망에서 액티브 모드(Active Mode)로 동작하여 상기 생성된 스위치 제어 신호에 따라 상기 패킷을 플로우 기반으로 실시간으로 차단하는 것을 특징으로 하는 VoIP 불법 검출 장치.
  3. 제1항에 있어서, 상기 탐지 및 제어 유닛은
    제1 단층 패킷 분석(Shallow Packet Inspection, SPI) 및 심층 패킷 분석(Deep Packet Inspection, DPI)을 통해 상기 필터링된 패킷을 분석하는 것을 특징으로 하는 VoIP 불법 검출 장치.
  4. 제1항에 있어서, 상기 탐지 및 제어 유닛은
    상기 필터링된 패킷에 대한 접속 설정 프로토콜(Session Initiation Protocol; SIP)의 헤더부 및 바디부 중 적어도 하나를 체크하여 상기 필터링된 패킷과 연관된 플로우에 대한 불법 패턴을 검출하는 것을 특징으로 하는 VoIP 불법 검출 장치.
  5. 삭제
  6. 제1항에 있어서, 상기 관제 유닛은
    상기 불법 패턴이 상기 불법 패턴 목록에 포함되어 있는지에 따라 상기 불법 패턴이 새로운 패턴인지 여부를 결정하고, 상기 불법 패턴이 새로운 패턴에 해당하면 상기 불법 패턴에 대한 모니터링을 제공하여 사용자로부터 상기 패킷과 연관된 호에 대한 차단 여부를 입력받는 것을 특징으로 하는 VoIP 불법 검출 장치.
  7. 삭제
  8. 네트워크 패킷망에 전송되는 패킷을 수집하여 VoIP(Voice over Internet Protocol)와 연관된 패킷을 필터링하고 플로우 기반으로 패킷을 제어하는 단계;
    제2 단층 패킷 분석(즉, Statefull Packet Inspection, SPI)을 통해 패킷 기반의 통계 정보 및 플로우 기반 통계 정보를 생성하여 출발지와 목적지 간의 빈도수 및 출발지와 목적지 각각에 대한 위치에 따라 상기 필터링된 패킷을 분석하여 상기 패킷과 연관된 플로우 및 세션에 대한 불법 패턴을 검출하고, 상기 필터링된 패킷, 플로우 및 세션에 대한 패턴을 분석하여 상기 불법 패턴에 따라 주어지는 가중치에 해당하는 워닝 포인트(Warring Point)를 측정하고 불법 타입을 결정하고, 상기 워닝 포인트가 기 설정된 임계치(Thread Hold)보다 크거나 같은지 또는 상기 불법 타입이 기 설정된 관심 불법 타입(Concerned Fraud Type)에 포함되어 있는지 판단하며, 상기 패킷에 대한 차단 여부에 따라 스위치 제어 신호를 생성하는 단계;
    상기 검출된 불법 패턴을 저장하는 단계;
    상기 불법 패턴을 수신하면 분산 데이터베이스에 불법 패턴 목록의 검색을 요청하고 상기 검색의 결과를 기초로 상기 필터링된 패킷에 대한 불법 패턴 여부에 따라 제어 정책을 생성하여 상기 제어 정책을 탐지 및 제어 유닛에 송신하는 단계; 및
    상기 제어 정책에 의해 생성된 스위치 제어 신호에 따라 플로우 기반으로 패킷을 차단하는 단계를 포함하는 VoIP 불법 검출 방법.
  9. 네트워크 패킷망에 전송되는 패킷을 수집하여 VoIP(Voice over Internet Protocol)와 연관된 패킷을 필터링하고 플로우 기반으로 패킷을 제어하는 기능;
    제2 단층 패킷 분석(즉, Statefull Packet Inspection, SPI)을 통해 패킷 기반의 통계 정보 및 플로우 기반 통계 정보를 생성하여 출발지와 목적지 간의 빈도수 및 출발지와 목적지 각각에 대한 위치에 따라 상기 필터링된 패킷을 분석하여 상기 패킷과 연관된 플로우 및 세션에 대한 불법 패턴을 검출하고, 상기 필터링된 패킷, 플로우 및 세션에 대한 패턴을 분석하여 상기 불법 패턴에 따라 주어지는 가중치에 해당하는 워닝 포인트(Warring Point)를 측정하고 불법 타입을 결정하고, 상기 워닝 포인트가 기 설정된 임계치(Thread Hold)보다 크거나 같은지 또는 상기 불법 타입이 기 설정된 관심 불법 타입(Concerned Fraud Type)에 포함되어 있는지 판단하며, 상기 패킷에 대한 차단 여부에 따라 스위치 제어 신호를 생성하는 기능;
    상기 검출된 불법 패턴을 저장하는 기능;
    상기 불법 패턴을 수신하면 분산 데이터베이스에 불법 패턴 목록의 검색을 요청하고 상기 검색의 결과를 기초로 상기 필터링된 패킷에 대한 불법 패턴 여부에 따라 제어 정책을 생성하여 상기 제어 정책을 탐지 및 제어 유닛에 송신하는 기능; 및
    상기 제어 정책에 의해 생성된 스위치 제어 신호에 따라 플로우 기반으로 패킷을 차단하는 기능을 포함하는 VoIP 불법 검출 방법을 구현하기 위한 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체.

