KR101564228B1 - 이동통신망에서 시그널링 DoS 트래픽을 탐지하기 위한 시스템 및 그 방법 - Google Patents
이동통신망에서 시그널링 DoS 트래픽을 탐지하기 위한 시스템 및 그 방법 Download PDFInfo
- Publication number
- KR101564228B1 KR101564228B1 KR1020130160993A KR20130160993A KR101564228B1 KR 101564228 B1 KR101564228 B1 KR 101564228B1 KR 1020130160993 A KR1020130160993 A KR 1020130160993A KR 20130160993 A KR20130160993 A KR 20130160993A KR 101564228 B1 KR101564228 B1 KR 101564228B1
- Authority
- KR
- South Korea
- Prior art keywords
- radio resource
- detecting
- abnormal
- signaling dos
- traffic
- Prior art date
Links
- 230000011664 signaling Effects 0.000 title claims abstract description 92
- 238000000034 method Methods 0.000 title claims abstract description 24
- 238000010295 mobile communication Methods 0.000 title claims abstract description 19
- 238000001514 detection method Methods 0.000 claims abstract description 62
- 230000002159 abnormal effect Effects 0.000 claims abstract description 50
- 230000004044 response Effects 0.000 claims description 16
- 238000005259 measurement Methods 0.000 claims description 10
- 238000010586 diagram Methods 0.000 description 20
- 238000013468 resource allocation Methods 0.000 description 11
- 230000008569 process Effects 0.000 description 8
- 238000004891 communication Methods 0.000 description 5
- 230000001186 cumulative effect Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000007704 transition Effects 0.000 description 4
- 239000000470 constituent Substances 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000008685 targeting Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
- H04W24/08—Testing, supervising or monitoring using real traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
본 발명에 의한 이동통신망에서 시그널링 DoS 트래픽을 탐지하기 위한 시스템 및 그 방법이 개시된다. 본 발명에 따른 시그널링 DoS 트래픽을 탐지하기 위한 시스템은 GTP-C 제어 메시지를 분석하여 그 분석한 결과에 따라 단말별 무선 자원의 할당 및 해지를 탐지하는 무선자원 탐지부; 탐지된 상기 무선 자원을 할당 및 해지하는 기간 동안 송수신되는 트래픽을 분석하여 그 분석한 결과에 따라 비정상적 무선 자원의 할당을 식별하는 비정상 무선자원 식별부; 및 식별된 상기 비정상적인 무선자원을 할당 및 해지하는 시간차를 분석하여 그 분석한 결과에 따라 시그널링 DoS를 탐지하는 시그널링 DoS 탐지부를 포함하는 것을 특징으로 한다.
Description
본 발명은 시그널링 DoS 트래픽 탐지 기술에 관한 것으로서, 특히, 이동통신망에서 시그널링 DoS 트래픽을 탐지하기 위한 시스템 및 그 방법에 관한 것이다.
오늘날의 스마트폰 사용자들은 고속의 이동통신망을 기반으로 하는 다수의 모바일 서비스들을 사용하고 있다. 스마트폰이 제공하는 다양한 모바일 서비스들은 고속의 이동통신 네트워크 인프라를 요구하고 있으며, 이로 인하여 국내 이동통신 시장은 3G WCDMA 망에서 4G LTE 망으로의 급격한 전환이 이루어졌다. 2013년 6월을 기점으로 4G LTE 망 가입자 수는 3G WCDMA 망 가입자 수를 넘어섰으며, 월 평균 100만 가입자 이상의 지속적인 증가세를 나타내고 있다.
반면, LTE 망 사용자에 대한 보안 기술의 발전 속도는 가입자 증가 속도를 따라가지 못하고 있다. 이는 기존 이동통신망이 가진 폐쇄적 서비스 구조 특성상 망 내부에 적용되는 보안 장비 및 보안 정책에 대한 연구의 필요성이 인지되지 못했기 때문이다. 따라서 이동통신망의 특성을 반영한 다양한 보안 취약점에 대비하는 기술 개발이 시급히 요구된다.
특히 모바일 망은 한정된 무선 자원을 가지고 있으며, 이를 효율적으로 관리하기 위하여 일정 시간동안 사용이 없는 단말의 무선 자원을 해제하고, 다시 데이터를 송수신할 때 무선 자원을 재할당한다. 이 과정에서 무선 자원의 설정을 위해서 망 장비 간 다수의 시그널링 메시지들이 전달되게 된다. 따라서 악의적인 단말이 반복적인 무선 자원 할당/해제를 통한 대량의 시그널링 메시지를 유발시킴으로써 무선 자원을 관리하는 모바일 망 장비의 장애를 유발하는 공격을 시도할 수 있는데, 이를 시그널링 DoS라고 한다.
도 1은 일반적인 4G LTE 망에서의 시그널링 DoS 발생 원리를 설명하는 도면이다.
