KR101516233B1 - 4g 모바일 네트워크에서의 비정상 sip refer 메시지 탐지 장치 및 방법 - Google Patents

4g 모바일 네트워크에서의 비정상 sip refer 메시지 탐지 장치 및 방법 Download PDF

Info

Publication number
KR101516233B1
KR101516233B1 KR1020130151530A KR20130151530A KR101516233B1 KR 101516233 B1 KR101516233 B1 KR 101516233B1 KR 1020130151530 A KR1020130151530 A KR 1020130151530A KR 20130151530 A KR20130151530 A KR 20130151530A KR 101516233 B1 KR101516233 B1 KR 101516233B1
Authority
KR
South Korea
Prior art keywords
refer message
packet
sip refer
user terminal
gtp
Prior art date
Application number
KR1020130151530A
Other languages
English (en)
Inventor
임채태
오주형
김세권
조준형
장웅
구본민
박성민
우수정
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020130151530A priority Critical patent/KR101516233B1/ko
Priority to PCT/KR2014/008835 priority patent/WO2015083925A1/en
Application granted granted Critical
Publication of KR101516233B1 publication Critical patent/KR101516233B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1073Registration or de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1101Session protocols
    • H04L65/1104Session initiation protocol [SIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/1016IP multimedia subsystem [IMS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/08Upper layer protocols
    • H04W80/10Upper layer protocols adapted for application session management, e.g. SIP [Session Initiation Protocol]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Multimedia (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer Security & Cryptography (AREA)
  • Telephonic Communication Services (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

4G 모바일 네트워크에서의 비정상 SIP REFER 메시지 탐지 장치 및 방법이 제공된다. 상기 4G 모바일 네트워크에서의 비정상 SIP REFER 메시지 탐지 장치는 GTP(GPRS Tunneling Protocol)-U 패킷의 헤더로부터 제1 TEID를 추출하고, 페이로드 내의 SIP(Session Initiation Protocol) REFER 메시지로부터 제1 사용자 단말 식별번호를 추출하는 패킷 정보 추출부, 제2 TEID 및 제2 사용자 단말 식별번호를 포함하는 세션 정보를 저장하는 세션 정보 저장부, 상기 제1 TEID와 상기 제2 TEID가 서로 동일하고, 상기 제1 사용자 단말 식별 번호와 상기 제2 사용자 단말 식별 번호가 서로 다른지에 기초하여, 상기 SIP REFER 메시지가 비정상 SIP REFER 메시지인지 탐지하는 패킷 분석부, 및 상기 SIP REFER 메시지가 비정상 SIP REFER 메시지이면, 탐지 정책에 따라 상기 GTP-U 패킷을 처리하는 패킷 처리부를 포함하되, 상기 SIP REFER 메시지는 상기 SIP REFER 메시지를 전송한 발신자 단말의 정보가 등록된 CSCF(Call Session Control Function) 서버에 의해서 착신자 단말에게 전송된다.

