KR101501670B1 - User identification method of attack/anomaly traffic in mobile communication network - Google Patents

User identification method of attack/anomaly traffic in mobile communication network Download PDF

Info

Publication number
KR101501670B1
KR101501670B1 KR20130149106A KR20130149106A KR101501670B1 KR 101501670 B1 KR101501670 B1 KR 101501670B1 KR 20130149106 A KR20130149106 A KR 20130149106A KR 20130149106 A KR20130149106 A KR 20130149106A KR 101501670 B1 KR101501670 B1 KR 101501670B1
Authority
KR
South Korea
Prior art keywords
message
gtp
hash table
key
session
Prior art date
Application number
KR20130149106A
Other languages
Korean (ko)
Inventor
임채태
오주형
김세권
조준형
장웅
구본민
박성민
우수정
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR20130149106A priority Critical patent/KR101501670B1/en
Application granted granted Critical
Publication of KR101501670B1 publication Critical patent/KR101501670B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/062Generation of reports related to network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

The present invention relates to a method for identifying attacking/abnormal traffic inducing users in a mobile communication network, the method comprising the steps of: collecting and analyzing a GTP user (GTP-U) message to detect attacking/abnormal traffic; extracting a key to be used for referring to an index hash table from the GTP-U message detected as the attacking/abnormal traffic; referring to the index hash table for an index value using the extracted key; referring to a session hash table using the index value; and identifying attacking/abnormal traffic inducing user using session information retrieved from the session hash table.

Description

이동통신망 공격/비정상 트래픽 유발 사용자 식별방법{USER IDENTIFICATION METHOD OF ATTACK/ANOMALY TRAFFIC IN MOBILE COMMUNICATION NETWORK}USER IDENTIFICATION METHOD OF ATTACK / ANOMALY TRAFFIC IN MOBILE COMMUNICATION NETWORK [0002]

본 발명은 이동통신망에서 공격/비정상 트래픽 유발 사용자를 식별할 수 있도록 하는 이동통신망 공격/비정상 트래픽 유발 사용자 식별방법에 관한 것이다.The present invention relates to a mobile communication network attack / abnormal traffic inducing user identification method for identifying an attack / abnormal traffic inducing user in a mobile communication network.

최근 이동통신망으로 유입되는 데이터 트래픽이 폭증하고 있으며, 테더링 서비스를 통해 유선 환경의 악성 트래픽이 이동통신망으로 유입되고 있다. 이에 따라 이동통신망의 잠재적 보안 위험성이 커지고 있으며, 이에 대응하여 이동통신사는 보안 장비를 설치하여 자사의 이동통신망을 보호하고 있다.Recently, the data traffic to the mobile communication network has been increasing, and malicious traffic in the wired environment is flowing into the mobile communication network through the tethering service. Accordingly, the potential security risk of the mobile communication network is increasing. In response, the mobile communication company has installed security equipment to protect its mobile communication network.

그러나, NAT(Network Address Translation) 기반의 이동통신망에서는 모바일 단말이 망에 접속할 때마다 사설 IP 주소를 동적으로 할당하기 때문에 비정상 행위를 하는 단말을 식별하기 어렵다.However, in a NAT (Network Address Translation) mobile communication network, it is difficult to identify a terminal performing an abnormal operation because a mobile terminal dynamically allocates a private IP address each time it connects to a network.

본 발명은 상기한 종래기술의 문제점을 해결하기 위하여 안출된 것으로, 실시간 세션 관리를 통해 이동통신망에서 공격/비정상 트래픽 유발 사용자를 식별할 수 있도록 하는 이동통신망 공격/비정상 트래픽 유발 사용자 식별방법을 제공하는데 그 목적이 있다.Disclosure of Invention Technical Problem [8] Accordingly, the present invention has been made keeping in mind the above problems occurring in the prior art, and an object of the present invention is to provide a mobile communication network attack / unauthorized traffic inducing user identification method capable of identifying an attack / It has its purpose.

상기한 과제를 해결하기 위하여, 본 발명에 따른 이동통신망 공격/비정상 트래픽 유발 사용자 식별방법은 GTP-U 메시지(GTP user data message)를 수집 및 분석하여 공격/비정상 트래픽을 탐지하는 단계와, 상기 공격/비정상 트래픽으로 탐지된 GTP-U 메시지로부터 인덱스 해시테이블 조회에 사용할 키를 추출하는 단계와, 상기 추출한 키를 이용하여 인덱스 해시테이블을 인덱스 값을 조회하는 단계와, 상기 조회된 인덱스 값을 키로 하여 세션 해시테이블을 조회하는 단계와, 상기 세션 해시테이블에서 조회된 세션 정보를 이용하여 공격/비정상 트래픽 유발 사용자를 식별하는 단계를 포함하는 것을 특징으로 한다.In order to solve the above problems, a method for identifying a user causing a mobile communication network attack / abnormal traffic according to the present invention includes collecting and analyzing a GTP-user message (GTP-U message) to detect an attack / / Extracting a key to be used for an index hash table lookup from a GTP-U message detected as an abnormal traffic, inquiring an index value of the index hash table using the extracted key, The method comprising the steps of: querying the session hash table; and identifying an attack / abnormal traffic inducing user using the session information searched in the session hash table.