도 1에 도시한 바와 같이, 기존의 3G WCDMA 망의 경우 데이터 통신 경로와 시그널링 메시지 통신 경로가 동일하기 때문에, 망 장비 증설을 통하여 시그널링 DoS에 대한 위협을 감소시킬 수 있다. 하지만 4G LTE 망의 경우 데이터 통신 경로와 시그널링 메시지 통신 경로가 분리되어 있기 때문에, 데이터 트래픽 량 증가에 대응하여 데이터 통신 대역폭만을 증가시킬 경우 시그널링 DoS에 대한 위협을 감소시킬 수 없다.
따라서 앞으로 4G LTE 망을 이용하게 되는 경우, 공격자가 상대적으로 대역폭이 좁은 시그널링 메시지 경로를 노려서 시그널링 DoS 공격을 시도하게 되면 eNodeB, 및 MME 등의 제어 메시지를 처리하는 망 장비에 장애를 유발시킬 것으로 우려된다.
따라서 이러한 종래 기술의 문제점을 해결하기 위한 것으로, 본 발명의 목적은 제어 메시지를 분석하여 그 분석한 결과로 단말별 무선 자원의 할당 및 해지 기간을 탐지하고, 탐지된 무선 자원의 할당 및 해지 기간의 시간 차를 기반으로 시그널링 DoS의 발생 여부를 탐지하도록 하는 이동통신망에서 시그널링 DoS 트래픽을 탐지하기 위한 시스템 및 그 방법을 제공하는데 있다.
그러나 본 발명의 목적은 상기에 언급된 사항으로 제한되지 않으며, 언급되지 않은 또 다른 목적들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
상기 목적들을 달성하기 위하여, 본 발명의 한 관점에 따른 시그널링 DoS 트래픽을 탐지하기 위한 시스템은 GTP-C 제어 메시지를 분석하여 그 분석한 결과에 따라 단말별 무선 자원의 할당 및 해지를 탐지하는 무선자원 탐지부; 탐지된 상기 무선 자원을 할당 및 해지하는 기간 동안 송수신되는 트래픽을 분석하여 그 분석한 결과에 따라 비정상적 무선 자원의 할당을 식별하는 비정상 무선자원 식별부; 및 식별된 상기 비정상적인 무선자원을 할당 및 해지하는 시간차를 분석하여 그 분석한 결과에 따라 시그널링 DoS를 탐지하는 시그널링 DoS 탐지부를 포함할 수 있다.
바람직하게, 상기 무선자원 탐지부는 이동통신망 내부의 MME와 S-GW 사이의 구간에서 송수신되는 Modify Bearer Request, Modify Bearer Response 메시지를 분석하고, 그 분석한 결과에 따라 해당 단말의 상기 무선 자원에 대한 할당이 이루어졌음을 탐지하는 것을 특징으로 한다.
바람직하게, 상기 무선자원 탐지부는 연결이 해지되는 시점에서 MME와 S-GW 사이의 구간에서 송수신되는 Release Access Bearer Request, Release Access Bearer Response 메시지를 분석하고, 그 분석한 결과 에 따라 해당 단말의 상기 무선 자원에 대한 해지가 이루어졌음을 탐지하는 것을 특징으로 한다.
바람직하게, 상기 비정상 무선자원 식별부는 이동통신망 내부의 eNB와 S-GW 사이의 구간에서 특정 연결 시간동안 해당 단말이 송신하는 트래픽을 분석하여 그 분석한 결과에 따라 해당 연결이 정상인지 비정상인지를 식별하는 것을 특징으로 한다.
바람직하게, 상기 시그널링 DoS 탐지부는 특정 단말의 비정상적인 무선 자원 할당에 대한 스코어를 각 단말별로 누적 계산하여, 그 누적 계산된 각 단말별 스코어가 기 설정된 임계값 이상이 될 경우 시그널링 DoS로 탐지하는 것을 특징으로 한다.
바람직하게, 상기 시그널링 DoS 탐지부는 상기 단말별 스코어를 다음의 수학식 
에 의해 구하고, 여기서, 상기 S는 스코어, i는 현재 측정시점, i-1은 이전 측정시점이며, 상기 T는 비정상적 무선 할당이 발생한 시간의 간격이고, 상기 α는 T가 정상적인 시간간격을 가질 경우 T<α, 비정상적인 시간간격을 가질 경우 T≥α가 되도록 설정하는 변수를 나타내는 것을 특징으로 한다.
본 발명의 다른 한 관점에 따른 시그널링 DoS 트래픽을 탐지하기 위한 방법은 GTP-C 제어 메시지를 분석하여 그 분석한 결과에 따라 단말별 무선 자원의 할당 및 해지를 탐지하는 무선자원 탐지단계; 탐지된 상기 무선 자원을 할당 및 해지하는 기간 동안 송수신되는 트래픽을 분석하여 그 분석한 결과에 따라 비정상적 무선 자원의 할당을 식별하는 비정상 무선자원 식별단계; 및 식별된 상기 비정상적인 무선자원을 할당 및 해지하는 시간차를 분석하여 그 분석한 결과에 따라 시그널링 DoS를 탐지하는 시그널링 DoS 탐지단계를 포함할 수 있다.