Description

4G 모바일 네트워크에서의 비정상 SIP REFER 메시지 탐지 장치 및 방법{APPARATUS AND METHOD FOR DETECTING ABNORMAL SIP REFER MESSAGE IN 4G MOBILE NETWORKS}
본 발명은 비정상 SIP REFER 메시지 탐지 장치 및 방법에 관한 것으로, 보다 상세하게는 4G 모바일 네트워크에서의 비정상 SIP REFER 메시지 탐지 장치 및 방법에 관한 것이다.
GTP(GPRS Tunneling Protocol)는 이동 통신 네트워크, 특히 3G 또는 4G 네트워크 내에서 사용되는 프로토콜로서, 시그널링을 위한 GTP-C 패킷과 데이터 전송을 위한 GTP-U 패킷으로 구성된다.
이동 통신 네트워크 내에서는 VoLTE 호 설정을 위한 SIP(Session Initiaion Protocol) 메시지가 GTP 패킷에 포함되어 전송될 수 있다. SIP 메시지는 메시지 바디에 해당하는 SIP REFER 메시지를 포함할 수 있다.
이러한 GTP는, 사용자 단말기(예를 들어, 스마트폰 등)의 데이터 서비스를 위하여, 데이터 호 설정, 갱신, 삭제 등과 같은 시그널링 및 데이터 전송을 수행하도록 고안되었으나, 이동 통신 네트워크를 위협하는 공격 등에 대한 침입 탐지 방법은 고려되지 않았다.
따라서, SIP REFER 메시지 내의 사용자 단말 식별번호가 조작된 경우에도, GTP 패킷은 제약 없이 외부 네트워크(예를 들어, IMS 네트워크)로 전달될 수 있다. 그리고, 이러한 비정상 SIP REFER 메시지는 IMS 네트워크를 구성하는 CSCF(Call Session Control Function) 서버의 정보 유출에 악용되는 등의 위협이 될 수 있다.
한국공개특허 제10-2012-0100872호에는 GTP를 사용하는 모바일 환경에서의 IP 스푸핑 탐지 장치 및 방법에 관하여 개시되어 있다.
본 발명이 해결하려는 과제는, 4G 모바일 네트워크 내에서 CSCF 서버의 정보 유출에 악용될 수 있는 비정상 SIP REFER 메시지를 탐지할 수 있는, 비정상 SIP REFER 메시지 탐지 장치를 제공하는 것이다.
본 발명이 해결하려는 다른 과제는, 4G 모바일 네트워크 내에서 CSCF 서버의 정보 유출에 악용될 수 있는 비정상 SIP REFER 메시지를 탐지할 수 있는, 비정상 SIP REFER 메시지 탐지 방법을 제공하는 것이다.
본 발명이 해결하려는 과제들은 이상에서 언급한 과제들로 제한되지 않으며, 언급되지 않은 또 다른 과제들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
상기 과제를 해결하기 위한 본 발명의 4G 모바일 네트워크에서의 비정상 SIP REFER 메시지 탐지 장치의 일 면(aspect)은 GTP(GPRS Tunneling Protocol)-U 패킷의 헤더로부터 제1 TEID를 추출하고, 페이로드 내의 SIP(Session Initiation Protocol) REFER 메시지로부터 제1 사용자 단말 식별번호를 추출하는 패킷 정보 추출부, 제2 TEID 및 제2 사용자 단말 식별번호를 포함하는 세션 정보를 저장하는 세션 정보 저장부, 상기 제1 TEID와 상기 제2 TEID가 서로 동일하고, 상기 제1 사용자 단말 식별 번호와 상기 제2 사용자 단말 식별 번호가 서로 다른지에 기초하여, 상기 SIP REFER 메시지가 비정상 SIP REFER 메시지인지 탐지하는 패킷 분석부, 및 상기 SIP REFER 메시지가 비정상 SIP REFER 메시지이면, 탐지 정책에 따라 상기 GTP-U 패킷을 처리하는 패킷 처리부를 포함하되, 상기 SIP REFER 메시지는 상기 SIP REFER 메시지를 전송한 발신자 단말의 정보가 등록된 CSCF(Call Session Control Function) 서버에 의해서 착신자 단말에게 전송된다.
상기 과제를 해결하기 위한 본 발명의 4G 모바일 네트워크에서의 비정상 SIP REFER 메시지 탐지 장치의 다른 면은 GTP(GPRS Tunneling Protocol)-U 패킷의 헤더로부터 제1 TEID를 추출하고, 페이로드 내의 SIP(Session Initiation Protocol) REFER 메시지로부터 제1 사용자 단말 식별번호를 추출하는 GTP-U 패킷 정보 추출부, GTP-C 패킷의 페이로드로부터 제2 TEID 및 제2 사용자 단말 식별번호를 추출하는 GTP-C 패킷 정보 추출부, 상기 제2 TEID 및 상기 제2 사용자 단말 식별번호를 포함하는 세션 정보를 저장하는 세션 정보 저장부, 상기 제1 TEID와 상기 제2 TEID, 및 상기 제1 사용자 단말 식별번호와 상기 제2 사용자 단말 식별번호의 비교 결과에 기초하여, 상기 SIP REFER 메시지가 비정상 SIP REFER 메시지인지 탐지하는 패킷 분석부, 및 상기 SIP REFER 메시지가 비정상 SIP REFER 메시지이면, 탐지 정책에 따라 상기 GTP-U 패킷을 처리하는 패킷 처리부를 포함하되, 상기 SIP REFER 메시지는 상기 SIP REFER 메시지를 전송한 발신자 단말의 정보가 등록된 CSCF(Call Session Control Function) 서버에 의해서 착신자 단말에게 전송된다.
상기 과제를 해결하기 위한 본 발명의 4G 모바일 네트워크에서의 비정상 SIP REFER 메시지 탐지 시스템의 일 면은 세션 정보를 이용하여 비정상 SIP(Session Initiation Protocol) REFER 메시지를 탐지하는 비정상 SIP REFER 메시지 탐지 장치, 및 GTP(GPRS Tunneling Protocol)-C 패킷으로부터 상기 세션 정보를 추출하여 생성하는 세션 정보 수집 장치를 포함하되, 상기 비정상 SIP REFER 메시지 탐지 장치는, 상기 세션 정보 수집 장치로부터 제2 TEID 및 제2 사용자 단말 식별번호를 포함하는 상기 세션 정보를 수신하여 저장하는 세션 정보 저장부와, GTP-U 패킷의 헤더로부터 제1 TEID를 추출하고, 페이로드 내의 SIP REFER 메시지로부터 제1 사용자 단말 식별번호를 추출하는 GTP-U 패킷 정보 추출부와, 상기 제1 TEID와 상기 제2 TEID, 및 상기 제1 사용자 단말 식별번호와 상기 제2 사용자 단말 식별번호의 비교 결과에 기초하여, 상기 SIP REFER 메시지가 비정상 SIP REFER 메시지인지 탐지하는 패킷 분석부와, 상기 SIP REFER 메시지가 비정상 SIP REFER 메시지이면, 탐지 정책에 따라 상기 GTP-U 패킷을 처리하는 패킷 처리부를 포함하고, 상기 세션 정보 수집 장치는, 상기 GTP-C 패킷의 페이로드로부터 상기 제2 TEID 및 상기 제2 사용자 단말 식별번호를 추출하는 GTP-C 패킷 정보 추출부와, 상기 제2 TEID 및 상기 제2 사용자 단말 식별번호를 포함하는 상기 세션 정보를 생성하는 세션 정보 생성부를 포함하고, 상기 SIP REFER 메시지는 상기 SIP REFER 메시지를 전송한 발신자 단말의 정보가 등록된 CSCF(Call Session Control Function) 서버에 의해서 착신자 단말에게 전송된다.
상기 과제를 해결하기 위한 본 발명의 4G 모바일 네트워크에서의 비정상 SIP REFER 메시지 탐지 방법의 일 면은 GTP(GPRS Tunneling Protocol)-U 패킷의 헤더로부터 제1 TEID를 추출하는 단계, 상기 제1 TEID와 세션 정보의 제2 TEID가 동일한지 판단하는 단계, 상기 제1 TEID와 상기 제2 TEID가 동일하면, 상기 GTP-U 패킷의 페이로드 내의 SIP(Session Initiation Protocol) REFER 메시지로부터 제1 사용자 단말 식별번호를 추출하는 단계, 상기 제1 사용자 단말 식별번호와 상기 세션 정보의 상기 제2 TEID와 대응하는 제2 사용자 단말 식별번호가 동일한지 판단하는 단계, 및 상기 제1 사용자 단말 식별번호와 상기 제2 사용자 단말 식별번호가 서로 다르면, 상기 SIP REFER 메시지를 비정상 SIP REFER 메시지로 탐지하는 단계를 포함하되, 상기 SIP REFER 메시지는 상기 SIP REFER 메시지를 전송한 발신자 단말의 정보가 등록된 CSCF(Call Session Control Function) 서버에 의해서 착신자 단말에게 전송된다.
본 발명의 기타 구체적인 사항들은 상세한 설명 및 도면들에 포함되어 있다.