KR20140104320A 2014-08-12 2014-08-12 VoIP 불법 검출 방법, 이를 수행하는 VoIP 불법 검출 장치 및 이를 저장하는 기록매체 KR101466895B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR20140104320A KR101466895B1 (ko) 2014-08-12 2014-08-12 VoIP 불법 검출 방법, 이를 수행하는 VoIP 불법 검출 장치 및 이를 저장하는 기록매체

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR20140104320A KR101466895B1 (ko) 2014-08-12 2014-08-12 VoIP 불법 검출 방법, 이를 수행하는 VoIP 불법 검출 장치 및 이를 저장하는 기록매체

Publications (1)

Publication Number Publication Date
KR101466895B1 true KR101466895B1 (ko) 2014-12-10

Family

ID=52676953

Family Applications (1)

Application Number Title Priority Date Filing Date
KR20140104320A KR101466895B1 (ko) 2014-08-12 2014-08-12 VoIP 불법 검출 방법, 이를 수행하는 VoIP 불법 검출 장치 및 이를 저장하는 기록매체

Country Status (1)

Country Link
KR (1) KR101466895B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101630838B1 (ko) * 2014-12-31 2016-06-15 주식회사 크레블 불법 우회 과금 검출 방법
KR20170104947A (ko) * 2016-03-08 2017-09-18 주식회사 케이티 Sdn/nfv 기반 ip 통화 서비스 보안 시스템 및 보안 시스템의 동작 방법

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120083719A (ko) * 2011-01-18 2012-07-26 한국인터넷진흥원 SIP DoS 및 SPAM 공격 탐지 시스템 및 그 탐지 방법
KR20140032520A (ko) * 2012-07-31 2014-03-17 주식회사 크레블 프루브 장비 및 이를 포함하는 패킷 분석 시스템

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120083719A (ko) * 2011-01-18 2012-07-26 한국인터넷진흥원 SIP DoS 및 SPAM 공격 탐지 시스템 및 그 탐지 방법
KR20140032520A (ko) * 2012-07-31 2014-03-17 주식회사 크레블 프루브 장비 및 이를 포함하는 패킷 분석 시스템

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101630838B1 (ko) * 2014-12-31 2016-06-15 주식회사 크레블 불법 우회 과금 검출 방법
KR20170104947A (ko) * 2016-03-08 2017-09-18 주식회사 케이티 Sdn/nfv 기반 ip 통화 서비스 보안 시스템 및 보안 시스템의 동작 방법
KR102299225B1 (ko) * 2016-03-08 2021-09-07 주식회사 케이티 Sdn/nfv 기반 ip 통화 서비스 보안 시스템 및 보안 시스템의 동작 방법

Similar Documents

Publication Publication Date Title
KR101107742B1 (ko) 에스아이피(sip) 기반 서비스의 보호를 위한 sip 침입 탐지 및 대응 시스템
US9392009B2 (en) Operating a network monitoring entity
CN101399749B (zh) 一种报文过滤的方法、系统和设备
AU2015255980B2 (en) System and methods for reducing impact of malicious activity on operations of a wide area network
CN108040057B (zh) 适于保障网络安全、网络通信质量的sdn系统的工作方法
US8001601B2 (en) Method and apparatus for large-scale automated distributed denial of service attack detection
Hofstede et al. Towards real-time intrusion detection for NetFlow and IPFIX
KR101218253B1 (ko) 보안 및 불법호 검출 시스템 및 방법
US20110138463A1 (en) Method and system for ddos traffic detection and traffic mitigation using flow statistics
CN113228591B (zh) 用于动态补救安全系统实体的方法、系统和计算机可读介质
CN103609070A (zh) 网络流量检测方法、系统、设备及控制器
KR101097419B1 (ko) 넷플로우 통계정보를 이용한 비정상 에스아이피 트래픽 폭주공격 탐지 및 모니터링시스템과 그 방법
CN105991637A (zh) 网络攻击的防护方法和装置
WO2017143897A1 (zh) 一种攻击处理方法、设备及系统
KR101352553B1 (ko) 플로우별 통계정보를 이용한 분산 서비스 거부 공격(ddos) 탐지 및 트래픽 경감 방법 및 그 시스템
Jeyanthi et al. RQA based approach to detect and prevent DDoS attacks in VoIP networks
KR101466895B1 (ko) VoIP 불법 검출 방법, 이를 수행하는 VoIP 불법 검출 장치 및 이를 저장하는 기록매체
Cheng et al. Detecting and mitigating a sophisticated interest flooding attack in NDN from the network-wide view
Aziz et al. A distributed infrastructure to analyse SIP attacks in the Internet
Ha et al. Design and implementation of SIP-aware DDoS attack detection system
JP2003289337A (ja) 通信網およびルータおよび分散型サービス拒絶攻撃検出防御方法
KR101011223B1 (ko) 에스아이피(sip) 기반의 통합보안 관리시스템
Park et al. Threats and countermeasures on a 4G mobile network
KR101587845B1 (ko) 디도스 공격을 탐지하는 방법 및 장치
JP2006023934A (ja) サービス拒絶攻撃防御方法およびシステム

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20190807

Year of fee payment: 6