바람직하게, 상기 무선자원 탐지단계는 이동통신망 내부의 MME와 S-GW 사이의 구간에서 송수신되는 Modify Bearer Request, Modify Bearer Response 메시지를 분석하고, 그 분석한 결과에 따라 해당 단말의 상기 무선 자원에 대한 할당이 이루어졌음을 탐지하는 것을 특징으로 한다.
바람직하게, 상기 무선자원 탐지단계는 연결이 해지되는 시점에서 MME와 S-GW 사이의 구간에서 송수신되는 Release Access Bearer Request, Release Access Bearer Response 메시지를 분석하고, 그 분석한 결과 에 따라 해당 단말의 상기 무선 자원에 대한 해지가 이루어졌음을 탐지하는 것을 특징으로 한다.
바람직하게, 상기 비정상 무선자원 식별단계는 이동통신망 내부의 eNB와 S-GW 사이의 구간에서 특정 연결 시간동안 해당 단말이 송신하는 트래픽을 분석하여 그 분석한 결과에 따라 해당 연결이 정상인지 비정상인지를 식별하는 것을 특징으로 한다.
바람직하게, 상기 시그널링 DoS 탐지단계는 특정 단말의 비정상적인 무선 자원 할당에 대한 스코어를 각 단말별로 누적 계산하여, 그 누적 계산된 각 단말별 스코어가 기 설정된 임계값 이상이 될 경우 시그널링 DoS로 탐지하는 것을 특징으로 한다.
바람직하게, 상기 시그널링 DoS 탐지단계는 상기 단말별 스코어를 다음의 수학식 
에 의해 구하고, 여기서, 상기 S는 스코어, i는 현재 측정시점, i-1은 이전 측정시점이며, 상기 T는 비정상적 무선 할당이 발생한 시간의 간격이고, 상기 α는 T가 정상적인 시간간격을 가질 경우 T<α, 비정상적인 시간간격을 가질 경우 T≥α가 되도록 설정하는 변수를 나타내는 것을 특징으로 한다.
이를 통해, 본 발명은 제어 메시지를 분석하여 그 분석한 결과로 단말별 무선 자원의 할당 및 해지 기간을 탐지하고, 탐지된 무선 자원의 할당 및 해지 기간의 시간 차를 기반으로 시그널링 DoS의 발생 여부를 탐지하도록 함으로써, 시그널링 DoS 트래픽을 효율적으로 차단할 수 있는 효과가 있다.
또한 본 발명은 시그널링 DoS 트래픽을 효율적으로 차단하는 것이 가능하기 때문에 이동통신망 내에 있는 장비의 장애 유발을 미연에 방지할 수 있는 효과가 있다.
도 1은 일반적인 4G LTE 망에서의 시그널링 DoS 발생 원리를 설명하는 도면이다.
도 2는 본 발명의 일 실시예에 따른 시그널링 DoS 트래픽을 탐지하기 위한 시스템을 나타내는 도면이다.
도 3은 본 발명의 일 실시예에 따른 시그널링 DoS 탐지 원리를 설명하기 위한 도면이다.
도 4는 본 발명의 일 실시예에 따른 시그널링 DoS 트래픽을 탐지하기 방법을 나타내는 도면이다.
도 5는 본 발명의 일 실시예에 따른 시그널링 DoS 탐지 알고리즘을 나타내는 제1 도면이다.
도 6은 본 발명의 일 실시예에 따른 시그널링 DoS 탐지 알고리즘을 나타내는 제2 도면이다.
도 7은 본 발명의 일 실시예에 따른 시그널링 DoS 탐지 알고리즘을 나타내는 제3 도면이다.
도 8은 본 발명의 일 실시예에 따른 시그널링 DoS 탐지 알고리즘을 나타내는 제4 도면이다.
도 9는 본 발명의 일 실시예에 따른 시그널링 DoS 탐지 알고리즘을 나타내는 제5 도면이다.
도 10은 본 발명의 일 실시예에 따른 시그널링 DoS 탐지 알고리즘을 나타내는 제6 도면이다.
도 11은 본 발명의 일 실시예에 따른 시그널링 DoS 탐지 알고리즘을 나타내는 제7 도면이다.
도 2는 본 발명의 일 실시예에 따른 시그널링 DoS 트래픽을 탐지하기 위한 시스템을 나타내는 도면이다.
도 3은 본 발명의 일 실시예에 따른 시그널링 DoS 탐지 원리를 설명하기 위한 도면이다.
도 4는 본 발명의 일 실시예에 따른 시그널링 DoS 트래픽을 탐지하기 방법을 나타내는 도면이다.
도 5는 본 발명의 일 실시예에 따른 시그널링 DoS 탐지 알고리즘을 나타내는 제1 도면이다.
도 6은 본 발명의 일 실시예에 따른 시그널링 DoS 탐지 알고리즘을 나타내는 제2 도면이다.
도 7은 본 발명의 일 실시예에 따른 시그널링 DoS 탐지 알고리즘을 나타내는 제3 도면이다.
도 8은 본 발명의 일 실시예에 따른 시그널링 DoS 탐지 알고리즘을 나타내는 제4 도면이다.
도 9는 본 발명의 일 실시예에 따른 시그널링 DoS 탐지 알고리즘을 나타내는 제5 도면이다.