상술한 본 발명의 비정상 SIP REFER 메시지 탐지 장치 및 방법에 따르면, 4G 모바일 네트워크 내에서 GTP-U 패킷의 헤더로부터 제1 TEID를 추출하고, 상기 GTP-U 패킷의 페이로드 내의 SIP REFER 메시지로부터 제1 사용자 단말 식별번호를 추출하여, 세션 정보에 저장된 제2 TEID 및 제2 사용자 단말 식별번호와 동일한지 비교하므로, SIP REFER 메시지 내의 사용자 단말 식별번호를 조작하여 CSCF 서버의 정보 유출에 악용될 수 있는 비정상 SIP REFER 메시지를 탐지하고 이를 차단할 수 있다.
도 1은 본 발명의 일 실시예에 따른 비정상 SIP REFER 메시지 탐지 장치를 설명하기 위한 블록도이다.
도 2는 SIP REFER 메시지의 전송 절차를 설명하기 위한 도면이다.
도 3은 4G 모바일 네트워크 내에서 전송되는 비정상 SIP REFER 메시지를 설명하기 위한 도면이다.
도 4는 SIP REFER 메시지를 처리하는 CSCF 서버를 설명하기 위한 도면이다.
도 5는 비정상 SIP REFER 메시지에 따른 CSCF 서버의 정보 유출을 설명하기 위한 도면이다.
도 6은 SIP REFER 메시지 내에 포함되는 값들을 개략적으로 설명하기 위한 도면이다.
도 7은 도 1의 세션 정보 저장부에 저장된 세션 정보를 설명하기 위한 테이블이다.
도 8은 비정상 SIP REFER 메시지의 탐지 정보를 세부적으로 설명하기 위한 테이블이다.
도 9는 본 발명의 일 실시예에 따른 비정상 SIP REFER 메시지 탐지 방법을 설명하기 위한 흐름도이다.
도 10은 본 발명의 다른 실시예에 따른 비정상 SIP REFER 메시지 탐지 장치를 설명하기 위한 블록도이다.
도 11은 4G 모바일 네트워크에서 GTP 터널의 생성 과정을 설명하기 위한 도면이다.
도 12는 본 발명의 일 실시예에 따른 비정상 SIP REFER 메시지 탐지 시스템을 설명하기 위한 블록도이다.
도 13은 본 발명의 몇몇 실시예에 따른 비정상 SIP REFER 메시지 탐지 장치가 적용되는 4G 모바일 네트워크 구조를 설명하기 위한 도면이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
각 블록은 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또한, 몇 가지 대체 실행 예들에서는 블록들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대 잇달아 도시되어 있는 두 개의 블록들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
비록 제1, 제2 등이 다양한 소자, 구성요소 및/또는 섹션들을 서술하기 위해서 사용되나, 이들 소자, 구성요소 및/또는 섹션들은 이들 용어에 의해 제한되지 않음은 물론이다. 이들 용어들은 단지 하나의 소자, 구성요소 또는 섹션들을 다른 소자, 구성요소 또는 섹션들과 구별하기 위하여 사용하는 것이다. 따라서, 이하에서 언급되는 제1 소자, 제1 구성요소 또는 제1 섹션은 본 발명의 기술적 사상 내에서 제2 소자, 제2 구성요소 또는 제2 섹션일 수도 있음은 물론이다.
본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성요소, 단계, 동작 및/또는 소자는 하나 이상의 다른 구성요소, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.
도 1은 본 발명의 일 실시예에 따른 비정상 SIP REFER 메시지 탐지 장치를 설명하기 위한 블록도이다.
도 1을 참조하면, 본 발명의 일 실시예에 따른 비정상 SIP REFER 메시지 탐지 장치(100)는 NIC(Network Interface Card; 110a, 110b), 패킷 정보 추출부(120), 패킷 분석부(130), 세션 정보 저장부(140), 탐지 정보 저장부(150), 패킷 처리부(160)를 포함한다.
NIC(110a)는 GTP-U 패킷을 수신하여 패킷 정보 추출부(120)에 전송하고, NIC(110b)는 패킷 처리부(150)의 제어 신호에 따라 GTP-U 패킷을 전송(forward)하거나 차단(drop)할 수 있다. NIC(110a, 110b)는 일반적인 네트워크 인터페이스 카드 또는 하드웨어 가속 네트워크 인터페이스 카드일 수 있다.
GTP-U 패킷은 이동 통신 네트워크 내에서 사용자 패킷을 전송하기 위해 사용된다. NIC(110a, 110b)가 처리하는 GTP-U 패킷은 사용자 단말로부터 외부 네트워크(예를 들어, 인터넷)를 향해 전송되는 GTP-U 패킷일 수 있다.
패킷 정보 추출부(120)는 GTP-U 패킷으로부터 각종 패킷 정보를 추출할 수 있다. 패킷 정보 추출부(120)는 각종 패킷 정보를 구조화된 자료 형태로 가공하여 패킷 분석부(130)에 전송할 수 있다.
비정상 SIP REFER 메시지를 탐지하기 위한 정보로서, 패킷 정보 추출부(120)는 GTP-U 패킷의 헤더(header)로부터 TEID(Tunnel Endpoint Identifier)를 추출할 수 있다. 패킷 정보 추출부(120)에 의하여 추출되는 TEID는 업링크(uplink) TEID일 수 있다. 여기서, 업링크는 사용자 단말로부터 외부 네트워크를 향해 GTP-U 패킷이 전송되는 경우를 나타내고, 다운링크(downlink)는 외부 네트워크로부터 사용자 단말을 향해 GTP-U 패킷이 전송되는 경우를 나타낼 수 있다.
또한, 패킷 정보 추출부(120)는 GTP-U 패킷의 페이로드(payload) 내의 SIP(Session Initiaion Protocol) REFER 메시지를 추출할 수 있다. 패킷 정보 추출부(120)는 SIP REFER 메시지로부터 사용자 단말 식별번호를 추출할 수 있다. 예를 들어, 사용자 단말 식별번호는 MSISDN(Mobile Subscriber ISDN Number)일 수 있으나, 본 발명이 이에 한정되는 것은 아니다.
패킷 정보 추출부(120)는 GTP-U 패킷의 페이로드 내에 SIP REFER 메시지가 존재하는지 판단하고, SIP REFER 메시지가 존재하는 때에 상술한 비정상 SIP REFER 메시지를 탐지하기 위한 정보를 추출할 수 있다.
도 2는 SIP REFER 메시지의 전송 절차를 설명하기 위한 도면이다.
도 2를 참조하면, 제1 사용자 단말(1100a)과 제2 사용자 단말(1100b)이 INVITE 메시지, 200 OK 메시지, ACK 메시지를 송수신하여, 제1 사용자 단말(1100a)과 제2 사용자 단말(1100b) 간에 제1 세션이 성립할 수 있다.
이어서, 제2 사용자 단말(1100b)이 reINVITE(hold) 메시지를 제1 사용자 단말(1100a)에게 전송하여, 제1 사용자 단말(1100)에게 대기하도록 요청할 수 있다. 이 후, 제1 사용자 단말(1100a)와 제2 사용자 단말(1100b)은 200 OK 메시지, ACK 메시지를 송수신할 수 있다
이어서, 제2 사용자 단말(1100b)과 제3 사용자 단말(1100c)이 INVITE 메시지, 200 OK 메시지, ACK 메시지를 송수신하여, 제2 사용자 단말(1100b)과 제3 사용자 단말(1100c) 간에 제2 세션이 성립할 수 있다.
이어서, 제2 사용자 단말(100b)은 제1 사용자 단말(1100a)에게 REFER 메시지를 전송하여, 제1 사용자 단말(1100a)이 제3 사용자 단말(1100c)과 호 연결을 하도록 요청할 수 있다. 이 후, 제1 사용자 단말(1100a)은 제2 사용자 단말(1100b)에게 202 Accepted 메시지를 전송하고, 제3 사용자 단말(1100c)에게 INVITE 메시지를 전송할 수 있다. 이 후, 제1 사용자 단말(1100a)과 제3 사용자 단말(1100c)가 200 OK 메시지, ACK 메시지를 송수신하여, 제1 사용자 단말(1100a)와 제3 사용자 단말(1100c) 간에 제3 세션이 성립할 수 있다.
이어서, 제1 사용자 단말(1100a)은 제2 사용자 단말(1100b)에세 NOTIFY 메시지를 전송하여 호 연결 결과를 통보할 수 있다. 이 후, 제2 사용자 단말(1100b)이 제1 사용자 단말(1100a)에게 200 OK 메시지를 전송하고, 제1 사용자 단말(1100a) 및 제3 사용자 단말(1100c)와 BYE 메시지, 200 OK 메시지를 송수신하여, 제2 사용자 단말(1100a) 및 제3 사용자 단말(1100c)와의 호를 종료할 수 있다.