또한, 상기 GTP-U 메시지는, 이동성 관리 엔티티와 서빙 게이트웨이 사이에 송수신되는 패킷 데이터인 것을 특징으로 한다.The GTP-U message is packet data transmitted and received between the mobility management entity and the serving gateway.

또한, 상기 인덱스 해시테이블 조회에 사용할 키 추출 단계는, 상기 GTP-U 메시지로부터 S1-U S-GW TEID(Tunnel Endpoint Identifier) 또는 S1-U eNB(evolved Node B) TEID와 eNB IP를 추출하는 것을 특징으로 한다.The key extracting step to be used in the index hash table retrieval may include extracting an S1-U S-GW TEID (Tunnel Endpoint Identifier) or an S1-U eNB (evolved Node B) TEID and an eNB IP from the GTP-U message .

상기 인덱스 해시테이블은, 상기 세션 해시테이블 조회에 사용되는 인덱스 값을 관리하는 것을 특징으로 한다.The index hash table manages index values used for the session hash table lookup.

또한, 상기 인덱스 해시테이블 및 세션 해시테이블은, 이동성 관리 엔티티와 서빙 게이트웨이 사이에 송수신되는 GTP-C 메시지(GTP control plane message)의 수집 및 분석을 통해 업데이트되는 것을 특징으로 한다.The index hash table and the session hash table are updated through collection and analysis of a GTP-C message (GTP control plane message) transmitted and received between the mobility management entity and the serving gateway.

본 발명은 실시간 세션 관리를 통해 이동통신망에서 공격/비정상 트래픽을 유발하는 사용자를 식별할 수 있다.The present invention can identify a user causing attack / unauthorized traffic in a mobile communication network through real-time session management.

도 1은 본 발명의 실시예에 따른 이동통신망 공격/비정상 트래픽 유발 사용자 식별 시스템의 구조도.
도 2는 도 1에 도시된 침입 탐지/방지 시스템을 도시한 블록구성도.
도 3은 본 발명과 관련된 해시 테이블 구조.
도 4는 본 발명의 실시예에 따른 세션 관리 방법을 도시한 흐름도.
도 5는 도 4의 세션 관리 방법에서 세션 생성 메시지 처리과정을 도시한 흐름도.
도 6은 도 4의 세션 관리 방법에서 세션 수정 메시지 처리과정을 도시한 흐름도.
도 7은 도 4의 세션 관리 방법에서 세션 해제 메시지 처리과정을 도시한 흐름도.
도 8은 도 4의 세션 관리 방법에서 세션 삭제 메시지 처리과정을 도시한 흐름도.
도 9는 본 발명의 실시예에 따른 공격/비정상 트래픽 유발 사용자 식별방법을 도시한 흐름도.1 is a structural diagram of a mobile communication network attack / abnormal traffic inducing user identification system according to an embodiment of the present invention;
FIG. 2 is a block diagram showing the intrusion detection / prevention system shown in FIG. 1. FIG.
3 is a hash table structure associated with the present invention;
4 is a flowchart illustrating a session management method according to an embodiment of the present invention.
5 is a flowchart illustrating a process of processing a session creation message in the session management method of FIG.
FIG. 6 is a flowchart illustrating a process of processing a session modification message in the session management method of FIG. 4;
FIG. 7 is a flowchart illustrating a process of processing a session release message in the session management method of FIG. 4;
8 is a flowchart illustrating a session deletion message processing process in the session management method of FIG.
9 is a flowchart illustrating an attack / abnormal traffic inducing user identification method according to an embodiment of the present invention.

이하, 첨부된 도면들을 참조하면 본 발명의 실시예를 구체적으로 설명한다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings.

본 발명은 4G 이동통신망에서 공격/비정상 트래픽을 유발하는 사용자를 식별하는 기술에 관한 것이다.TECHNICAL FIELD The present invention relates to a technique for identifying a user causing attack / unauthorized traffic in a 4G mobile communication network.

4G 이동통신망에서 사용되는 프로토콜은 GTP(GPRS Tunnelling Protocol)이다. GTP 프로토콜에서 GTP 제어 평면 메시지(GTP control plane messages, GTP-C)는 터널 정보를 교환하고, 터널 생성, 갱신, 삭제 등 터널을 관리하기 위해 사용된다. GTP-C 메시지의 종류 및 기능은 [표 1]과 같다. 그리고, GTP 사용자 데이터 메시지(GTP user data message, GTP-U)는 GTP 터널을 통해 T-PDUs를 전송할 때 사용된다. GTP 프로토콜은 헤더(header)에 각 사용자를 구분할 수 있는 고유한 값인 터널 종단 식별자(Tunnel Endpoint Identifier, TEID)를 포함하고 있으며, TEID는 단방향으로 방향성을 갖는다. 예를 들어, S11 SGW TEID는 S11(MME<->S-GW) 구간에서 사용되는 S-GW가 할당한 업링크(uplink) TEID이다.The protocol used in 4G mobile communication network is GTP (GPRS Tunneling Protocol). In the GTP protocol, GTP control plane messages (GTP-C) are used to exchange tunnels information and manage tunnels such as tunnel creation, update, and deletion. The types and functions of GTP-C messages are shown in [Table 1]. The GTP user data message (GTP-U) is used to transmit T-PDUs through the GTP tunnel. The GTP protocol includes a Tunnel Endpoint Identifier (TEID), which is a unique value that can distinguish each user in a header, and the TEID has a unidirectional directionality. For example, S11 SGW TEID is an uplink TEID allocated by the S-GW used in S11 (MME <-> S-GW).