도 10은 본 발명의 일 실시예에 따른 시그널링 DoS 탐지 알고리즘을 나타내는 제6 도면이다.
도 11은 본 발명의 일 실시예에 따른 시그널링 DoS 탐지 알고리즘을 나타내는 제7 도면이다.
이하에서는, 본 발명의 실시예에 따른 이동통신망에서 시그널링 DoS 트래픽을 탐지하기 위한 시스템 및 그 방법을 첨부한 도면을 참조하여 설명한다. 본 발명에 따른 동작 및 작용을 이해하는데 필요한 부분을 중심으로 상세히 설명한다.
또한, 본 발명의 구성 요소를 설명하는 데 있어서, 동일한 명칭의 구성 요소에 대하여 도면에 따라 다른 참조부호를 부여할 수도 있으며, 서로 다른 도면임에도 불구하고 동일한 참조부호를 부여할 수도 있다. 그러나, 이와 같은 경우라 하더라도 해당 구성 요소가 실시예에 따라 서로 다른 기능을 갖는다는 것을 의미하거나, 서로 다른 실시예에서 동일한 기능을 갖는다는 것을 의미하는 것은 아니며, 각각의 구성 요소의 기능은 해당 실시예에서의 각각의 구성요소에 대한 설명에 기초하여 판단하여야 할 것이다.
특히, 본 발명에서는 제어 메시지를 분석하여 그 분석한 결과로 단말별 무선 자원의 할당 및 해지 기간을 탐지하고, 탐지된 무선 자원의 할당 및 해지 기간의 시간 차를 기반으로 시그널링 DoS의 발생 여부를 탐지하도록 하는 새로운 방안을 제안한다.
도 2는 본 발명의 일 실시예에 따른 시그널링 DoS 트래픽을 탐지하기 위한 시스템을 나타내는 도면이다.
도 2에 도시한 바와 같이, 본 발명에 따른 시그널링 DoS 트래픽을 탐지하기 위한 시스템은 무선자원 탐지부(210), 비정상 무선자원 식별부(220), 시그널링 DoS 탐지부(230) 등을 포함하여 구성될 수 있다.
무선자원 탐지부(210)는 GTP-C 제어 메시지를 분석하여 그 분석한 결과에 따라 단말별 무선 자원의 할당 및 해지를 탐지할 수 있다.
4G 이동통신망에서는 단말에 무선 자원이 할당되는 경우는 크게 세 가지 경우로 분류될 수 있다. 초기 Attach를 통한 할당의 경우와 핸드오버(Handover)를 통한 할당, 휴지 상태에서 활성 상태로의 전환을 통한 할당의 경우로, 세 경우 모두 MME와 S-GW 사이의 구간인 S11 구간에서 Modify Bearer Request, Modify Bearer Response 메시지를 주고받는다. S11 구간에서 이 메시지 쌍을 확인한다면, 해당 단말의 무선 자원에 대한 할당이 이루어졌음을 탐지할 수 있다.
무선 자원이 해지되는 경우 역시 세 가지 경우로 분류가 가능한데, Detach를 통한 해지, 핸드오버를 통한 다른 eNB 구간으로의 전환을 통한 해지, 활성 상태에서 휴지 상태로의 전환을 통한 해지의 경우로 나눌 수 있다. 이 가운데 Detach를 통한 해지의 경우에는 활성-휴지 상태 전환을 통한 공격보다 재연결까지 더 많은 시간이 소요되므로 시그널링 DoS의 공격방법으로 효과적이지 않으며, 핸드오버의 경우 역시 비정상적인 무선 자원 할당으로의 조작이 어려우므로 본 발명의 고려대상에서 제외한다. 상태 전환을 통한 무선 자원 연결의 경우, 연결이 해지되는 시점에서 S11 구간을 모니터링하면 Release Access Bearer Request, Release Access Bearer Response 메시지를 주고받는 것을 알 수 있다. 따라서 S11 구간에서 이 메시지 쌍을 확인한다면, 해당 단말의 무선 자원에 대한 해지가 이루어졌음을 탐지할 수 있다.
무선자원 식별부(220)는 탐지된 무선 자원을 할당 및 해지하는 기간 동안 송수신되는 트래픽을 분석하여 그 분석한 결과에 따라 비정상적 무선 자원의 할당을 식별할 수 있다.
Modify Bearer Request와 Modify Bearer Response 메시지를 통한 연결이 정상임을 확인하기 위해서는, 해당 연결시각에서 해지시각까지 생성된 데이터 베어러를 통하여 데이터 트래픽이 정상적으로 발생하는지를 확인한다. 다수의 시그널링 메시지를 발생시켜서 망에 부하를 주는 연결은 반복적인 연결을 위하여 망에 전송하는 데이터 트래픽이 없거나 극소량 발생하는 특징을 가진다. 따라서 eNB와 S-GW 사이의 구간인 S1-U 구간의 트래픽을 모니터링하여, 특정 연결 시간동안 해당 단말이 송신하는 트래픽을 확인한다면, 해당 연결이 정상인지 비정상인지를 판별이 가능하다.