이와 같이, SIP REFER 메시지는 VoLTE 호 연결이 된 상대방 사용자 단말에게 다른 사용자 단말과 VoLTE 호 연결을 하도록 요청하는 메시지를 나타낼 수 있다.
추가적으로, 비정상 SIP REFER 메시지의 탐지 정보를 생성하기 위해서, 패킷 정보 추출부(120)는 GTP-U 패킷의 헤더 내의 TEID(Tunnel Endpoint Identifier) 필드, GTP-U 패킷의 페이로드 내의 MSISDN 필드, 목적지 IP(Internet Protocol) 필드, 목적지 포트 필드, 출발지 IP 필드, 출발지 포트 필드 등의 값을 추출할 수도 있다.
비정상 SIP REFER 메시지는 SIP REFER 메시지 내의 발신자 단말 식별번호를 조작한 메시지를 나타낼 수 있다.
도 3은 4G 모바일 네트워크 내에서 전송되는 비정상 SIP REFER 메시지를 설명하기 위한 도면이다.
도 3을 참조하면, 4G 모바일 네트워크는 eNodeB(1200), S-GW(Serving Gateway; 1400)를 포함할 수 있다.
eNodeB(1200)는 S-GW(1400)와 연결될 수 있고, eNodeB(1200)와 S-GW(1400) 사이에는 S1-u GTP 터널이 형성될 수 있다. S1-u GTP 터널은 데이터 전송을 위한 GTP 터널일 수 있다. S1-u GTP 터널을 통해서, GTP-U 패킷(10)이 eNodeB(1200)로부터 S-GW(1400)를 향해 전송될 수 있다.
도 3에는 명확하게 도시하지 않았으나, S-GW(1400)는 수신한 GTP-U 패킷(10)을 P-GW(PDN Gateway)로 전송할 수도 있다.
GTP-U 패킷(10)의 헤더에는 GTP 터널용 IP 헤더, UDP 헤더, GTP-U 헤더가 결합되고, GTP-U 패킷(10)의 페이로드에는 사용자 패킷이 캡슐화될 수 있다. GTP-U 헤더에는 상술한 TEID가 포함될 수 있다. 사용자 패킷은 SIP REFER 메시지를 포함할 수 있다. 그리고, SIP REFER 메시지 내에는 SIP REFER 메시지를 송신하는 발신자 단말의 사용자 단말 식별번호와 SIP REFER 메시지를 수신하는 착신자 단말의 사용자 단말 식별번호가 포함될 수 있다.
도 3은 이러한 사용자 단말 식별번호 중 발신자 단말의 사용자 단말 식별번호가 조작된 경우를 도시한다.
도 4는 SIP REFER 메시지를 처리하는 CSCF 서버를 설명하기 위한 도면이다.
도 4를 참조하면, 제2 사용자 단말(1100b)가 제1 사용자 단말(1100a)에게 REFER 메시지를 전송하는 경우, 제2 사용자 단말(1100b)의 정보가 등록된 S-CSCF 서버(2300b)가 상기 REFER 메시지를 수신하고, 이를 처리하여 제1 사용자 단말(1100a)의 정보가 등록된 S-CSCF 서버(2300a)에게 전송할 수 있다. 그리고, 제1 사용자 단말(1100a)은, 제1 사용자 단말(1100a)의 정보가 등록된 S-CSCF 서버(2300a)를 통해서, 상기 REFER 메시지를 수신할 수 있다.
사용자 단말 내에 REFER 메시지를 처리하는 로직은 존재하지 않으며, S-CSCF 서버만이 REFER 메시지를 수신하여 처리할 수 있다. 특히, REFER 메시지는 발신자 단말의 정보가 등록된 S-CSCF 서버에 의해서 착신자 단말에게 전송될 수 있다.
이러한 점에 착안하여, 발신자 단말의 사용자 단말 식별번호가 조작된 비정상 SIP REFER 메시지는 IMS(IP Multimedia Subsystem) 네트워크를 구성하는 CSCF(Call Session Control Function) 서버의 정보 유출에 악용될 수 있다.
도 5는 비정상 SIP REFER 메시지에 따른 CSCF 서버의 정보 유출을 설명하기 위한 도면이다.
도 5를 참조하면, 개략적으로, 공격자(1600)는 발신자 단말 정보 필드에 특정한 사용자 단말 식별번호를 입력하고, 수신자 단말 정보 필드에 자신의 사용자 단말 식별번호를 입력한 비정상 SIP REFER 메시지를 생성하고, 이를 CSCF 대역으로 전송할 수 있다. 이렇게 전송된 비정상 SIP REFER 메시지는 4G 네트워크(1000)으로부터 IMS 네트워크(2000) 내의 P-CSCF(Proxy Call Session Control Function; 2100), I-CSCF(Interrogating Call Session Control Function; 2200)을 경유하여 S-CSCF(Serving Call Session Control Function; 2300)에 전달될 수 있다.
공격자(1600)는 다수의 비정상 SIP REFER 메시지를 전송함으로써 S-CSCF 서버를 스캔할 수 있다. 공격자(1600)는 수신자 단말 정보 필드에 자신의 사용자 단말 식별번호를 입력하여, 스캔 결과를 확인할 수 있다. 먼저, 공격자(1600)가 전송한 제1 REFER 메시지(R1)을 수신한 S-CSCF 서버(2300)에 수신자 단말의 정보가 등록되지 않은 경우, 공격자(1600)는 그에 대한 응답(R1_R)으로 403 FORBIDDEN 메시지를 수신할 수 있다. 다음으로, 공격자(1600)가 전송한 제2 REFER 메시지(R2)를 수신한 S-CSCF 서버(2300)가 SIP 메시지를 처리하지 못하는 경우, 공격자(1600)는 그에 대한 응답(R2_R)으로 500 INTERNAL SERVER ERROR 메시지를 수신할 수 있다. 다음으로, 공격자(1600)가 전송한 제3 REFER 메시지(R3)를 수신한 S-CSCF 서버(2300)에 수신자 단말의 정보가 등록되어 있는 경우, 공격자(1600)는 그에 대한 응답(R1_R)으로 자신이 보낸 REFER 메시지를 수신할 수 있다. 이로써, 공격자(1600)는 수신자 단말의 정보가 등록된 S-CSCF 서버의 IP 주소 등의 정보를 유출해낼 수 있다.
본 발명의 실시예에 따른 비정상 SIP REFER 메시지 탐지 장치(100)는 이러한 비정상 SIP REFER 메시지를 탐지하기 위하여, GTP 터널의 생성시 할당된 TEID 및 사용자 단말 식별번호를 세션 정보로 미리 저장하고, 세션 정보와 GTP-U 패킷으로부터 추출된 TEID 및 사용자 단말 식별번호를 비교할 수 있다.
도 6은 SIP REFER 메시지 내에 포함되는 값들을 개략적으로 설명하기 위한 도면이다.
도 6을 참조하면, SIP REFER 메시지는 메시지 헤더(Message Header)와 메시지 바디(Message Body)를 포함할 수 있다. SIP 메시지의 메시지 헤더와 메시지 바디에는 각종 필드들이 포함될 수 있다.
예를 들어, SIP REFER 메시지의 메시지 헤더는 사용자 단말 식별번호가 기록되는 From 필드, To 필드를 포함할 수 있다. 정상적인 SIP REFER 메시지의 경우, From 필드에는 발신자 단말의 사용자 단말 식별번호가 기록되고, To 필드에는 착신자 단말의 사용자 단말 식별번호가 기록될 수 있다.
상술한 바와 같이, 비정상 SIP REFER 메시지의 경우, From 필드에는 피해자 단말의 사용자 단말 식별번호가 기록되고, To 필드에 공격자 단말의 사용자 단말 식별번호가 기록될 수 있다.
상술한 바와 같이, 발신자 단말의 사용자 단말 식별번호가 조작되었는지 판단하기 위하여, 패킷 정보 추출부(120)는 SIP REFER 메시지의 메시지 헤더의 From 필드로부터 사용자 단말 식별번호를 추출할 수 있다.
도 6에는 명확하게 도시하지 않았으나, SIP REFER 메시지의 메시지 헤더에는 사용자 단말 식별번호가 기록되는 다른 필드들이 더 포함될 수 있다. 실시예에 따라, 패킷 정보 추출부(120)는 이러한 필드들로부터 사용자 단말 식별번호를 추출하도록 변형될 수 있다.
이하에서는, 각각의 TEID 및 사용자 단말 식별번호를 서로 구별하기 위해서, GTP-U 패킷으로부터 추출된 TEID 및 사용자 단말 식별번호를 제1 TEID 및 제1 사용자 단말 식별번호로 언급하고, 세션 정보에 포함되는 TEID 및 사용자 단말 식별번호를 제2 TEID 및 제2 사용자 단말 식별번호로 언급하여 설명하기로 한다.
다시 도 1을 참조하면, 패킷 분석부(130)는 비정상 SIP REFER 메시지 탐지 동작을 수행할 수 있다. 패킷 분석부(130)는 제1 TEID와 제2 TEID, 및 제1 사용자 단말 식별번호와 제2 사용자 단말 식별번호를 비교하고, 비교 결과에 기초하여 비정상 SIP REFER 메시지를 탐지할 수 있다.