Figure 112013110566300-pat00001
Figure 112013110566300-pat00001

도 1은 본 발명의 실시예에 따른 이동통신망 공격/비정상 트래픽 유발 사용자 식별 시스템의 구조를 도시한다.FIG. 1 illustrates a structure of a mobile communication network attack / abnormal traffic inducing user identification system according to an embodiment of the present invention.

도 1을 참조하면, 본 발명에 따른 시스템은 사용자 단말(User Equipment, 이하 'UE'라 함)(10), 기지국(evolved Node B, 이하 'eNB'라 함)(20), 이동성 관리 엔티티(Mobility Management Entity, 이하 'MME'라 함)(30), 서빙 게이트웨이(Serving Gateway, 이하 'S-GW'라 함)(40), 패킷 데이터 네트워크 게이트웨이(Packet Data Network Gateway 이하 'P-GW'라 함)(50), IP 네트워크(60), 침입 탐지/방지 시스템(70)을 포함한다.Referring to FIG. 1, a system according to the present invention includes a user equipment (UE) 10, an evolved Node B (eNB) 20, a mobility management entity A Mobility Management Entity (MME) 30, a Serving Gateway (S-GW) 40, a Packet Data Network Gateway (P-GW) ) 50, an IP network 60, and an intrusion detection / prevention system 70.

MME(30)는 eNB(20)과 연결되고 S-GW(40), P-GW(50), HSS(Home Subscriber Server)(미도시) 등과도 연결된다. MME(30)는 유휴 모드(idle)의 UE(10)를 관리하고, UE(10)을 페이징(paging)하는 역할도 한다. 이러한 MME(30)는 UE(10)가 EPC(Evolved Packet Core) 망에 연동하는데 필요한 시그널(signal)을 처리한다.The MME 30 is connected to the eNB 20 and is also connected to the S-GW 40, the P-GW 50, and the Home Subscriber Server (HSS) (not shown). The MME 30 also manages the UE 10 in the idle mode and paging the UE 10. The MME 30 processes a signal necessary for the UE 10 to interwork with the EPC (Evolved Packet Core) network.

S-GW(40)는 eNB(20)과 연결되며 MME(30) 및 P-GW(50)과도 연동한다. S-GW(40)는 UE(10)가 eNB(20)에 연결된 상태에서 데이터 서비스를 시작하면 사용자 트래픽을 eNB(20)와 EPC 망간에 전달하고 라우팅(routing)하는 역할을 한다. 또한, S-GW(40)는 UE(10)가 핸드오버(handover)하거나 로밍할 때도 데이터 서비스가 끊기지 않도록 관리한다.The S-GW 40 is connected to the eNB 20 and interworks with the MME 30 and the P-GW 50 as well. The S-GW 40 is responsible for delivering and routing user traffic between the eNB 20 and the EPC when the UE 10 starts a data service in a state connected to the eNB 20. In addition, the S-GW 40 manages data services not to be disconnected even when the UE 10 performs handover or roaming.

P-GW(50)는 UE(10)의 IP(Internet Protocol) 주소를 할당하고, EPC 망 내 패킷 데이터를 주고받고 처리하는 기능을 수행한다. 또한, P-GW(50)는 베어러(bearer) 대역을 결정하고, 패킷 데이터에 대한 포워딩(Forwarding) 및 라우팅(Routing) 기능을 담당한다.The P-GW 50 allocates an IP (Internet Protocol) address of the UE 10, and transmits and receives packet data in the EPC network. In addition, the P-GW 50 determines a bearer band, and performs forwarding and routing functions for packet data.

이 때, 통상적으로 eNB(20)와 S-GW(40) 사이는 S1 인터페이스, MME(30)과 S-GW(40) 사이는 S11 인터페이스, S-GW(106)과 P-GW (108) 사이는 S5 인터페이스라고 명명한다.The S-GW 106 and the P-GW 108 are connected to each other between the eNB 20 and the S-GW 40 and between the MME 30 and the S-GW 40, Is referred to as the S5 interface.

이외에도 HSS(Home Subscriber Sever)(미도시)는 UE(10)별 가입 정보를 저장하고 있으며, UE(10)가 네트워크에 접속 시 MME(30)에게 UE(10) 관련 정보를 전달하여 MME(30)가 UE(10)를 제어하는 데 사용하도록 한다.In addition, a Home Subscriber Sever (HSS) (not shown) stores subscription information for each UE 10. When the UE 10 accesses the network, it transmits information related to the UE 10 to the MME 30 To be used to control the UE 10.