특정 패킷에서 송신한 단말을 식별하기 위해서는 이전 단계에서 관찰된 Modify Bearer Request와 Modify Bearer Response 메시지를 확인한다. 망 장비들은 각 단말의 데이터를 구분하기 위하여 TEID(Tunnel Endpoint Identifier)를 식별자로 사용하는데, Modify Bearer Request 메시지에는 S1-U 구간에서 eNB가 사용할 TEID 정보가 들어가며, Modify Bearer Response 메시지에는 S1-U 구간에서 S-GW가 사용할 TEID 정보가 들어간다. 따라서, 이 정보를 미리 데이터베이스화하여 관리한다면, 해당 TEID를 사용하는 데이터 패킷이 어떤 단말인지를 식별할 수 있다.
시그널링 DoS 탐지부(230)는 식별된 비정상적인 무선자원을 할당 및 해지하는 시간차를 분석하여 그 분석한 결과에 따라 시그널링 DoS를 탐지할 수 있다.
특정 단말에 대한 비정상적인 무선 자원 할당 정보를 누적하여 관리하면, 얼마나 반복적이고 주기적으로 비정상적인 무선 자원 할당이 발생하였는지에 대한 분석이 가능하다. 시그널링 DoS 탐지는 그림 3과 같이 비정상적인 무선 자원 할당에 대한 스코어를 각 단말별로 누적 계산하여, 그 값이 임계값 k 이상이 될 경우 시그널링 DoS로 탐지하도록 한다.
이러한 비정상적인 무선 자원 할당에 대한 스코어 Si는 다음의 [수학식 1]과 같이 나타낸다.
[수학식 1]
여기서, S는 스코어, i는 현재 측정시점, i-1은 이전 측정시점이며, T는 비정상적 무선 할당이 발생한 시간의 간격이고, α는 T가 정상적인 시간간격을 가질 경우 T<α, 비정상적인 시간간격을 가질 경우 T≥α가 되도록 설정하는 변수를 나타낸다.
도 3은 본 발명의 일 실시예에 따른 시그널링 DoS 탐지 원리를 설명하기 위한 도면이다.
도 3에 도시한 바와 같이, 비정상적 무선 자원 할당 발생에 따라 T2를 합산하는 경우 정상적인 시간간격을 가져서 누적값 Si가 감소한 경우를 보여주고 있다.
도 4는 본 발명의 일 실시예에 따른 시그널링 DoS 트래픽을 탐지하기 방법을 나타내는 도면이다.
도 4에 도시한 바와 같이, 본 발명에 따른 시그널링 DoS 트래픽을 탐지하기 시스템(이하, 탐지 시스템이라고 한다)은 GTP-C 제어 메시지를 분석하여 그 분석한 결과에 따라 단말별 무선 자원의 할당 및 해지를 탐지할 수 있다(S410).
즉, 탐지 시스템은 이동통신망 내부의 MME와 S-GW 사이의 구간인 S11 구간에서 송수신되는 Modify Bearer Request, Modify Bearer Response 메시지를 분석하여 해당 단말의 무선 자원에 대한 할당이 이루어졌음을 탐지하게 된다.
그리고 탐지 시스템은 연결이 해지되는 시점에서 MME와 S-GW 사이의 구간인 S11 구간에서 송수신되는 Release Access Bearer Request, Release Access Bearer Response 메시지를 분석하여 해당 단말의 무선 자원에 대한 해지가 이루어졌음을 탐지하게 된다.
다음으로, 탐지 시스템은 탐지된 무선 자원을 할당 및 해지하는 기간 동안 송수신되는 트래픽을 분석하여 그 분석한 결과에 따라 비정상적 무선 자원의 할당을 식별할 수 있다(S420).
즉, 탐지 시스템은 eNB와 S-GW 사이의 구간인 S1-U 구간에서 특정 연결 시간동안 해당 단말이 송신하는 트래픽을 분석하여 해당 연결이 정상인지 비정상인지를 식별하게 된다.
다음으로, 탐지 시스템은 그 식별된 비정상적인 무선자원을 할당 및 해지하는 시간차를 분석하여 그 분석한 결과에 따라 시그널링 DoS를 탐지할 수 있다(S430).
즉, 탐지 시스템은 특정 단말의 비정상적인 무선 자원 할당에 대한 스코어를 앞에서 설명한 [수학식 1]을 이용하여 각 단말별로 누적 계산하여, 그 누적 계산된 각 단말별 스코어가 기 설정된 임계값 이상이 될 경우 시그널링 DoS로 탐지하게 된다.
이하에서는 본 발명에 따른 시그널링 DoS 탐지 알고리즘을 구현한 일 예를 설명하기로 한다.
도 5는 본 발명의 일 실시예에 따른 시그널링 DoS 탐지 알고리즘을 나타내는 제1 도면이다.