세션 정보 저장부(140)는 제2 TEID 및 제2 사용자 단말 식별번호를 포함하는 세션 정보를 미리 저장할 수 있다. 제2 TEID 및 제2 사용자 단말 식별번호는 GTP-C 패킷으로부터 추출될 수 있다. GTP-C 패킷은 이동 통신 네트워크 내에서 데이터 호 설정, 갱신, 삭제 등과 같은 시그널링을 수행하기 위해 사용된다.
도 7은 도 1의 세션 정보 저장부에 저장된 세션 정보를 설명하기 위한 테이블이다.
도 7을 참조하면, 세션 정보는 제2 TEID 및 제2 사용자 단말 식별번호를 포함한다. 제2 TEID는 업링크 Data TEID일 수 있다. 즉, 제2 TEID는 사용자 단말로부터 외부 네트워크를 향해 전송되는 GTP-U 패킷에 관한 것이다. 제2 사용자 단말 식별번호는 MSISDN일 수 있다. 제2 사용자 단말 식별번호는 대응하는 제2 TEID와 매핑되어 저장될 수 있다.
다시 도 1을 참조하면, 패킷 분석부(130)는 제1 TEID와 제2 TEID, 및 제1 사용자 단말 식별번호와 제2 사용자 단말 식별번호를 비교하기 위해서, 먼저 제1 TEID와 동일한 제2 TEID가 세션 정보 내에 존재하는지 판단할 수 있다. 다음으로, 패킷 분석부(130)는 제1 TEID와 동일한 제2 TEID가 세션 정보 내에 존재하면, 세션 정보로부터 상기 제2 TEID와 대응하는 제2 사용자 단말 식별번호를 추출할 수 있다. 그리고, 패킷 분석부는 제1 사용자 단말 식별번호와 제2 사용자 단말 식별번호가 동일한지 판단할 수 있다. 패킷 분석부(130)는 제1 사용자 단말 식별번호와 제2 사용자 단말 식별번호가 서로 다르면, GTP-U 패킷에 포함된 SIP REFER 메시지를 비정상 SIP REFER 메시지로 판단할 수 있다.
도 8은 비정상 SIP REFER 메시지의 탐지 정보를 세부적으로 설명하기 위한 테이블이다.
도 8을 참조하면, 탐지 정보 저장부(150)는 비정상 SIP REFER 메시지의 탐지 결과에 따라, 비정상 SIP REFER 메시지의 탐지 정보(또는, 로그)를 생성 및 저장할 수 있다.
예를 들어, 비정상 SIP REFER 메시지의 탐지 정보는 탐지 시간, 탐지 항목, 사용자 단말 식별 번호, 차단 여부 등의 필드를 포함할 수 있다. 이외에도, 비정상 SIP REFER 메시지의 탐지 정보는 TEID, 탐지된 패킷의 목적지 IP, 목적지 포트, 탐지된 패킷의 출발지 IP, 출발지 포트, 도용한 사용자 단말 식별 번호 등의 필드를 더 포함할 수도 있다.
다시 도 1을 참조하면, 패킷 처리부(160)는 비정상 SIP REFER 메시지로 탐지된 GTP-U 패킷을 탐지 정책에 따라 처리할 수 있다. 패킷 처리부(160)는 비정상 SIP REFER 메시지로 탐지된 GTP-U 패킷을 전송(forward)하거나 차단(drop)하도록 NIC(110b)를 제어할 수 있다. 여기서, GTP-U 패킷을 전송한다는 것은 GTP-U 패킷을 목적지 IP로 전송하는 것을 나타내고, GTP-U 패킷을 차단한다는 것은 GTP-U 패킷을 목적지 IP로 전송하지 않는 것을 나타낼 수 있다.
도 1의 비정상 SIP REFER 메시지 탐지 장치(100)에서, NIC(110a, 110b), 패킷 정보 추출부(120), 패킷 분석부(130), 세션 정보 저장부(140), 탐지 정보 저장부(150), 패킷 처리부(160)를 별도의 구성 요소로 설명하였으나, 실시예에 따라, 몇몇 구성 요소가 일체로 구성되도록 다양하게 변형될 수 있다.
도 9는 본 발명의 일 실시예에 따른 비정상 SIP REFER 메시지 탐지 방법을 설명하기 위한 흐름도이다.
도 9를 참조하면, 본 발명의 일 실시예에 따른 비정상 SIP REFER 메시지 탐지 방법에서는, 먼저 NIC(110a)에서, GTP-U 패킷을 수신한다(S201).
이어서, 패킷 추출부(120)에서, GTP-U 패킷의 목적지 포트가 SIP 포트인지 판단한다(S202). 예를 들어, 패킷 추출부(120)는 GTP-U 패킷의 목적지 포트의 값이 “5060”인지 판단하고, 목적지 포트의 값이 “5060”인 때에 상기 GTP-U 패킷이 SIP 메시지를 포함하는 것으로 판단할 수 있다.
이어서, 패킷 추출부(120)에서, GTP-U 패킷의 페이로드 내의 SIP 메시지가 SIP REFER 메시지인지 판단한다(S203). SIP REFER 메시지가 아닌 때에는, 패킷 분석부(130)가 이하의 비정상 SIP REFER 메시지의 탐지 동작을 수행하지 않을 수 있다.
이어서, GTP-U 패킷의 페이로드 내에 SIP REFER 메시지가 존재하면, 패킷 추출부(120)에서, GTP-U 패킷의 헤더로부터 제1 TEID를 추출하고, SIP REFER 메시지로부터 제1 사용자 단말 식별번호를 추출한다(S204). 상술한 바와 같이, 제1 TEID는 업링크 Data TEID일 수 있다. 패킷 정보 추출부(120)는 각종 패킷 정보를 구조화된 자료 형태로 가공할 수 있다.
이어서, 패킷 분석부(130)에서, 제1 TEID와 동일한 제2 TEID가 세션 정보 내에 존재하는지 판단한다(S205).
이어서, 제1 TEID와 동일한 제2 TEID가 세션 정보 내에 존재하면, 패킷 분석부(130)에서, 패킷 정보 추출부(120)에 의해 가공된 정보로부터 제1 사용자 단말 식별번호를 추출한다(S206). 상술한 바와 같이, 제1 사용자 단말 식별번호는 MSISDN일 수 있다.
이어서, 패킷 분석부(130)에서, 제1 사용자 단말 식별번호와 제2 사용자 단말 식별번호가 일치하는지 판단한다(S207). 상술한 바와 같이, 패킷 분석부(140)는 세션 정보로부터 상기 제2 TEID와 대응하는 제2 사용자 단말 식별번호를 추출하고, 제1 사용자 단말 식별번호와 제2 사용자 단말 식별번호가 동일한지 판단할 수 있다.
이어서, 제1 사용자 단말 식별번호와 제2 사용자 단말 식별번호가 일치하지 않으면, 즉 제1 사용자 단말 식별번호와 제2 사용자 단말 식별번호가 서로 다르면, 패킷 분석부(130)에서, 상기 SIP REFER 메시지를 비정상 SIP REFER 메시지로 탐지하고, 탐지 정보 저장부(150)에서, 비정상 SIP REFER 메시지의 탐지 정보를 생성 및 저장한다(S208). 상술한 바와 같이, 비정상 SIP REFER 메시지의 탐지 정보는 탐지 시간, 탐지 항목, 사용자 단말 식별 번호, 차단 여부, TEID, 탐지된 패킷의 목적지 IP, 목적지 포트, 탐지된 패킷의 출발지 IP, 출발지 포트, 도용한 사용자 단말 식별 번호 등의 필드를 포함할 수 있다.
이어서, 패킷 처리부(160)에서, 비정상 SIP REFER 메시지로 탐지된 GTP-U 패킷을 탐지 정책에 따라 처리한다(S209).
도 10은 본 발명의 다른 실시예에 따른 비정상 SIP REFER 메시지 탐지 장치를 설명하기 위한 블록도이다. 설명의 편의를 위하여, 도 1과 차이점을 중점으로 하여 설명하기로 한다.
도 10을 참조하면, 본 발명의 다른 실시예에 따른 비정상 SIP REFER 메시지 탐지 장치(300)는 NIC(310a, 310b), 패킷 분류부(320), GTP-C 패킷 정보 추출부(330), 세션 정보 생성부(340), 세션 정보 저장부(350), GTP-U 패킷 정보 추출부(360), 패킷 분석부(370), 탐지 정보 저장부(380), 패킷 처리부(390)을 포함한다.
NIC(310a)는 GTP 패킷을 수신하여 패킷 분류부(320)에 전송하고, NIC(310b)는 패킷 처리부(390)의 제어 신호에 따라 GTP 패킷을 전송(forward)하거나 차단(drop)할 수 있다.
패킷 분류부(320)는 GTP 패킷을 분류할 수 있다. 패킷 분류부(320)는 GTP 패킷을 GTP-C 패킷과 GTP-U 패킷으로 분류할 수 있다. 패킷 분류부(320)는 분류 결과에 따라 GTP-C 패킷은 GTP-C 패킷 정보 추출부(330)에 전송하고, GTP-U 패킷은 GTP-U 패킷 정보 추출부(360)에 전송할 수 있다.
GTP-C 패킷 정보 추출부(330)는 GTP-C 패킷으로부터 각종 패킷 정보를 추출할 수 있다. 예를 들어, GTP-C 패킷은 세션 생성 요청(Create Session Request) 메시지 및 세션 생성 응답(Create Session Response) 메시지일 수 있다. GTP-C 패킷 정보 추출부(330)는 세션 생성 요청 메시지의 페이로드로부터 제2 사용자 단말 식별번호를 추출하고, 세션 생성 응답 메시지의 페이로드로부터 제2 TEID를 추출할 수 있다.