UE(10)는 eNB(20)에 접속한 경우, eNB(20), S-GW(40), P-GW(50)를 경유하는 데이터 전송 경로를 이용하여 IP 네트워크(60)에 접속한다.When the UE 10 is connected to the eNB 20, the UE 10 accesses the IP network 60 using a data transmission path via the eNB 20, the S-GW 40, and the P-GW 50.

침입 탐지/방지 시스템(70)은 도 2에 도시된 바와 같이 세션관리장치(71), 데이터베이스(이하, ‘DB’라 함)(72), 탐지장치(73), 식별장치(74)를 포함한다.The intrusion detection / prevention system 70 includes a session management apparatus 71, a database 72 (hereinafter referred to as "DB"), a detection apparatus 73, and an identification apparatus 74 as shown in FIG. 2 do.

세션관리장치(71)는 MME(30)과 S-GW(40) 사이에 업링크(uplink) 및 다운링크(downlink)되는 제어 메시지를 수집하여 각 사용자 세션(session))을 관리한다. 여기서, 제어 메시지는 GTP 제어 평면 메시지(GTP control plane message, 이하, ‘GTP-C 메시지’라 함)이다. GTP-C 메시지는 터널(tunnel) 정보를 교환하고, 터널 생성 및 갱신, 삭제 등 터널(세션)을 관리하기 위해 사용된다.The session management apparatus 71 collects uplink and downlink control messages between the MME 30 and the S-GW 40 to manage each user session. Here, the control message is a GTP control plane message (hereinafter, referred to as 'GTP-C message'). The GTP-C message is used to exchange tunnels, manage tunnels (sessions) such as creating, updating, and deleting tunnels.

세션관리장치(71)는 해시 테이블(hash table)을 이용하여 세션 정보를 관리한다.The session management apparatus 71 manages session information using a hash table.

이러한 해시 테이블은 DB(72)에 저장되며, 도 3에 도시된 바와 같이 임시 해시 테이블(Temp Hash Table, 이하 '임시 테이블'이라 함), 5개의 인덱스 해시 테이블(Index Hash Table, 이하 '인덱스 테이블'이라 함), 세션 해시 테이블(Session Hash Table, 이하 '세션 테이블'이라 함)로 구성된다. 테이블의 각 레코드는 키(key)와 값(value)로 구성된다.This hash table is stored in the DB 72 and has a temporary hash table (hereinafter referred to as 'temporary table'), five index hash tables Quot;), and a session hash table (hereinafter referred to as a &quot; session table &quot;). Each record in the table consists of a key and a value.

임시 테이블은 GTP-C 메시지별 요청(request)/응답(response) 메시지 쌍을 맵핑하기 위한 것이고, 세션 테이블은 각 사용자 세션이 관리되는 테이블이다. 그리고, 인덱스 테이블은 세션 테이블을 조회하기 위한 인덱스 값을 관리하는 테이블이다.The temporary table is for mapping a GTP-C message-specific request / response message pair, and the session table is a table in which each user session is managed. The index table is a table for managing index values for querying the session table.

도 4는 본 발명의 실시예에 따른 세션 관리 방법을 도시한 흐름도이다.4 is a flowchart illustrating a session management method according to an embodiment of the present invention.

세션관리장치(71)는 MME(30)와 S-GW(40) 사이에 주고받는 제어 메시지인 GTP-C 메시지를 수신한다(S1). 여기서, GTP-C 메시지는 패킷(packet) 형태로 전송된다.The session management apparatus 71 receives a GTP-C message, which is a control message exchanged between the MME 30 and the S-GW 40 (S1). Here, the GTP-C message is transmitted in the form of a packet.

세션관리장치(71)는 GTP-C 메시지가 수신되면 해당 메시지가 요청 메시지인지를 확인한다(S2).When the GTP-C message is received, the session management device 71 confirms whether the corresponding message is a request message (S2).

상기 수신한 GTP-C 메시지가 요청 메시지이면, 세션관리장치(71)는 임시 테이블에 레코드를 추가하고 그 추가된 레코드에 수신한 GTP-C 메시지에 대한 정보를 기록한다(S3). 이때, 세션관리장치(71)는 GTP-C 메시지로부터 MME IP와 순서번호(sequence number)를 추출하여 조합하므로, 키(key)를 생성한다.If the received GTP-C message is a request message, the session management device 71 adds a record to the temporary table and records information on the received GTP-C message in the added record (S3). At this time, the session management device 71 extracts and combines the MME IP and the sequence number from the GTP-C message and generates a key.

한편, 상기 단계(S2)에서 수신한 GTP-C 메시지가 요청 메시지가 아닌 응답 메시지이면, 세션관리장치(71)는 수신한 GTP-C 메시지에서 MME IP와 순서번호를 추출하여 조합하고, 그 조합을 키로 사용하여 임시 테이블을 조회한다(S4).If the GTP-C message received in step S2 is not a request message but a response message, the session management device 71 extracts and combines the MME IP and the sequence number in the received GTP-C message, Is used as a key to inquire the temporary table (S4).