도 5에 도시한 바와 같이, 본 발명에 따른 시그널링 DoS 탐지 알고리즘을 보여주고 있는데, 메시지 타입(Message Type)은 0x001은 modify bearer 메시지를 나타내고 0x002는 release access bearer 메시지를 나타낸다. 그리고 Cul_CNT는 Value의 Mod/Rel_Time 수를 나타내는데, 모든 과정 수행 후 Cul_CNT는 무조건 짝수가 된다.
도 6은 본 발명의 일 실시예에 따른 시그널링 DoS 탐지 알고리즘을 나타내는 제2 도면이다.
도 6에 도시한 바와 같이, 본 발명에 따른 시그널링 DoS 탐지 알고리즘을 보여주고 있는데, 특히, modify 메시지를 처리하는 단계에 대한 상세한 과정을 나타낸다.
도 7은 본 발명의 일 실시예에 따른 시그널링 DoS 탐지 알고리즘을 나타내는 제3 도면이다.
도 7에 도시한 바와 같이, 본 발명에 따른 시그널링 DoS 탐지 알고리즘을 보여주고 있는데, 특히, Release 메시지를 처리하는 단계에 대한 상세한 과정을 나타낸다.
도 8은 본 발명의 일 실시예에 따른 시그널링 DoS 탐지 알고리즘을 나타내는 제4 도면이다.
도 8에 도시한 바와 같이, 본 발명에 따른 시그널링 DoS 탐지 알고리즘을 보여주고 있는데, 특히, Table 구성을 완료하는 단계에 대한 상세한 과정을 나타낸다.
modify bearer 메시지 이후 release access bearer 메시지가 없는 경우 임시로 Rel_Time을 60으로 설정하여 짝수개의 culumn을 갖도록 한다.
다음 단계에서, 이 구간에서 수집되는 패킷 수는 다음 GTP-U 가공정보가 들어올 때, 첫 release 메시지가 확인되는 구간까지 수집된 패킷 수와 합산하여 계산된다.
도 9는 본 발명의 일 실시예에 따른 시그널링 DoS 탐지 알고리즘을 나타내는 제5 도면이다.
도 9에 도시한 바와 같이, 본 발명에 따른 시그널링 DoS 탐지 알고리즘을 보여주고 있는데, 특히, Table 구성 완료 이후인 단계 2의 상세한 과정을 나타낸다.
Decision Table은 Mod-Rel 구간의 Virtual Setup을 확인하는 Table을 나타낸다.
PKT_CNT는 해당 구간에 Outbound Packet이 발생할 때마다 1 증가하고, 2 이상이면 virtual Setup이 아닌 것으로 판단 가능하면, 초기 값은 0으로 설정된다.
또한, Index는 구간 정보를 찾기 위한 임시값으로서, 초기 값은 1로 설정된다.
도 10은 본 발명의 일 실시예에 따른 시그널링 DoS 탐지 알고리즘을 나타내는 제6 도면이다.
도 10에 도시한 바와 같이, 본 발명에 따른 시그널링 DoS 탐지 알고리즘을 보여주고 있는데, 특히, Table 구성 완료 이후인 단계 2의 상세한 과정을 나타낸다.
Decision History Table은 마지막 Mod_Time, Rel_Time과 해당 구간에 수신된 Outbound 패킷 수를 저장한다.
그리고 다음 GTP-U 가공 정보가 들어올 때 해당 유저(user)의 Mod_Time이 0인 경우 Decision History Table에서 Rel_Time이 60인 값을 확인하여 합산하게 된다.
도 11은 본 발명의 일 실시예에 따른 시그널링 DoS 탐지 알고리즘을 나타내는 제7 도면이다.
도 11에 도시한 바와 같이, 본 발명에 따른 시그널링 DoS 탐지 알고리즘을 보여주고 있는데, 특히, Table 구성 완료 이후인 단계 3의 상세한 과정을 나타낸다.
R = max (R + ( -T / a + 1 ), 0)이고, T = CST(Current Setup Time) - LST(Last Setup Time)이며, LST = (이전 Mod_Time이 0이 아닐 경우) 이전 Mod_Time, (이전 Mod_Time이 0일 경우) Decision History Table의 Mod_Time을 나타낸다.
그리고 a, h는 설정 가능한 변수 값으로서, 초기값은 a= 7.1138, h=3으로 설정하게 된다. Index는 구간 정보를 찾기 위한 임시값으로서, 초기값은 1로 설정하게 된다. VS Table은 Virtual Setup이 발생한 IP와 TimeStamp를 기록하게 된다.
한편, 상술한 본 발명의 실시예들은 컴퓨터에서 실행될 수 있는 프로그램으로 작성가능하고, 컴퓨터로 읽을 수 있는 기록매체를 이용하여 상기 프로그램을 동작시키는 범용 디지털 컴퓨터에 서 구현될 수 있다. 상기 컴퓨터로 읽을 수 있는 기록매체는 마그네틱 저장매체(예를 들면, 롬, 플로피 디스크, 하드 디스크 등), 광학적 판독 매체(예를 들면, 시디롬, 디브이디 등)와 같은 저장매체를 포함한다.