세션 정보 생성부(340)는 제2 TEID 및 제2 사용자 단말 식별번호를 포함하는 세션 정보를 생성할 수 있다. 세션 정보 생성부(340)는 세션 정보를 세션 정보 저장부(350)에 저장할 수 있다.
패킷 처리부(390)는 GTP-C 패킷을 전송하도록 NIC(310b)를 제어할 수 있다.
도 11은 4G 모바일 네트워크에서 GTP 터널의 생성 과정을 설명하기 위한 도면이다.
도 11을 참조하면, 4G 모바일 네트워크에서 GTP 터널을 생성하기 위해서, 세션 생성 요청 메시지(Create Session Response)와 세션 생성 응답(Create Session Response) 메시지가 전송될 수 있다. 세션 생성 요청 메시지와 세션 생성 응답 메시지는 GTP-C 패킷으로 전송될 수 있다.
먼저, 사용자 단말(1100)이 MME(1300)에 접속 요청(Attach Request) 메시지를 전송하고, MME(1300)가 S-GW(1400)에 세션 생성 요청 메시지를 전송하고, S-GW(1400)가 P-GW(1500)에 세션 생성 요청 메시지를 전송할 수 있다. 이에 대한 응답으로, P-GW(1500)가 S-GW(1400)에 세션 생성 응답 메시지를 전송하여, S-GW(1400)와 P-GW(1500)간 S5 GTP 터널을 생성할 수 있다. 그리고, S-GW(1400)가 MMME(1300)에 세션 생성 응답 메시지를 전송하여, MME(1300)과 S-GW(1400)간 S11 GTP 터널을 생성할 수 있다. 그리고, MME(1300)가 사용자 단말(1100)에 접속 응답(Attach Response) 메시지를 전송하여, eNB(1200)와 S-GW(1400)간 S1-u GTP 터널을 생성할 수 있다.
도 11에는 명확하게 도시하지 않았으나, S1-u GTP 터널의 생성 전에, eNB(1200) 및 MME(1300) 사이, MME(1300) 및 S-GW(1400) 사이에서 추가적인 메시지가 더 송수신될 수 있다.
GTP 터널의 생성 과정에서, GTP-C 패킷 정보 추출부(330)는 세션 생성 요청 메시지 및 세션 생성 응답 메시지로부터 제2 TEID 및 제2 사용자 단말 식별번호를 추출할 수 있다. 이에 따라, 세션 생성시 사용된 사용자 단말 식별번호와 세션 생성 이후 GTP-U 패킷의 SIP REFER 메시지에 포함되는 사용자 단말 식별번호의 일치 여부를 비교할 수 있다.
도 12는 본 발명의 일 실시예에 따른 비정상 SIP REFER 메시지 탐지 시스템을 설명하기 위한 블록도이다. 설명의 편의를 위하여 도 11과 차이점을 중점으로 하여 설명하기로 한다.
도 12를 참조하면, 본 발명의 일 실시예에 따른 비정상 SIP REFER 메시지 탐지 시스템(400)은 세션 정보 수집 장치(410)와 비정상 SIP REFER 메시지 탐지 장치(420)를 포함한다.
세션 정보 수집 장치(410)는 NIC(411a, 411b), GTP-C 패킷 정보 추출부(412), 세션 정보 생성부(413)을 포함하여 구성되고, GTP-C 패킷으로부터 세션 정보를 추출하여 생성할 수 있다.
비정상 SIP REFER 메시지 탐지 장치(420)는 NIC(421a, 421b), GTP-U 패킷 정보 추출부(422), 패킷 분석부(423), 세션 정보 저장부(424), 탐지 정보 생성부(425), 패킷 처리부(426)를 포함하여 구성되고, 세션 정보를 이용하여 비정상 SIP REFER 메시지를 탐지할 수 있다.
도 10의 비정상 SIP REFER 메시지 탐지 시스템(400)은 GTP-U 패킷으로부터 제1 TEID 및 제1 사용자 단말 식별번호를 추출하고, 세션 정보와의 비교 결과에 따라 비정상 SIP REFER 메시지를 탐지하는 구성 요소와, GTP-C 패킷으로부터 제2 TEID 및 제2 사용자 단말 식별번호를 추출하고, 이를 포함하는 세션 정보를 생성하는 구성 요소가 물리적으로 분리된 경우를 도시한 것이다.
세션 정보 저장부(424)는 세션 정보 수집 장치(410)으로부터 수신한 세션 정보를 저장할 수 있다.
도 13은 본 발명의 몇몇 실시예에 따른 비정상 SIP REFER 메시지 탐지 장치가 적용되는 4G 모바일 네트워크 구조를 설명하기 위한 도면이다.
도 13을 참조하면, 4G 모바일 네트워크(1000)는 사용자 단말(1100), eNodeB(1200), MME(1300), S-GW(1400), P-GW(1500)을 포함할 수 있다.
사용자 단말(1100)은 4G 모바일 네트워크(1000)에 가입되어 있는 휴대 단말일 수 있다. eNodeB(1200)는 기지국으로서 사용자 단말(1100)과 4G 모바일 네트워크(1000) 간에 무선 연결을 제공할 수 있다. MME(1300)과 S-GW(1400)는 S11 GTP 터널을 통해서 GTP-C 패킷을 송수신할 수 있다. eNodeB(1200)과 S-GW(1400)는 S1-u GTP 터널을 통해서 GTP-U 패킷을 송수신할 수 있다. S-GW(1400)와 P-GW(1500)는 S5 GTP 터널을 통해서 GTP-C 패킷 또는 GTP-U 패킷을 송수신할 수 있다. P-GW(1500)는 외부 네트워크(예를 들어, IMS 네트워크(2000))과 연결될 수 있다.
P-GW(1500)는 IMS 네트워크(2000) 내의 P-CSCF(2100)와 연결되어, SIP 메시지를 송수신할 수 있다.
4G 모바일 네트워크(1000)에서 S11 GTP 터널은 세션 컨트롤을 위한 패스(path)일 수 있다. 4G 모바일 네트워크(1000)에서 S1-u GTP 터널은 데이터 트래픽을 위한 패스일 수 있다. 4G 모바일 네트워크(1000)에서 S5 GTP 터널은 세션 컨트롤 및 데이터 트래픽을 위한 패스일 수 있다.
본 발명의 몇몇 실시예에 따른 비정상 SIP REFER 메시지 탐지 장치(100, 300)는 eNodeB(1200) 및 MME(1300)와 S-GW(1400)의 사이(P1, P2), 또는 S-GW(1400)과 P-GW(1500)의 사이(P3)에 제공될 수 있다. 또한, 본 발명의 몇몇 실시예에 따른 비정상 SIP REFER 메시지 탐지 장치(100, 300)는 S-GW(1400) 또는 P-GW(1500)의 내부 구성 요소로 제공될 수도 있다. 본 발명의 몇몇 실시예에 따른 비정상 SIP REFER 메시지 탐지 시스템(400)의 세션 정보 수집 장치(410)는 MME(1300)와 S-GW(1400) 사이(P2)에 제공되고, 비정상 호 탐지 장치(420)는 eNodeB(1200)와 S-GW(1400) 사이(P1)에 제공될 수 있다.
본 발명의 몇몇 실시예에 따른 비정상 SIP REFER 메시지 탐지 장치 또는 시스템(100, 300, 400)이 4G 모바일 네트워크(1000)의 내부(P1, P2, P3)에 제공되므로, SIP REFER 메시지 내의 사용자 단말 식별번호를 조작하여 CSCF 서버의 정보 유출에 악용될 수 있는 비정상 SIP REFER 메시지의 탐지 및 차단이 이루어질 수 있다.
본 발명의 실시예들과 관련하여 설명된 방법 또는 알고리즘의 단계는, 프로세서에 의해 실행되는 하드웨어 모듈, 소프트웨어 모듈, 또는 그 2 개의 결합으로 직접 구현될 수 있다. 소프트웨어 모듈은 RAM 메모리, 플래시 메모리, ROM 메모리, EPROM 메모리, EEPROM 메모리, 레지스터, 하드 디스크, 착탈형 디스크, CD-ROM, 또는 본 발명의 기술 분야에서 잘 알려진 임의의 형태의 컴퓨터로 읽을 수 있는 기록 매체에 상주할 수도 있다. 예시적인 기록 매체는 프로세서에 연결되며, 그 프로세서는 기록 매체로부터 정보를 독출할 수 있고 기록 매체에 정보를 기입할 수 있다. 다른 방법으로, 기록 매체는 프로세서와 일체형일 수도 있다. 프로세서 및 기록 매체는 주문형 집적회로(ASIC) 내에 상주할 수도 있다. ASIC는 사용자 단말기 내에 상주할 수도 있다. 다른 방법으로, 프로세서 및 기록 매체는 사용자 단말기 내에 개별 구성 요소로서 상주할 수도 있다.
이상 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.
100: 비정상 SIP REFER 메시지 탐지 장치
110a, 110b: NIC
120: 패킷 정보 추출부
130: 패킷 분석부
140: 세션 정보 저장부
150: 탐지 정보 저장부
160; 패킷 처리부