임시 테이블 조회결과, 임시 테이블에 일치하는 키가 존재하면 세션관리장치(71)는 해당 키에 대응되는 레코드 값을 GTP-C 메시지에 대한 정보로 업데이트한다(S5, S6).As a result of the temporary table inquiry, if there is a matching key in the temporary table, the session management device 71 updates the record value corresponding to the corresponding key with information about the GTP-C message (S5, S6).

이후, 세션관리장치(71)는 수신한 GTP-C 메시지의 메시지 종류를 확인하고, 그 확인된 메시지 종류에 따라 해당 메시지를 처리한다(S7). 즉, 세션관리장치(71)는 수신한 GTP-C 메시지의 종류에 따라 GTP 터널(세션) 정보를 관리한다.Thereafter, the session management device 71 confirms the message type of the received GTP-C message and processes the corresponding message according to the confirmed message type (S7). That is, the session management device 71 manages GTP tunnel (session) information according to the type of the received GTP-C message.

세션관리장치(71)는 수신한 GTP-C 메시지의 처리가 완료되면 임시 테이블에서 수신한 GTP-C 메시지의 정보가 기록된 레코드를 삭제한다(S8). 즉, 세션관리장치(71)는 수신한 GTP-C 메시지의 MME IP와 순서번호의 조합 키와 일치하는 키의 레코드를 임시 테이블에서 삭제한다.When the processing of the received GTP-C message is completed, the session management apparatus 71 deletes the record in which the information of the GTP-C message received in the temporary table is recorded (S8). That is, the session management device 71 deletes the record of the key that matches the combination key of the MME IP and the sequence number of the received GTP-C message from the temporary table.

도 5는 도 4의 세션 관리 방법에서 세션 생성 메시지 처리과정을 도시한 흐름도이다.5 is a flowchart illustrating a process of processing a session creation message in the session management method of FIG.

세션관리장치(71)는 수신한 GTP-C 메시지가 터널 생성 메시지이면 해당 메시지로부터 S11 S-GW TEID, S11 MME TEID, S1-U S-GW TEID, UE IP, EBI(Evolved Packet System Bearer ID), MME IP, IMSI(International Mobile Subscriber Identity) 등을 추출한다. 그리고, 세션관리장치(71)는 추출한 정보들을 선택적으로 조합하여 키와 인덱스 값을 생성한다.If the received GTP-C message is a tunnel creation message, the session management apparatus 71 extracts the S11 S-GW TEID, the S11 MME TEID, the S1-U S-GW TEID, the UE IP, and the Evolved Packet System Bearer ID (EBI) , MME IP, and International Mobile Subscriber Identity (IMSI). Then, the session management device 71 selectively combines the extracted information to generate a key and an index value.

세션관리장치(71)는 업링크 제어(UC) 인덱스 테이블, 다운링크 제어(DC) 인덱스 테이블, 업링크 데이터(UD) 인덱스 테이블, IP 인덱스 테이블에 각각 레코드를 추가하여 상기 생성한 키와 인덱스 값을 기록한다(S711).The session management apparatus 71 adds records to the uplink control (UC) index table, the downlink control (DC) index table, the uplink data (UD) index table, and the IP index table, (S711).

세션관리장치(71)는 세션 테이블에 레코드를 추가하고 상기 생성된 인덱스 값을 키로 하여 상기 수신한 GTP-C 메시지에 포함된 세션 정보를 기록한다(S712).The session management apparatus 71 adds a record to the session table and records the session information included in the received GTP-C message using the generated index value as a key (S712).

도 6은 도 4의 세션 관리 방법에서 세션 수정 메시지 처리과정을 도시한 흐름도이다.6 is a flowchart illustrating a process of processing a session modification message in the session management method of FIG.

세션관리장치(71)는 수신한 GTP-C 메시지가 터널 수정 메시지이면 해당 메시지에서 S11 S-GW TEID와 EBI를 추출하고, 그 추출된 S11 S-GW TEID와 EBI의 조합으로 키를 생성한다. 세션관리장치(71)는 그 생성된 키와 일치하는 키를 UC 해시 테이블에서 조회한다(S721).If the received GTP-C message is a tunnel modification message, the session management apparatus 71 extracts S11 S-GW TEID and EBI from the corresponding message, and generates a key by combining the extracted S11 S-GW TEID and EBI. The session management apparatus 71 inquires of the UC hash table the key matching the generated key (S721).

그 조회결과, 일치하는 키가 존재하면 세션관리장치(71)는 조회된 키의 인덱스 값을 추출하고(S722, S723), 그 추출된 인덱스 값을 키로 하여 세션 테이블을 조회한다(S724).If a matching key exists, the session management device 71 extracts the index value of the inquired key (S722, S723), and inquires the session table using the extracted index value as a key (S724).

세션관리장치(71)는 추출된 값과 일치하는 키가 조회되면 해당 키의 레코드 값을 수신한 GTP-C 메시지에 포함된 세션정보로 업데이트한다(S725).When the key corresponding to the extracted value is inquired, the session management device 71 updates the record value of the key with the session information included in the received GTP-C message (S725).

도 7은 도 4의 세션 관리 방법에서 세션 해제 메시지 처리과정을 도시한 흐름도이다.7 is a flowchart illustrating a process of processing a session release message in the session management method of FIG.