이상에서 설명한 실시예들은 일 예로로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
210: 무선자원 탐지부
220: 비정상 무선자원 식별부
230: 시그널링 DoS 탐지부
220: 비정상 무선자원 식별부
230: 시그널링 DoS 탐지부
Claims (12)
- 4G LTE망에서 시그널링 DoS 트래픽을 탐지하는 시스템에 있어서,
GTP-C 제어 메시지를 분석하여 그 분석한 결과에 따라 단말별 무선 자원의 할당 및 해지를 탐지하는 무선자원 탐지부;
탐지된 상기 무선 자원을 할당 및 해지하는 기간 동안 송수신되는 트래픽을 분석하여 그 분석한 결과에 따라 비정상적 무선 자원의 할당을 식별하는 비정상 무선자원 식별부; 및
식별된 상기 비정상적인 무선자원을 할당 및 해지하는 시간차를 분석하여 그 분석한 결과에 따라 시그널링 DoS를 탐지하는 시그널링 DoS 탐지부를 포함하여 구성되며,
상기 무선자원 탐지부는 이동통신망 내부의 MME와 S-GW 사이의 구간에서 송수신되는 Modify Bearer Request, Modify Bearer Response 메시지를 분석하고, 그 분석한 결과에 따라 해당 단말의 상기 무선 자원에 대한 할당이 이루어졌음을 탐지하고, 연결이 해지되는 시점에서 MME와 S-GW 사이의 구간에서 송수신되는 Release Access Bearer Request, Release Access Bearer Response 메시지를 분석하고, 그 분석한 결과에 따라 해당 단말의 상기 무선 자원에 대한 해지가 이루어졌음을 탐지하며,
상기 비정상 무선자원 식별부는 이동통신망 내부의 eNB와 S-GW 사이의 구간에서 특정 연결 시간동안 해당 단말이 송신하는 트래픽을 분석하여 그 분석한 결과에 따라 해당 연결이 정상인지 비정상인지를 식별하는 것을 특징으로 하는 시그널링 DoS 트래픽을 탐지하기 위한 시스템.
- 삭제
- 삭제
- 삭제
- 제1 항에 있어서,
상기 시그널링 DoS 탐지부는,
특정 단말의 비정상적인 무선 자원 할당에 대한 스코어를 각 단말별로 누적 계산하여, 그 누적 계산된 각 단말별 스코어가 기 설정된 임계값 이상이 될 경우 시그널링 DoS로 탐지하는 것을 특징으로 하는 시그널링 DoS 트래픽을 탐지하기 위한 시스템.
- 제5 항에 있어서,
상기 시그널링 DoS 탐지부는,
상기 단말별 스코어를 다음의 수학식에 의해 구하고, 여기서, 상기 S는 스코어, i는 현재 측정시점, i-1은 이전 측정시점이며, 상기 T는 비정상적 무선 할당이 발생한 시간의 간격이고, 상기 α는 T가 정상적인 시간간격을 가질 경우 T<α, 비정상적인 시간간격을 가질 경우 T≥α가 되도록 설정하는 변수를 나타내는 것을 특징으로 하는 시그널링 DoS 트래픽을 탐지하기 위한 시스템.
- 4G LTE망에서 시그널링 DoS 트래픽을 탐지하는 시스템에 있어서,
GTP-C 제어 메시지를 분석하여 그 분석한 결과에 따라 단말별 무선 자원의 할당 및 해지를 탐지하는 무선자원 탐지단계;
탐지된 상기 무선 자원을 할당 및 해지하는 기간 동안 송수신되는 트래픽을 분석하여 그 분석한 결과에 따라 비정상적 무선 자원의 할당을 식별하는 비정상 무선자원 식별단계; 및
식별된 상기 비정상적인 무선자원을 할당 및 해지하는 시간차를 분석하여 그 분석한 결과에 따라 시그널링 DoS를 탐지하는 시그널링 DoS 탐지단계를 포함하여 이루어지며,
상기 무선자원 탐지단계는 이동통신망 내부의 MME와 S-GW 사이의 구간에서 송수신되는 Modify Bearer Request, Modify Bearer Response 메시지를 분석하고, 그 분석한 결과에 따라 해당 단말의 상기 무선 자원에 대한 할당이 이루어졌음을 탐지하고, 연결이 해지되는 시점에서 MME와 S-GW 사이의 구간에서 송수신되는 Release Access Bearer Request, Release Access Bearer Response 메시지를 분석하고, 그 분석한 결과에 따라 해당 단말의 상기 무선 자원에 대한 해지가 이루어졌음을 탐지하며,
상기 비정상 무선자원 식별단계는 이동통신망 내부의 eNB와 S-GW 사이의 구간에서 특정 연결 시간동안 해당 단말이 송신하는 트래픽을 분석하여 그 분석한 결과에 따라 해당 연결이 정상인지 비정상인지를 식별하는 것을 특징으로 하는 시그널링 DoS 트래픽을 탐지하기 위한 방법.
- 삭제
- 삭제
- 삭제
- 제7 항에 있어서,
상기 시그널링 DoS 탐지단계는,
특정 단말의 비정상적인 무선 자원 할당에 대한 스코어를 각 단말별로 누적 계산하여, 그 누적 계산된 각 단말별 스코어가 기 설정된 임계값 이상이 될 경우 시그널링 DoS로 탐지하는 것을 특징으로 하는 시그널링 DoS 트래픽을 탐지하기 위한 방법.
- 제11 항에 있어서,
상기 시그널링 DoS 탐지단계는,
상기 단말별 스코어를 다음의 수학식에 의해 구하고, 여기서, 상기 S는 스코어, i는 현재 측정시점, i-1은 이전 측정시점이며, 상기 T는 비정상적 무선 할당이 발생한 시간의 간격이고, 상기 α는 T가 정상적인 시간간격을 가질 경우 T<α, 비정상적인 시간간격을 가질 경우 T≥α가 되도록 설정하는 변수를 나타내는 것을 특징으로 하는 시그널링 DoS 트래픽을 탐지하기 위한 방법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020130160993A KR101564228B1 (ko) | 2013-12-23 | 2013-12-23 | 이동통신망에서 시그널링 DoS 트래픽을 탐지하기 위한 시스템 및 그 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020130160993A KR101564228B1 (ko) | 2013-12-23 | 2013-12-23 | 이동통신망에서 시그널링 DoS 트래픽을 탐지하기 위한 시스템 및 그 방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20150073375A KR20150073375A (ko) | 2015-07-01 |
| KR101564228B1 true KR101564228B1 (ko) | 2015-10-29 |
Family
ID=53786911
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020130160993A KR101564228B1 (ko) | 2013-12-23 | 2013-12-23 | 이동통신망에서 시그널링 DoS 트래픽을 탐지하기 위한 시스템 및 그 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101564228B1 (ko) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20220080742A (ko) | 2020-11-25 | 2022-06-15 | 주식회사 모비젠 | 시그널링 DoS 트래픽 탐지 방법 및 장치 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102279293B1 (ko) | 2020-08-07 | 2021-07-20 | 한국인터넷진흥원 | 비암호화 채널 탐지 방법 및 장치 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101149587B1 (ko) * | 2011-10-31 | 2012-05-29 | 한국인터넷진흥원 | 이동통신망의 시그널링 도스 트래픽 탐지방법 |
-
2013
- 2013-12-23 KR KR1020130160993A patent/KR101564228B1/ko active IP Right Grant
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101149587B1 (ko) * | 2011-10-31 | 2012-05-29 | 한국인터넷진흥원 | 이동통신망의 시그널링 도스 트래픽 탐지방법 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20220080742A (ko) | 2020-11-25 | 2022-06-15 | 주식회사 모비젠 | 시그널링 DoS 트래픽 탐지 방법 및 장치 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20150073375A (ko) | 2015-07-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102039842B1 (ko) | 네트워크 공격 방지 방법, 장치 및 시스템 | |
| Abdelrahman et al. | Signalling storms in 3G mobile networks | |
| EP2792178B1 (en) | Method for detection of persistent malware on a network node | |
| JP7268240B2 (ja) | シグナリングストームブロッキング方法、装置、およびデバイス、ならびに記憶媒体 | |
| EP3863317A1 (en) | Method and device for determining category information | |
| EP2717504B1 (en) | Method for analyzing signaling traffic | |
| US11765200B2 (en) | Methods, nodes and operator network for enabling management of an attack towards an application | |
| JP2016528820A (ja) | ユーザ・トラフィック・プロファイルに基づいたlteマルチキャリアの負荷均衡化のための方法およびシステム | |
| Gupta et al. | Detecting MS initiated signaling DDoS attacks in 3G/4G wireless networks | |
| CN108028828B (zh) | 一种分布式拒绝服务DDoS攻击检测方法及相关设备 | |
| US20210250811A1 (en) | Method for controlling connection between terminal and network, and related apparatus | |
| KR101564228B1 (ko) | 이동통신망에서 시그널링 DoS 트래픽을 탐지하기 위한 시스템 및 그 방법 | |
| Gelenbe et al. | Detection and mitigation of signaling storms in mobile networks | |
| WO2017140710A1 (en) | Detection of malware in communications | |
| Gelenbe et al. | Countering mobile signaling storms with counters | |
| CN110972199B (zh) | 一种流量拥塞监测方法及装置 | |
| WO2022027572A1 (en) | Security management service in management plane | |
| Park et al. | Threats and countermeasures on a 4G mobile network | |
| KR20220080742A (ko) | 시그널링 DoS 트래픽 탐지 방법 및 장치 | |
| KR101253615B1 (ko) | 이동통신망의 보안 시스템 | |
| KR101149587B1 (ko) | 이동통신망의 시그널링 도스 트래픽 탐지방법 | |
| KR102276090B1 (ko) | 트래픽 데이터 재배열 방법 및 그 장치 | |
| Park et al. | Vestiges of past generation: threats to 5G core network | |
| Gelenbe et al. | Time-outs and counters against storms | |
| KR101857515B1 (ko) | 서비스에 의해 소비된 무선 인터페이스 자원을 결정하는 탐지 기구 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20181024 Year of fee payment: 4 |
|
| FPAY | Annual fee payment |
Payment date: 20200213 Year of fee payment: 5 |