Claims (22)

  1. GTP(GPRS Tunneling Protocol)-U 패킷의 페이로드 내에 SIP(Session Initiation Protocol) REFER 메시지가 존재하는 경우에, 상기 GTP-U 패킷의 헤더로부터 제1 TEID를 추출하고, 상기 GTP-U 패킷의 페이로드 내의 상기 SIP REFER 메시지로부터 제1 사용자 단말 식별번호를 추출하는 패킷 정보 추출부;
    제2 TEID 및 제2 사용자 단말 식별번호를 포함하는 세션 정보를 저장하는 세션 정보 저장부;
    상기 제1 TEID와 상기 제2 TEID가 서로 동일하고, 상기 제1 사용자 단말 식별 번호와 상기 제2 사용자 단말 식별 번호가 서로 다른지에 기초하여, 상기 SIP REFER 메시지가 비정상 SIP REFER 메시지인지 탐지하는 패킷 분석부; 및
    상기 SIP REFER 메시지가 비정상 SIP REFER 메시지이면, 탐지 정책에 따라 상기 GTP-U 패킷을 처리하는 패킷 처리부를 포함하되,
    상기 패킷 분석부는 상기 GTP-U 패킷의 목적지 포트가 SIP 포트인 경우에, 상기 비정상 SIP REFER 메시지의 탐지 동작을 수행하고,
    상기 패킷 정보 추출부는 상기 SIP REFER 메시지의 From 필드로부터 상기 제1 사용자 단말 식별번호를 추출하고,
    상기 SIP REFER 메시지는 상기 SIP REFER 메시지를 전송한 발신자 단말의 정보가 등록된 CSCF(Call Session Control Function) 서버에 의해서 착신자 단말에게 전송되는, 4G 모바일 네트워크에서의 비정상 SIP REFER 메시지 탐지 장치.
  2. 삭제
  3. 삭제
  4. 삭제
  5. 제1항에 있어서,
    상기 비정상 SIP REFER 메시지의 탐지 정보를 저장하는 탐지 정보 저장부를 더 포함하는, 4G 모바일 네트워크에서의 비정상 SIP REFER 메시지 탐지 장치.
  6. 제5항에 있어서,
    상기 탐지 정보는 탐지 시간, 탐지 항목, 사용자 식별번호, 차단 여부, TEID(Tunnel Endpoint Identifier), 목적지 IP(Internet Protocol), 목적지 포트, 출발지 IP, 및 출발지 포트를 포함하는, 4G 모바일 네트워크에서의 비정상 SIP REFER 메시지 탐지 장치.
  7. 삭제
  8. 삭제
  9. 삭제
  10. 삭제
  11. 삭제
  12. 삭제
  13. 삭제
  14. 삭제
  15. 삭제
  16. 삭제
  17. 삭제
  18. GTP(GPRS Tunneling Protocol)-U 패킷의 페이로드 내에 SIP(Session Initiation Protocol) REFER 메시지가 존재하는지 판단하는 단계;
    상기 GTP-U 패킷의 페이로드 내에 상기 SIP REFER 메시지가 존재하는 경우에, 상기 GTP-U 패킷의 헤더로부터 제1 TEID를 추출하고, 상기 GTP-U 패킷의 페이로드 내의 상기 SIP REFER 메시지로부터 제1 사용자 단말 식별번호를 추출하는 단계;
    상기 제1 TEID와 세션 정보의 제2 TEID가 동일한지 판단하는 단계;
    상기 제1 TEID와 상기 제2 TEID가 동일하면, 상기 제1 사용자 단말 식별번호와 상기 세션 정보의 상기 제2 TEID와 대응하는 제2 사용자 단말 식별번호가 동일한지 판단하는 단계;
    상기 제1 사용자 단말 식별번호와 상기 제2 사용자 단말 식별번호가 서로 다르면, 상기 SIP REFER 메시지를 비정상 SIP REFER 메시지로 탐지하는 단계; 및
    상기 SIP REFER 메시지가 비정상 SIP REFER 메시지이면, 탐지 정책에 따라 상기 GTP-U 패킷을 처리하는 단계를 포함하되,
    상기 제1 사용자 단말 식별번호를 추출하는 단계는, 상기 SIP REFER 메시지의 From 필드로부터 상기 제1 사용자 단말 식별번호를 추출하고,
    상기 SIP REFER 메시지는 상기 SIP REFER 메시지를 전송한 발신자 단말의 정 보가 등록된 CSCF(Call Session Control Function) 서버에 의해서 착신자 단말에게 전송되는, 4G 모바일 네트워크에서의 비정상 SIP REFER 메시지 탐지 방법.
  19. 삭제
  20. 삭제
  21. 삭제
  22. 제18항에 있어서,
    상기 비정상 SIP REFER 메시지의 탐지 정보를 저장하는 단계를 더 포함하는, 4G 모바일 네트워크에서의 비정상 SIP REFER 메시지 탐지 방법.
KR1020130151530A 2013-12-06 2013-12-06 4g 모바일 네트워크에서의 비정상 sip refer 메시지 탐지 장치 및 방법 KR101516233B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020130151530A KR101516233B1 (ko) 2013-12-06 2013-12-06 4g 모바일 네트워크에서의 비정상 sip refer 메시지 탐지 장치 및 방법
PCT/KR2014/008835 WO2015083925A1 (en) 2013-12-06 2014-09-23 Apparatus and method for detecting abnormal sip refer message in 4g mobile networks