세션관리장치(71)는 수신한 GTP-C 메시지가 터널 해지 메시지이면 해당 메시지로부터 S11 S-GW TEID 및 EBI를 추출하고, 그 추출한 S11 S-GW TEID 및 EBI를 조합하여 키를 생성한다. 그리고, 세션관리장치(71)는 생성한 키와 일치하는 키를 UC 인덱스 테이블에서 조회한다(S731).If the received GTP-C message is a tunnel revocation message, the session management apparatus 71 extracts S11 S-GW TEID and EBI from the corresponding message, and generates a key by combining the extracted S11 S-GW TEID and EBI. Then, the session management device 71 inquires of the UC index table of the key that matches the generated key (S731).

그 결과, 인덱스 테이블에 일치하는 키가 존재하면 세션관리장치(71)는 그 일치하는 키의 인덱스 값(IMSI + EBI)을 추출하고(S732, S733), 그 추출한 키의 인덱스 값을 키로 하여 세션 테이블을 조회한다(S734).As a result, if a key corresponding to the index table exists, the session management device 71 extracts the index value (IMSI + EBI) of the matching key (S732, S733) The table is inquired (S734).

세션 테이블에서 일치하는 키가 존재하면 세션관리장치(71)는 조회된 키의 레코드값을 추출하여 삭제한다(S735).If there is a matching key in the session table, the session management device 71 extracts the record value of the inquired key and deletes it (S735).

그리고, 세션관리장치(71)는 UD 및 DD 인덱스 테이블을 조회하여 일치하는 키가 존재하면 해당 키의 레코드를 삭제한다(S736, S737).Then, the session management device 71 inquires the UD and DD index tables and deletes the record of the corresponding key if there is a matching key (S736, S737).

도 8은 도 4의 세션 관리 방법에서 세션 삭제 메시지 처리과정을 도시한 흐름도이다.8 is a flowchart illustrating a session deletion message processing process in the session management method of FIG.

세션관리장치(71)는 수신한 GTP-C 메시지가 터널 삭제이면 해당 메시지로부터 S11 S-GW TEID 및 EBI를 추출하고, 그 추출한 S11 S-GW TEID 및 EBI를 조합하여 키를 생성한다.If the received GTP-C message is a tunnel deleted, the session management apparatus 71 extracts S11 S-GW TEID and EBI from the corresponding message, and generates a key by combining the extracted S11 S-GW TEID and EBI.

세션관리장치(71)는 그 생성한 키를 이용하여 UC 인덱스 테이블을 조회하여 일치하는 키가 존재하면, 해당 키의 인덱스 값을 추출한다(S741 내지 S743).The session management device 71 inquires the UC index table using the generated key, and if there is a matching key, extracts the index value of the corresponding key (S741 to S743).

세션관리장치(71)는 그 추출한 인덱스 값을 키로 하여 세션 테이블을 조회하고(S744), 조회된 레코드로부터 UC/DC/UD/DD/IP 인덱스 테이블 조회를 위한 키를 추출한다(S745).The session management device 71 inquires the session table using the extracted index value as a key in step S744 and extracts a key for inquiring the UC / DC / UD / DD / IP index table from the inquired record in step S745.

키 추출 후 세션관리장치(71)는 세션 테이블에서 조회된 레코드를 삭제한다(S746).After extracting the key, the session management device 71 deletes the inquired record in the session table (S746).

세션관리장치(71)는 그 추출한 키를 이용하여 UC/DC/UD/DD/IP 인덱스 테이블을 조회한다(S747). 그리고, 세션관리장치(71)는 모든 인덱스 테이블에서 조회된 레코드를 삭제한다(S748).The session management device 71 inquires the UC / DC / UD / DD / IP index table using the extracted key (S747). Then, the session management device 71 deletes the inquired record in all the index tables (S748).

도 9는 본 발명의 실시예에 따른 공격/비정상 트래픽 유발 사용자 식별방법을 도시한 흐름도이다.9 is a flowchart illustrating an attack / abnormal traffic inducing user identification method according to an embodiment of the present invention.

먼저, 침입 탐지/방지 시스템(70)의 탐지장치(73)은 MME(30)와 S-GW(40) 사이에 송수신되는 사용자 데이터를 수집하여 분석하고, 그 분석결과에 근거하여 공격/비정상 트래픽을 탐지한다(S11, S12). 여기서, 사용자 데이터는 GTP 사용자 데이터 메시지(GTP user data message, 이하, 'GTP-U 메시지'라 함)이다. 공격/비정상 트래픽이 탐지되면, 탐지장치(73)은 공격/비정상 트래픽으로 판별된 GTP-U 메시지를 식별장치(74)로 전달한다.First, the detection device 73 of the intrusion detection / prevention system 70 collects and analyzes user data transmitted and received between the MME 30 and the S-GW 40, and based on the analysis result, (S11, S12). Here, the user data is a GTP user data message (GTP-U message). When the attack / abnormal traffic is detected, the detection device 73 delivers the GTP-U message determined as the attack / abnormal traffic to the identification device 74.

식별장치(74)는 GTP-U 메시지에서 인덱스 테이블 조회에 사용할 키를 추출한다(S13). 여기서, 식별장치(74)는 S1-U S-GW TEID 또는 S1-U eNB TEID와 eNB IP를 추출한다.The identification device 74 extracts a key to be used in the index table inquiry in the GTP-U message (S13). Here, the identification device 74 extracts the S1-US-GW TEID or the S1-U eNB TEID and the eNB IP.

식별장치(74)는 추출한 키를 사용하여 UD 및 DD 인덱스 테이블을 조회한다(S14).The identifying device 74 inquires the UD and the DD index table using the extracted key (S14).

식별장치(74)는 추출한 키와 일치하는 키가 존재하면 해당 키의 인덱스 값을 추출한다(S15).If there is a key that matches the extracted key, the identification device 74 extracts the index value of the key (S15).

식별장치(74)는 인덱스 값을 키로 하여 세션 테이블을 조회한다(S16).The identifying device 74 inquires the session table using the index value as a key (S16).

그리고, 식별장치(74)는 세션 테이블에서 조회된 인덱스 값과 일치하는 키의 레코드 값을 추출한다(S17). 여기서, 식별장치(74)는 추출된 레코드 값 분석을 통해 공격/비정상 트래픽 유발 사용자를 식별한다. 이와 같이, 본 발명은 세션 관리를 통해 공격/비정상 트래픽이 탐지되면 해당 트래픽을 유발한 사용자를 식별할 수 있다. Then, the identifying device 74 extracts a record value of the key that matches the searched index value in the session table (S17). Here, the identification device 74 identifies an attack / abnormal traffic-inducing user through analysis of the extracted record value. As described above, when attack / abnormal traffic is detected through the session management, the present invention can identify the user who caused the traffic.

상술한 바와 같이, 본 발명이 도면에 도시된 실시예를 참고하여 설명되었으나, 이는 예시적인 것들에 불과하며, 본 발명이 속하는 기술 분야의 통상의 지식을 가진 자라면 본 발명의 요지 및 범위를 벗어나지 않으면서도 다양한 변형, 변경 및 균등한 타 실시예들이 가능하다는 것을 명백하게 알 수 있을 것이다. 따라서, 본 발명의 진정한 기술적 보호범위는 첨부된 등록청구범위의 기술적 사상에 의해 정해져야 할 것이다.While the present invention has been described with reference to exemplary embodiments thereof, it will be understood by those of ordinary skill in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined by the appended claims. It will be apparent that various modifications, alterations, and other equivalent embodiments are possible without departing from the scope of the invention. Accordingly, the true scope of the present invention should be determined by the technical idea of the appended claims.

10:UE
20: eNB
30: MME
40: S-GW
50: P-GW
60: IP Network
70: 침입 탐지/방지 시스템10: UE
20: eNB
30: MME
40: S-GW
50: P-GW
60: IP Network
70: Intrusion detection / prevention system

Claims (5)

GTP-U 메시지(GTP user data message)를 수집 및 분석하여 공격/비정상 트래픽을 탐지하는 단계와,
상기 공격/비정상 트래픽으로 탐지된 GTP-U 메시지로부터 인덱스 해시테이블 조회에 사용할 키인 S1-U S-GW TEID(Tunnel Endpoint Identifier) 또는 S1-U eNB(evolved Node B) TEID와 eNB IP를 추출하는 단계와,
상기 추출한 키를 이용하여 UD 및 DD 인덱스 해시테이블을 조회하여 상기 추출한 키와 일치하는 키가 존재하면 해당 키의 인덱스 값을 추출하는 단계와,
상기 추출된 인덱스 값을 키로 하여 세션 해시테이블을 조회하는 단계와,
상기 세션 해시테이블에서 조회된 세션 정보를 이용하여 공격/비정상 트래픽 유발 사용자를 식별해 내는 단계를 포함하는 것을 특징으로 하는 이동통신망 공격/비정상 트래픽 유발 사용자 식별방법.Collecting and analyzing a GTP-user message (GTP-U message) to detect attack / unauthorized traffic;
Extracting an S1-U S-GW TEID (Tunnel Endpoint Identifier) or an S1-U eNB (evolved Node B) TEID and an eNB IP, which is a key for use in an index hash table inquiry from the GTP-U message detected as the attack / Wow,
Retrieving a UD and DD index hash table using the extracted key and extracting an index value of the extracted key if a key corresponding to the extracted key exists;
Querying the session hash table using the extracted index value as a key,
And identifying the attacking / abnormal traffic inducing user by using the session information retrieved from the session hash table. 제1항에 있어서,
상기 GTP-U 메시지는,
이동성 관리 엔티티와 서빙 게이트웨이 사이에 송수신되는 패킷 데이터인 것을 특징으로 하는 이동통신망 공격/비정상 트래픽 유발 사용자 식별방법.The method according to claim 1,
The GTP-U message includes:
Wherein the packet data is packet data transmitted and received between the mobility management entity and the serving gateway. 삭제delete 제1항에 있어서,
상기 인덱스 해시테이블은,
상기 세션 해시테이블 조회에 사용되는 인덱스 값을 관리하는 것을 특징으로 하는 이동통신망 공격/비정상 트래픽 유발 사용자 식별방법.The method according to claim 1,
The index hash table includes:
And managing index values used in the session hash table lookup. 제1항에 있어서,
상기 인덱스 해시테이블 및 세션 해시테이블은,
이동성 관리 엔티티와 서빙 게이트웨이 사이에 송수신되는 GTP-C 메시지(GTP control plane message)의 수집 및 분석을 통해 업데이트되는 것을 특징으로 하는 이동통신망 공격/비정상 트래픽 유발 사용자 식별방법.The method according to claim 1,
The index hash table and the session hash table are stored in the index hash table,
Wherein the GTP control plane message is updated by collecting and analyzing a GTP-C message transmitted and received between the mobility management entity and the serving gateway.
KR20130149106A 2013-12-03 2013-12-03 User identification method of attack/anomaly traffic in mobile communication network KR101501670B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR20130149106A KR101501670B1 (en) 2013-12-03 2013-12-03 User identification method of attack/anomaly traffic in mobile communication network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR20130149106A KR101501670B1 (en) 2013-12-03 2013-12-03 User identification method of attack/anomaly traffic in mobile communication network

Publications (1)

Publication Number Publication Date
KR101501670B1 true KR101501670B1 (en) 2015-03-12

Family

ID=53027273

Family Applications (1)

Application Number Title Priority Date Filing Date
KR20130149106A KR101501670B1 (en) 2013-12-03 2013-12-03 User identification method of attack/anomaly traffic in mobile communication network

Country Status (1)

Country Link
KR (1) KR101501670B1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101713907B1 (en) * 2015-10-05 2017-03-09 주식회사 윈스 Method and system for providing traffic correlation analysis service based on event generating time security network
CN113596098A (en) * 2021-07-01 2021-11-02 杭州迪普科技股份有限公司 Session retrieval method, device, equipment and computer-readable storage medium
KR102504207B1 (en) * 2022-07-22 2023-02-27 한국인터넷진흥원 System and method for detecting PFCP-IN-GTP packet in 5G standalone

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101228089B1 (en) * 2012-09-10 2013-02-01 한국인터넷진흥원 Ip spoofing detection apparatus

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101228089B1 (en) * 2012-09-10 2013-02-01 한국인터넷진흥원 Ip spoofing detection apparatus

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101713907B1 (en) * 2015-10-05 2017-03-09 주식회사 윈스 Method and system for providing traffic correlation analysis service based on event generating time security network
CN113596098A (en) * 2021-07-01 2021-11-02 杭州迪普科技股份有限公司 Session retrieval method, device, equipment and computer-readable storage medium
CN113596098B (en) * 2021-07-01 2023-04-25 杭州迪普科技股份有限公司 Session retrieval method, apparatus, device and computer readable storage medium
KR102504207B1 (en) * 2022-07-22 2023-02-27 한국인터넷진흥원 System and method for detecting PFCP-IN-GTP packet in 5G standalone

Similar Documents

Publication Publication Date Title
JP4628990B2 (en) Subscriber record generation method and apparatus
US9942825B1 (en) System and method for lawful interception (LI) of Network traffic in a mobile edge computing environment
CN104486743B (en) A method of user information correlation is carried out to each interface XDR data of core net
US10129110B2 (en) Apparatus and method of identifying a user plane identifier of a user device by a monitoring probe
JP4731876B2 (en) COMMUNICATION SYSTEM, WIRELESS LAN BASE STATION CONTROL DEVICE, AND WIRELESS LAN BASE STATION DEVICE
CN108111320B (en) Local service charging method, server and charging gateway
US10785688B2 (en) Methods and systems for routing mobile data traffic in 5G networks
US11039338B2 (en) Methods, systems, and computer readable media for control plane traffic filtering in a control and user plane separation (CUPS) environment
WO2015030458A1 (en) Apparatus and method for detecting abnormal call
CN105874756B (en) The transmission method and equipment of control signaling
KR20130087932A (en) Method and apparatus for mapping locator and identifier of mobile host
KR101501670B1 (en) User identification method of attack/anomaly traffic in mobile communication network
US9510377B2 (en) Method and apparatus for managing session based on general packet radio service tunneling protocol network
WO2016070633A1 (en) Network log generation method and device
EP3043598A1 (en) Routing method between base stations, serving gateway and base station
CN113169884B (en) Removing application identifiers
CN106572436A (en) Method and device for identifying user position in LTE network
KR101499022B1 (en) Apparatus and method for detecting abnormal MMS message in 4G mobile network
KR101534161B1 (en) Apparatus and method for user session management in 4G mobile network
JP6580008B2 (en) Name resolution device, name resolution system, name resolution method, and name resolution program
KR101418967B1 (en) A Method for Managing User Session in Mobile Communication Network
CN111277552A (en) Method, device and storage medium for identifying direct signaling security threat
JP4624325B2 (en) Packet data network subscriber record creation method and apparatus
CN107438275B (en) Information acquisition method and device
KR101434155B1 (en) Method for Detecting Abnormal Packets by IP Spoofing in Mobile Communication Network

Legal Events

Date Code Title Description
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180306

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20190227

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20200213

Year of fee payment: 6