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130151530A KR101516233B1 (ko) 2013-12-06 2013-12-06 4g 모바일 네트워크에서의 비정상 sip refer 메시지 탐지 장치 및 방법

Publications (1)

Publication Number Publication Date
KR101516233B1 true KR101516233B1 (ko) 2015-05-04

Family

ID=53273647

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130151530A KR101516233B1 (ko) 2013-12-06 2013-12-06 4g 모바일 네트워크에서의 비정상 sip refer 메시지 탐지 장치 및 방법

Country Status (2)

Country Link
KR (1) KR101516233B1 (ko)
WO (1) WO2015083925A1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10992562B2 (en) * 2017-12-29 2021-04-27 Arista Networks, Inc. System for network event detection and analysis

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110003086A (ko) * 2009-07-03 2011-01-11 한국해양연구원 네트워크에 기반한 sip 서버와 세션 전환 방법 및 이와 같은 방법을 구현하는 프로그램이 기록되는 기록매체
KR20120100872A (ko) * 2012-08-13 2012-09-12 한국인터넷진흥원 Gtp를 사용하는 모바일 환경에서의 ip 스푸핑 탐지 장치 및 방법
JP5220131B2 (ja) * 2008-01-28 2013-06-26 リサーチ イン モーション リミテッド セッション開始プロトコルのリクエストコンテンツを提供する方法およびシステム

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5220131B2 (ja) * 2008-01-28 2013-06-26 リサーチ イン モーション リミテッド セッション開始プロトコルのリクエストコンテンツを提供する方法およびシステム
KR20110003086A (ko) * 2009-07-03 2011-01-11 한국해양연구원 네트워크에 기반한 sip 서버와 세션 전환 방법 및 이와 같은 방법을 구현하는 프로그램이 기록되는 기록매체
KR20120100872A (ko) * 2012-08-13 2012-09-12 한국인터넷진흥원 Gtp를 사용하는 모바일 환경에서의 ip 스푸핑 탐지 장치 및 방법

Also Published As

Publication number Publication date
WO2015083925A1 (en) 2015-06-11

Similar Documents

Publication Publication Date Title
KR100886548B1 (ko) 인터넷 프로토콜 멀티미디어 서브시스템 네트워크에서단말의 성능 정보를 전달하기 위한 방법 및 시스템
KR101414231B1 (ko) 비정상 호 탐지 장치 및 방법
US8848666B2 (en) Handover of emergency calls from a circuit switched to a packet switched access network
WO2018054397A1 (zh) 业务功能链检测路径的方法和装置
KR101228089B1 (ko) Ip 스푸핑 탐지 장치
US9992109B2 (en) Data transmission method, apparatus and system
KR101536178B1 (ko) 4g 모바일 네트워크에서의 비정상 sdp 메시지 탐지 장치 및 방법
KR101538309B1 (ko) 4G 모바일 네트워크에서의 비정상 VoLTE 등록 메시지 탐지 장치, 시스템 및 방법
KR101388627B1 (ko) 4g 이동통신망에서의 비정상 트래픽 차단 장치
CN111869310A (zh) 用于执行小数据快速路径通信的方法和系统
CN106454814A (zh) 一种用于gtp隧道通信的系统与方法
KR101388628B1 (ko) 4g 이동통신망에서의 비정상 트래픽 차단 방법
CN106162733B (zh) 一种异常流量抑制方法及装置
US10171544B2 (en) Radio base station
KR101516233B1 (ko) 4g 모바일 네트워크에서의 비정상 sip refer 메시지 탐지 장치 및 방법
KR101499022B1 (ko) 4g 모바일 네트워크에서의 비정상 mms 메시지 탐지 장치 및 방법
KR101516234B1 (ko) 4g 모바일 네트워크에서의 비정상 sip subscribe 메시지 탐지 장치 및 방법
KR101534161B1 (ko) 4g 모바일 네트워크에서의 사용자 세션 관리 장치 및 방법
KR101563081B1 (ko) 통신 단말기 종류별 통신 품질 판단 시스템 및 그 제어방법과, 그 제어방법을 실행하기 위한 프로그램을 기록한 기록 매체
Park et al. Security threats and countermeasure frame using a session control mechanism on volte
US8427956B1 (en) Facilitating packet flow in a communication network implementing load balancing and security operations
KR101538310B1 (ko) 4G 모바일 네트워크에서의 VoLTE 서비스 기반 비정상 위치정보 획득 메시지 탐지 장치, 시스템 및 방법
KR101711074B1 (ko) 4g 모바일 네트워크에서의 sip 터널링 패킷 탐지 장치, 시스템 및 방법
KR101541119B1 (ko) 4G 모바일 네트워크에서의 비정상 VoLTE 등록해제 메시지 탐지 장치, 시스템 및 방법
KR101785680B1 (ko) 4g 모바일 네트워크에서의 rtp 터널링 패킷 탐지 장치, 시스템 및 방법

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee