KR101586626B1 - SIP Detection System and SIP Attack and Abnormal Detection Method Thereby In 4G Mobile Communication Network - Google Patents

SIP Detection System and SIP Attack and Abnormal Detection Method Thereby In 4G Mobile Communication Network Download PDF

Info

Publication number
KR101586626B1
KR101586626B1 KR1020150006881A KR20150006881A KR101586626B1 KR 101586626 B1 KR101586626 B1 KR 101586626B1 KR 1020150006881 A KR1020150006881 A KR 1020150006881A KR 20150006881 A KR20150006881 A KR 20150006881A KR 101586626 B1 KR101586626 B1 KR 101586626B1
Authority
KR
South Korea
Prior art keywords
sip
detectsession
list
call
exists
Prior art date
Application number
KR1020150006881A
Other languages
Korean (ko)
Inventor
김환국
김세권
구본민
박성민
고은혜
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020150006881A priority Critical patent/KR101586626B1/en
Application granted granted Critical
Publication of KR101586626B1 publication Critical patent/KR101586626B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • H04L65/1006
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/1016IP multimedia subsystem [IMS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1101Session protocols
    • H04L65/1104Session initiation protocol [SIP]

Abstract

Disclosed are a system for detecting a session initiation protocol (SIP) attack and an abnormal activity, which can reduce overload and a fault occurring in network equipment, and a method for detecting an SIP attack and an abnormality by the same. According to the present invention, the SIP detection system in a 4G mobile communication network comprises: a subscriber terminal to be connected to an IP multimedia subsystem (IMS) network which provides a VoLTE service to transmit an SIP request message; an IMS to transmit an SIP response message to the subscriber terminal via the IMS network in response to the SIP request message; and an SIP detection device to receive the SIP response message from each subscriber terminal, and calculate an accumulation value accumulated for a period of time predetermined for each subscriber terminal from a response code of an SIP header contained in the received SIP response message to treat as an SIP attack and an abnormal activity if the accumulation value exceeds a threshold. Accordingly, the present invention detects an SIP attack and an abnormal activity in advance based on response SIP traffic to reduce overload and a fault occurring in IMS network equipment and DoS.

Description

4G 이동통신망에서의 SIP 탐지 시스템 및 그에 의한 SIP 공격과 비정상 탐지 방법{SIP Detection System and SIP Attack and Abnormal Detection Method Thereby In 4G Mobile Communication Network}Technical Field [0001] The present invention relates to a SIP detection system in a 4G mobile communication network, and a SIP attack and an abnormal detection method using the SIP detection system and a SIP attack and an abnormal detection method in a 4G mobile communication network.

본 발명은 4G 이동통신망에서의 SIP 공격과 비정상 행위를 탐지하기 위한 시스템 및 그에 의한 SIP 공격과 비정상 탐지 방법에 관한 것으로서, 더욱 상세하게는 IMS에서 발생하는 과부하 및 장애를 줄일 수 있는 SIP 공격과 비정상 행위를 탐지하기 위한 4G 이동통신망에서의 시스템 및 그에 의한 SIP 공격과 비정상 탐지 방법에 관한 것이다.The present invention relates to a system for detecting a SIP attack and an abnormal behavior in a 4G mobile communication network, and a SIP attack and an abnormal detection method by the system, and more particularly, to a SIP attack and an abnormal A system in a 4G mobile communication network for detecting an action, and a SIP attack and an abnormal detection method by the system.

일반적으로, 4세대 이동통신은 스마트폰이 대중화됨에 따라 급증하는 데이터 트래픽 수용 및 기존 이동통신망과 유/무선 네트워크와의 융합 등을 고려하여 이동통신 국제 표준화 기구인 3GPP에 의해 LTE 기술이 표준화 되었다. Generally, LTE technology has been standardized by 3GPP, an international standardization organization for mobile communications, in consideration of the surge of data traffic and the convergence of existing mobile communication networks with wired / wireless networks as smartphones become more popular.

이러한 3GPP에서는 패킷 교환(Packet Switching, PS)에 최적화된 방식으로 LTE 기술을 설계하였기 때문에 이동통신망에 음성 서비스를 제공하기 위해 VoIP(Voice over IP) 방식을 도입하였다. 이를 위해, GSMA에서는 All IP망인 LTE 망을 통해 고품질의 음성 서비스를 제공받을 수 있도록 VoLTE(Voice over LTE)를 정의하였다.In 3GPP, since LTE technology is designed in a way that is optimized for packet switching (PS), VoIP (Voice over IP) is introduced to provide voice service to mobile communication network. To this end, GSMA defined Voice over LTE (VoLTE) to provide high-quality voice services over the LTE network, an all-IP network.

VoLTE란, 이동통신 망에서 음성, 문자, 영상통화, 멀티미디어 콘텐츠를 SIP(Session Initiation Protocol) 방식을 이용하여 IMS(IP Multimedia subsystem)망을 통해 All IP 기반의 끊김 없는 서비스를 제공하는 것을 의미한다. VoLTE means to provide all-IP-based seamless service through IMS (IP Multimedia subsystem) network by using SIP (Session Initiation Protocol) method for voice, text, video call and multimedia contents in mobile communication network.

이때, IMS는 다양한 유/무선 네트워크 및 모바일 단말에서 IP 기반의 음성 및 다양한 멀티미디어 서비스를 제공하기 위해 CSCF(Call Session control Function), AS(Application Server) 등이 존재하고, 이들간의 세션 제어 등을 위해 텍스트 기반 시그널링 프로토콜인 SIP를 사용하였다. In this case, the IMS has a CSCF (Call Session Control Function) and an AS (Application Server) in order to provide IP-based voice and various multimedia services in various wired / wireless networks and mobile terminals. We used SIP, a text-based signaling protocol.

VoLTE에서 사용하는 SIP는 텍스트 기반이기에 SIP 요청(Request) 메시지를 조작하여 SIP 서버를 공격하는 SIP Malformed 공격, SIP SQL Injection 공격 등이 존재하며, 이러한 공격은 SIP 서버 즉, CSCF 오작동 및 DoS 등의 문제를 일으킬 수 있었다.Since SIP used in VoLTE is text-based, there exist SIP Malformed attack and SIP SQL Injection attack that attack SIP server by manipulating SIP request (Request) message. These attacks are problems of SIP server, CSCF malfunction and DoS .

이를 해결하고자 종래에는 정규식 기반 SIP 요청 메시지 분석 등의 방법이 존재하지만, VoLTE에서는 VoLTE 가입자 증가에 따른 VoLTE 트래픽 증가로 인해 모든 SIP 요청 메시지를 분석 하는데 있어 어려움이 존재하였다.Conventionally, there is a method of analyzing SIP request message based on regular expression. However, in VoLTE, there is a difficulty in analyzing all SIP request messages due to an increase in VoLTE traffic due to an increase in VoLTE subscribers.

예를 들면, VoLTE 서비스를 위해 가입자 단말이 전송하는 텍스트 기반의 SIP 요청 메시지는 여과 없이 LTE의 코어망인 EPC(Evolved Packet Core)를 거쳐 IMS에 전달된다. IMS의 CSCF는 SIP 요청 메시지를 처리한 후, 그에 대한 SIP 응답 메시지를 가입자 단말에 전송하여 가입자 단말에 VoLTE 서비스를 제공하였다. For example, a text-based SIP request message transmitted by a subscriber terminal for a VoLTE service is delivered to the IMS through an EPC (Evolved Packet Core), which is a core of LTE, without filtering. The CSCF of the IMS processes the SIP request message and transmits a SIP response message to the subscriber terminal to provide a VoLTE service to the subscriber terminal.

이때 SIP 응답 메시지에는 1xx-6xx의 응답 코드(Status-code)로 구분되고, 이중에서 4xx-6xx는 SIP 요청메시지가 잘못되었거나 CSCF에서 수행할 수 없는 데이터를 담고 있었다. At this time, the SIP response message is divided into a response code (Status-code) of 1xx-6xx. Among them, 4xx-6xx contains data that the SIP request message is erroneous or can not be performed by the CSCF.

이럴 경우, 위와 같이 요청에 따른 응답의 SIP 특징에 따라 공격자는 VoLTE 서비스 공격 또는 악용을 위한 조작된 SIP 메시지를 IMS에 전송함으로써 VoLTE 서비스 또는 IMS 망에 대한 정보 수집이 가능하였으며, 또한 악성 코드에 감염된 단말 또는 해커에 의해 악의적이고 빈번한 공격/비정상 SIP 메시지 전송은 IMS 망 장비 과부화로 인한 DoS 더 나아가 IMS 장애로 인한 VoLTE 서비스 장애 등의 피해를 유발시키는 문제점을 주었다.In this case, according to the SIP characteristic of the response according to the request as described above, the attacker could collect information about VoLTE service or IMS network by transmitting a manipulated SIP message for VoLTE service attack or abuse to IMS. Also, Malicious and frequent attack / abnormal SIP message transmission by a terminal or a hacker has caused problems such as DoS caused by overloading of IMS network equipment and further damage of VoLTE service due to IMS failure.

한국공개특허 : 제2010-0067387호, 공개일자 : 2010년 06월 21일, 발명의 명칭 : 넷플로우 통계정보를 이용한 비정상 에스아이피 트래픽 폭주공격 탐지 및 모니터링시스템과 그 방법.Title: Detection and monitoring system of abnormal S-IP traffic congestion attack using net flow statistic information and method therefor.

본 발명은 상술한 문제점을 해결하기 위하여 안출된 것으로서, IMS 망에서 공격/비정상 SIP 요청 메시지에 응대하고자 SIP 응답(Response) 메시지를 기반으로 한 4G 이동통신망에서의 SIP 공격과 비정상을 탐지하기 위한 시스템 및 방법을 제공하는데 그 목적이 있다.SUMMARY OF THE INVENTION The present invention has been conceived to solve the above-mentioned problems, and it is an object of the present invention to provide a system for detecting SIP attacks and abnormalities in a 4G mobile communication network based on a SIP response message in response to an attack / And a method thereof.

상기한 바와 같은 본 발명의 목적을 달성하고, 후술하는 본 발명의 특징적인 기능을 수행하기 위한, 본 발명의 특징은 다음과 같다.The features of the present invention for achieving the objects of the present invention as described above and performing the characteristic functions of the present invention described below are as follows.

본 발명의 일 관점에 따르면, VoLTE 서비스를 제공하는 IMS 망에 접속하여 SIP(Session Initiation Protocol) 요청 메시지를 전송하는 가입자 단말기; 상기 SIP 요청 메시지에 대응하여 SIP 응답 메시지를 상기 IMS망을 통해 상기 가입자 단말기로 전송하는 IMS(IP Multimedia subsystem); 및 상기 가입자 단말기별 상기 SIP 응답 메시지를 수신하고 수신된 SIP 응답 메시지에 포함된 SIP 헤더의 응답 코드로부터 상기 가입자 단말기별로 미리 정해진 시간동안 누적된 누적값을 계산하여 임계치를 넘어설 경우 SIP 공격과 비정상 행위로 간주하는 SIP 탐지 장치를 포함하는 4G 이동통신망에서의 SIP 탐지 시스템이 제공된다.According to an aspect of the present invention, there is provided a subscriber terminal connected to an IMS network providing a VoLTE service and transmitting a Session Initiation Protocol (SIP) request message; An IMS (IP Multimedia Subsystem) for transmitting a SIP response message to the subscriber station through the IMS network in response to the SIP request message; And an accumulation value accumulated for a predetermined time period by the subscriber terminal from a response code of a SIP header included in the received SIP response message, when the SIP response message is received for each subscriber terminal, A SIP detection system in a 4G mobile communication network including a SIP detection apparatus regarded as an operation is provided.

여기서, 본 발명의 일 관점에 따른 상기 SIP 탐지 장치는 상기 응답 코드(StatusCode)가 관리 중인 응답코드 리스트에 존재할 경우 해당하는 가입자 단말기 IP를 추출하는 IP 추출부를 포함하여 이루어질 수 있다.Here, the SIP detection apparatus according to an aspect of the present invention may include an IP extraction unit for extracting a corresponding subscriber terminal IP when the response code (StatusCode) exists in the managed response code list.

또한, 본 발명의 일 관점에 따른 상기 SIP 탐지 장치는 추출된 상기 가입자 단말기 IP가 DetectSession 리스트 및 상태 리스트 객체안에 존재하는지를 각각 판단하는 클래스 판단부를 더 포함하여 이루어질 수 있다.In addition, the SIP detection apparatus according to an aspect of the present invention may further include a class determination unit for determining whether the extracted subscriber station IP exists in a DetectSession list and a status list object, respectively.

또한, 본 발명의 일 관점에 따른 상기 클래스 판단부는 상기 DetectSession 리스트에 상기 가입자 단말기 IP가 있는지를 판단하여 없을 경우 상기 가입자 단말기 IP의 DetectSession 객체를 생성하는 제1 클래스 판단부; 및 상기 DetectSession 리스트에 상기 가입자 단말기 IP가 있는지를 판단하여 있을 경우 상기 상태 리스트 객체에 일치하는 상기 가입자 단말기 IP가 존재하는지를 판단하는 제2 클래스 판단부를 더 포함하여 이루어질 수 있다.In addition, the class determination unit according to an aspect of the present invention may include a first class determination unit for determining whether the subscriber station IP exists in the DetectSession list, and generating a DetectSession object of the subscriber station IP when the determination is unsuccessful; And a second class determiner for determining whether the subscriber station IP corresponding to the state list object exists if it is determined that the subscriber station IP exists in the DetectSession list.

또한, 본 발명의 일 관점에 따른 상기 제1 클래스 판단부는 Call-ID, CSCF IP, Method Type, count, start/detect time을 속성값으로 지정하는 Call-ID List 객체뿐만 아니라 Status-code, S_count, SIP Method 객체를 속성값으로 지정한 상기 DetectSession 객체를 생성할 수 있다.In addition, the first class determiner according to an aspect of the present invention includes a Call-ID list object for specifying Call-ID, CSCF IP, Method Type, count, and start / It is possible to create the DetectSession object in which a SIP Method object is specified as an attribute value.

또한, 본 발명의 일 관점에 따른 상기 제2 클래스 판단부는 상기 DetectSession 리스트에 상기 가입자 단말기 IP가 존재하고, 상기 상태 리스트 객체에 일치하는 응답 코드가 존재하지 않을 경우 상태 객체를 생성할 수 있다.In addition, the second class determination unit according to an aspect of the present invention can generate a state object when the subscriber station IP exists in the DetectSession list and the response code matching the state list object does not exist.

또한, 본 발명의 일 관점에 따른 상기 제2 클래스 판단부는 새로운 응답 코드에 따른 속성값을 상기 응답 코드 객체에 추가할 수 있다.In addition, the second class determination unit according to an aspect of the present invention may add an attribute value according to a new response code to the response code object.

또한, 본 발명의 일 관점에 따른 상기 제1 클래스 판단부는 상기 DetectSession 리스트에 상기 가입자 단말기 IP가 존재하고, 상기 상태 리스트 객체에 일치하는 응답 코드가 존재할 경우 DetectSession 객체의 S_count 및 SIP Method 타입을 1씩 증가시킬 수 있다.If the subscriber station IP exists in the DetectSession list and there is a response code corresponding to the state list object, the first class determining unit according to an aspect of the present invention determines the S_count and the SIP Method type of the DetectSession object by 1 .

또한, 본 발명의 일 관점에 따른 상기 SIP 탐지 장치는 상기 S_count 및 SIP Method 타입을 1씩 증가시킨 후, 상기 DetectSession 객체안에 일치하는 Call-ID가 존재하지 않을 경우, 상기 Call-ID에 따른 CSCF IP, Method type, C_count 및 Start/Detect_time을 추가한 Call-Id 객체를 생성하고, 존재할 경우, 해당 Call-ID에 따른 CSCF IP, Method type, Detect_time을 갱신하고, C_count를 1 증가 시키는 제3 클래스 판단부를 더 포함하여 이루어질 수 있다.In addition, the SIP detecting device according to an aspect of the present invention increases the S_count and SIP Method types by 1, and if there is no matching Call-ID in the DetectSession object, the SIP detecting device increments the CSCF IP A Method class, a Method type, a C_count, and a Start / Detect_time, and if there is a CSCF IP, a Method type, and a Detect_time according to the Call-ID, .

또한, 본 발명의 일 관점에 따른 상기 SIP 탐지 장치는 상기 가입자 단말기 IP별 상기 상태 리스트 객체의 S_count 합산이 임계치(h)를 넘을 경우 탐지 메시지를 생성하고, 넘지 않을 경우 상기 Call-ID 객체별 시간 계산을 수행하는 임계치 판단부를 더 포함하여 이루어질 수 있다.In addition, the SIP detection apparatus according to an aspect of the present invention generates a detection message when S_count summation of the state list object for each IP address of the subscriber terminal exceeds a threshold value (h), and if not, And a threshold value determiner for performing the calculation.

또한, 본 발명의 일 관점에 따른 상기 임계치 판단부는 현재시간 대비 상기 Call-ID의 Start_time이 설정 값(S_time)보다 크면, 해당 Call-ID를 삭제할 수 있다.In addition, the threshold determining unit according to an aspect of the present invention can delete the corresponding Call-ID if the Start_time of the Call-ID is greater than the set value (S_time) with respect to the current time.

또한, 본 발명의 다른 일 관점에 따르면, (a) VoLTE 서비스를 제공하는 IMS 망으로 SIP(Session Initiation Protocol) 요청 메시지를 가입자 단말기에서 전송하는 단계; (b) 상기 SIP 요청 메시지에 대응하여 SIP 응답 메시지를 상기 IMS망을 통해 IMS(IP Multimedia subsystem)에서 상기 가입자 단말기로 전송하는 단계; 및 (c) 상기 가입자 단말기별 상기 SIP 응답 메시지를 SIP 탐지 장치에서 수신하고 수신된 SIP 응답 메시지에 포함된 SIP 헤더의 응답 코드로부터 상기 가입자 단말기별로 미리 정해진 시간동안 누적된 누적값을 SIP 탐지 장치에서 계산하여 임계치를 넘어설 경우 SIP 공격과 비정상 행위로 간주하는 단계를 포함하는 SIP 탐지 시스템의 SIP 공격과 비정상 탐지 방법이 제공된다.According to another aspect of the present invention, there is provided a method for providing a VoLTE service, the method comprising: (a) transmitting a Session Initiation Protocol (SIP) request message to an IMS network providing a VoLTE service; (b) transmitting a SIP response message in response to the SIP request message from the IMS (IP Multimedia subsystem) to the subscriber station through the IMS network; And (c) receiving, at the SIP detecting device, the SIP response message for each subscriber terminal, and accumulating an accumulated value accumulated for a predetermined time period for each subscriber terminal from a response code of a SIP header included in the received SIP response message, A SIP attack and an abnormal detection method of a SIP detection system including a step of counting a SIP attack and abnormality when calculating and exceeding a threshold value are provided.

이상과 같이, 본 발명에 따르면, 응답 SIP 트래픽에 기반하여 SIP 공격과 비정상을 사전에 탐지함으로써, IMS망 장비에서 발생되는 과부하 및 장애를 줄일 수 있는 효과가 있다.As described above, according to the present invention, it is possible to reduce the overload and the trouble generated in the IMS network equipment by detecting the SIP attack and the abnormality in advance based on the response SIP traffic.

또한, 본 발명은 응답 SIP 트래픽에 기반하여 SIP 공격과 비정상을 사전에 탐지함으로써, CSCF(Call Session control Function)가 오작동되는 것을 방지하는 효과가 있다.In addition, the present invention has an effect of preventing a call session control function (CSCF) from malfunctioning by detecting SIP attacks and abnormalities in advance based on the response SIP traffic.

도 1은 본 발명의 제1 실시예에 따른 SIP 탐지 시스템(100)을 예시적으로 나타낸 도면이다.
도 2는 본 발명의 제1 실시예에 따른 SIP 탐지 시스템(100)의 SIP 탐지 장치(130)를 보다 상세하게 나타낸 도면이다.
도 3은 본 발명의 제2 실시예에 따른 SIP 탐지 시스템(100)의 SIP 공격과 비정상 탐지 방법(S100)을 예시적으로 나타낸 순서도이다.
도 4 내지 도 6은 본 발명의 제2 실시예에 따른 SIP 탐지 장치(130)에서 수행되는 SIP 공격과 비정상 탐지 방법(S100)의 흐름을 보다 상세하게 나타낸 순서도이다.FIG. 1 is an exemplary diagram illustrating a SIP detection system 100 according to a first embodiment of the present invention.
Figure 2 is a more detailed view of SIP detection device 130 of SIP detection system 100 according to the first embodiment of the present invention.
FIG. 3 is a flowchart exemplarily showing a SIP attack and an abnormal detection method (S100) of the SIP detection system 100 according to the second embodiment of the present invention.
FIGS. 4 to 6 are flowcharts illustrating a flow of a SIP attack and an abnormal detection method (S100) performed in the SIP detection apparatus 130 according to the second embodiment of the present invention in more detail.

이하, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 하기 위하여, 본 발명의 바람직한 실시예들에 관하여 첨부된 도면을 참조하여 상세히 설명하기로 한다. 도면에서 유사한 참조부호는 여러 측면에 걸쳐서 동일하거나 유사한 기능을 지칭한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings, so that those skilled in the art can easily carry out the present invention. In the drawings, like reference numerals refer to the same or similar functions throughout the several views.

도 1은 본 발명의 제1 실시예에 따른 SIP 탐지 시스템(100)을 예시적으로 나타낸 도면이고, 도 2는 본 발명의 제1 실시예에 따른 SIP 탐지 시스템(100)의 SIP 탐지 장치(130)를 보다 상세하게 나타낸 도면이다.FIG. 1 is an exemplary illustration of a SIP detection system 100 according to a first embodiment of the present invention, and FIG. 2 is a block diagram of a SIP detection device 130 of a SIP detection system 100 according to a first embodiment of the present invention ) In more detail.

도시된 바와 같이, 본 발명의 제1 실시예에 따른 SIP 탐지 시스템(100)은 SIP 공격과 비정상 행위를 탐지하기 위하여 가입자 단말기(110), IMS(120, IP Multimedia subsystem) 및 SIP 탐지 장치(130)를 포함하여 구성된다.As shown, the SIP detection system 100 according to the first embodiment of the present invention includes a subscriber station 110, an IP Multimedia subsystem (IMS) 120, and a SIP detector 130 ).

먼저, 본 발명에 따른 가입자 단말기(110)는 VoLTE 서비스를 제공하는 IMS 망에 접속하여 SIP(Session Initiation Protocol) 요청 메시지를 이후에 설명할 IMS(120)으로 전송한다. First, the subscriber station 110 according to the present invention accesses an IMS network providing a VoLTE service, and transmits a Session Initiation Protocol (SIP) request message to the IMS 120 to be described later.

이때, VoLTE 서비스는 이동통신 망에서 음성, 문자, 영상통화, 멀티미디어 콘텐츠를 SIP(Session Initiation Protocol) 방식을 이용하여 IMS(IP Multimedia subsystem) 아키텍처를 통해 All IP 기반의 끊김 없는 서비스를 제공하는 것을 의미한다. At this time, VoLTE service means to provide continuous service based on All IP through IMS (IP Multimedia subsystem) architecture by using SIP (Session Initiation Protocol) in voice, text, video call and multimedia contents in mobile communication network do.

이러한 가입자 단말기(110)는 적어도 하나 이상의 단말기로 구성될 수 있으며, 적어도 하나 이상의 단말기는 SIP 요청(Request) 메시지를 조작하여 SIP 서버를 공격하는 악의적인 SIP Malformed 공격과 SIP SQL Injection 공격 등을 발생시키는 원인을 제공한다. The subscriber terminal 110 may be composed of at least one terminal, and at least one terminal generates a malicious SIP malformed attack and a SIP SQL injection attack that attack the SIP server by manipulating a SIP request message Provide the cause.

다음으로, 본 발명에 따른 IMS(120, IP Multimedia subsystem)는 앞서 설명한 적어도 하나 이상의 가입자 단말기(110)에서 발생된 악의적인 SIP 요청 메시지에 대응하여 SIP 응답 메시지를 IMS망을 통해 가입자 단말기로 전송한다. 이때, 텍스트 기반의 SIP 요청 메시지는 여과 없이 LTE의 코어망인 EPC(Evolved Packet Core)를 거쳐 IMS에 전달될 경우 IMS(120)의 CSCF는 SIP 요청 메시지를 처리한 후, 그에 대한 SIP 응답 메시지를 IMS망을 통해 가입자 단말기로 전송하여 가입자 단말에 VoLTE 서비스를 제공한다.  Next, the IP Multimedia Subsystem (IMS) 120 according to the present invention transmits a SIP response message to the subscriber station through the IMS network in response to the malicious SIP request message generated in the at least one subscriber station 110 . In this case, when the text-based SIP request message is delivered to the IMS through EPC (Evolved Packet Core), which is the core network of LTE, without filtering, the CSCF of the IMS 120 processes the SIP request message, And transmits the VoLTE service to the subscriber terminal through the network.

이때 SIP 응답 메시지는 1xx-6xx의 응답코드(Status-code)로 구분되며, 이 중 4xx-6xx는 SIP 요청메시지가 잘못되었거나 CSCF에서 수행할 수 없는 내용을 포함할 수 있다. 이러한 IMS(120)는 유무선 네트워크 예컨대 IMS망을 통해 적어도 하나 이상의 가입자 단말기(110)와 통신한다.At this time, the SIP response message is divided into a response code (Status-code) of 1xx-6xx, of which 4xx-6xx may contain contents that the SIP request message is erroneous or can not be performed by the CSCF. The IMS 120 communicates with at least one subscriber terminal 110 via a wired or wireless network, such as an IMS network.

마지막으로, 본 발명에 따른 SIP 탐지 장치(130)는 가입자 단말기(110)별 SIP 요청 메시지와 함께 SIP 응답 메시지를 수신하여 SIP 트래픽에 대한 SIP 공격과 비정상 상태를 분석한다. 예를 들면, 앞서 설명한 바와 같이 4xx-6xx라는 내용을 담은 SIP 요청메시지의 SIP 공격과 비정상 상태를 분석한다.Lastly, the SIP detection apparatus 130 according to the present invention receives a SIP response message together with the SIP request message for each subscriber station 110, and analyzes a SIP attack and an abnormal state of the SIP traffic. For example, as described above, SIP attack and abnormal state of a SIP request message including 4xx-6xx are analyzed.

이때,, 본 발명에 따른 SIP 탐지 장치(130)는 수신된 SIP 응답 메시지를 정밀 분석하게 되는데, 예컨대 SIP 응답 메시지에 포함된 SIP 헤더의 응답 코드로부터 가입자 단말기(110)별로 미리 정해진 시간동안 누적 카운팅한 누적값을 계산하여 임계치를 넘어설 경우 SIP 공격과 비정상 행위로 간주한다. At this time, the SIP detection device 130 according to the present invention performs a detailed analysis of the received SIP response message. For example, from the response code of the SIP header included in the SIP response message, If a cumulative value is calculated and exceeded the threshold value, it is regarded as a SIP attack and abnormal activity.

이를 위하여, 본 발명에 따른 SIP 탐지 장치(130)는 IP 추출부(131), 클래스 판단부(132) 및 임계치 판단부(133)를 포함할 수 있다.For this, the SIP detection apparatus 130 according to the present invention may include an IP extraction unit 131, a class determination unit 132, and a threshold determination unit 133.

이러한 각 구성에 대하여 살펴보면, 먼저 본 발명에 따른 IP 추출부(131)는 S1-U 구간(eNodeB↔S-GW) 또는 S5 구간(S-GW↔P-GW)에서 SIP 응답 메시지의 사용자 제어/데이터(GTP-C/U) 트래픽을 정밀 분석하게 되는데, 예컨대 SIP 응답 메시지의 응답 코드(StatusCode)가 관리 중인 응답코드 리스트에 존재할 경우 SIP 공격과 비정상 행위가 예상되는 것으로 간주하여 해당하는 가입자 단말기 IP를 추출한다. First, the IP extracting unit 131 extracts a SIP response message from the SIP response message in the S1-U period (eNodeB↔S-GW) or the S5 period (S-GW↔P-GW) (GTP-C / U) traffic. For example, when the response code (StatusCode) of the SIP response message exists in the response code list being managed, it is regarded that the SIP attack and the abnormal behavior are expected, .

이때, 관리 중인 응답코드 리스트에 존재하는 응답 코드가 '401'로 시작할 경우 Is Inbound(GTP 패킷 방향)가 '1'인지를 확인하여 가입자 단말기 IP를 추출할 수 있다. 이러한 응답코드 리스트 안에는 응답 코드 뿐만 아니라 IP, src/desc, Call-ID, Cseg, timestamp 등이 존재한다.At this time, if the response code in the managed response code list starts with '401', the subscriber terminal IP can be extracted by checking whether Is Inbound (GTP packet direction) is '1'. In the response code list, IP, src / desc, Call-ID, Cseg, and timestamp exist in addition to the response code.

반면, 본 발명에 따른 클래스 판단부(132)는 '1'를 갖는 Is Inbound(GTP 패킷 방향)일 경우 앞서 설명한 IP 추출부(131)에 의해 추출된 가입자 단말기 IP가 DetectSession 리스트 및 상태 리스트 객체안에 존재하는지를 각각 판단한다. 이때, DetectSession 리스트는 가입자 단말기 IP 및 상태 객체(Status object)를 포함한다. On the other hand, in the case of Is Inbound (GTP packet direction) having '1', the class determination unit 132 according to the present invention determines whether the subscriber terminal IP extracted by the IP extraction unit 131 described above is included in the DetectSession list and the state list object Respectively. At this time, the DetectSession list includes a subscriber terminal IP and a status object.

이러한 판단을 위하여, 본 발명에 따른 클래스 판단부(132)는 제1 클래스 판단부(132-1), 제2 클래스 판단부(132-2), 제3 클래스 판단부(132-3)를 포함한다. 먼저, 본 발명에 따른 제1 클래스 판단부(132-1)는 DetectSession 리스트에 IP 추출부(131)에서 추출된 가입자 단말기 IP가 있는지를 판단하여 없을 경우 가입자 단말기 IP의 DetectSession 객체를 생성한다. For this determination, the class determination unit 132 according to the present invention includes a first class determination unit 132-1, a second class determination unit 132-2, and a third class determination unit 132-3 do. First, the first class determiner 132-1 according to the present invention determines whether the subscriber station IP extracted from the IP extractor 131 exists in the DetectSession list, and generates a DetectSession object of the subscriber station IP.

이때, 생성되는 DetectSession 객체는 Call-ID, CSCF IP, Method Type, count, start/detect time을 속성값으로 가지고 있는 Call-ID List 객체뿐만 아니라 Status-code, S_count, SIP Method 객체를 속성값으로 가질 수 있다. 예를 들면, Status 객체는 count=1, Call-ID 객체는 count=1, start/detect time=timestamp로 DetectSession 객체를 생성할 수 있다. 이럴 경우 Method Type은 Cseq를 통해 일치하는 변수 1만큼 증가시킨다. 이러한 처리후에는 앞서 설명한 IP 추출부(131)를 수행하게 된다.At this time, the generated DetectSession object has the Status-code, S_count, and SIP Method object as the attribute value as well as the Call-ID List object having the Call-ID, CSCF IP, Method Type, count, and start / . For example, you can create a DetectSession object with a Status object of count = 1, a Call-ID object of count = 1, and start / detect time = timestamp. In this case, the method type is increased by the matching variable 1 through Cseq. After this processing, the IP extraction unit 131 described above is performed.

반면, 본 발명에 따른 제2 클래스 판단부(132-2)는 DetectSession 리스트에 가입자 단말기 IP가 있는지를 판단하는 제1 클래스 판단부(132-1)에 의해 DetectSession 리스트에 가입자 단말기 IP가 있을 경우 상태 리스트 객체에 일치하는 가입자 단말기 IP가 존재하는지를 판단한다. On the other hand, the second class determiner 132-2 according to the present invention determines whether the subscriber station IP exists in the DetectSession list by the first class determiner 132-1, It is determined whether there is a subscriber terminal IP matching the list object.

예를 들면, 본 발명에 따른 제2 클래스 판단부(132-2)는 DetectSession 리스트에 가입자 단말기 IP가 존재하고, 상태 리스트 객체에 일치하는 응답 코드가 존재하지 않을 경우 상태 객체를 생성한다. 이때, 상태 객체는 새로운 응답 코드에 따른 속성값을 추가한 정보를 의미한다. 이러한 처리 후에는 이후에 설명할 임계치 판단부(133)를 수행한다.For example, the second class determination unit 132-2 according to the present invention generates a state object when the subscriber terminal IP exists in the DetectSession list and the response code matching the state list object does not exist. At this time, the state object means information added with an attribute value according to a new response code. After this processing, the threshold value determination unit 133 to be described later is performed.

그러나, 본 발명에 따른 제2 클래스 판단부(132-2)는 DetectSession 리스트에 가입자 단말기 IP가 존재하고, 상태 리스트 객체에 일치하는 응답 코드가 존재할 경우 DetectSession 객체의 S_count 및 SIP Method 타입을 1씩 증가시킨다.However, when the subscriber terminal IP exists in the DetectSession list and the response code matching the state list object exists, the second class determiner 132-2 according to the present invention increments the S_count and SIP Method type of the DetectSession object by 1 .

그리고 나서, 본 발명에 따른 제3 클래스 판단부(132-3)는 앞서 설명한 ㅂ바바와 같이 S_count 및 SIP Method 타입을 1씩 증가시킨 후, DetectSession 객체안에 일치하는 Call-ID가 존재하지 않는다고 판단할 경우, 상기 Call-ID에 따른 CSCF IP, Method type, C_count 및 Start/Detect_time을 추가한 Call-Id 객체를 생성할 수 있다. 이러한 처리 후에는 이후에 설명할 임계치 판단부(133)를 수행한다.Then, the third class determiner 132-3 according to the present invention increments the S_count and SIP Method types by 1 as described above, and then determines that there is no matching Call-ID in the DetectSession object , It is possible to generate a Call-Id object to which a CSCF IP according to the Call-ID, a Method type, a C_count, and a Start / Detect_time are added. After this processing, the threshold value determination unit 133 to be described later is performed.

그러나, DetectSession 객체안에 일치하는 Call-ID가 존재한다고 판단할 경우에는 해당 Call-ID에 따른 CSCF IP, Method type, Detect_time을 갱신하고, C_count를 1 증가 시킬 수 있다. 이러한 처리 후에는 이후에 설명할 임계치 판단부(133)를 수행한다.However, when it is determined that a matching Call-ID exists in the DetectSession object, the CSCF IP, Method type, and Detect_time according to the Call-ID can be updated and C_count can be increased by one. After this processing, the threshold value determination unit 133 to be described later is performed.

마지막으로, 본 발명에 따른 임계치 판단부(133)는 앞서 설명한 제3 클래스 판단부(132-3)의 CSCF IP, Method type, Detect_time 갱신후 및 Call-Id 객체 생성후 및 제2 클래스 판단부(132-2)의 상태 객체 생성후에 수행되는데, 즉 가입자 단말기 IP별 상태 리스트 객체의 S_count 합산이 임계치(h)를 넘는지를 판단한다. 다만, count가 1인 것은 제외한다.Finally, the threshold value determiner 133 according to the present invention determines whether or not the CSCF IP, Method type, Detect_time update, and Call-Id object generation of the third class determiner 132-3, 132-2. That is, it is determined whether the S_count summation of the state list object for each subscriber terminal IP exceeds the threshold value h. Except that count is 1.

예를 들면, 본 발명에 따른 임계치 판단부(133)는 가입자 단말기 IP별 상태 리스트 객체의 S_count 합산이 임계치(h)를 넘는다고 판단할 경우 탐지 메시지를 생성한다.For example, the threshold determining unit 133 generates a detection message when it determines that the S_count summation of the state list object for each subscriber terminal IP exceeds the threshold value h.

그러나, 본 발명에 따른 임계치 판단부(133)는 가입자 단말기 IP별 상태 리스트 객체의 S_count 합산이 임계치(h)를 넘지 않는다고 판단할 경우 Call-ID 객체별 시간 계산을 수행한다. 예를 들면, 가입자 단말기 IP별 상태 리스트 객체의 S_count 합산이 임계치(h)를 넘지 않는다고 판단할 경우에는 Call-ID 객체별 순환이후 현재시간 대비 상기 Call-ID의 Start_time이 설정 값(S_time)보다 크면, 해당 Call-ID를 삭제한다. However, when the S_count summation of the state list object for each subscriber terminal IP is determined not to exceed the threshold value h, the threshold determining unit 133 according to the present invention performs time calculation for each Call-ID object. For example, when it is determined that the S_count summation of the state list object of each subscriber terminal IP does not exceed the threshold value h, if the Start_time of the Call-ID is larger than the set value (S_time) after the cycle of each Call-ID object , The corresponding Call-ID is deleted.

이를 통해 다음 Call-ID가 존재하는지를 판단하여 존재할 경우이거나 Call-ID 객체별 순환이후 현재시간 대비 상기 Call-ID의 Start_time이 설정 값(S_time)보다 작으면, Call-ID 객체별로 순환이 이루어진다. 그러나, 다음 Call-ID가 존재하는지를 판단하여 존재하지 않는 경우에는 앞서 설명한 IP 추출부(131)로 회귀하여 수행될 수 있다.If it is determined that the next Call-ID exists, the call-ID object is circulated when the Start_time of the Call-ID is smaller than the set value (S_time) after the circulation of the Call-ID object. However, if there is no next Call-ID, it may be performed by returning to the IP extracting unit 131 described above.

제2 실시예Second Embodiment

도 3은 본 발명의 제2 실시예에 따른 SIP 탐지 시스템(100)의 SIP 공격과 비정상 탐지 방법(S100)을 예시적으로 나타낸 순서도이고, 도 4 내지 도 6은 본 발명의 제2 실시예에 따른 SIP 탐지 장치(130)에서 수행되는 SIP 공격과 비정상 탐지 방법(S100)의 흐름을 보다 상세하게 나타낸 순서도이다.FIG. 3 is a flowchart exemplarily showing a SIP attack and an abnormal detection method (S100) of the SIP detection system 100 according to the second embodiment of the present invention, and FIGS. 4 to 6 are flowcharts FIG. 5 is a flowchart illustrating a flow of an SIP attack and an abnormal detection method (S100) performed by the SIP detection device 130 according to an embodiment of the present invention.

도 3에 도시된 바와 같이, 본 발명의 제2 실시예에 따른 SIP 탐지 시스템(100)의 SIP 공격과 비정상 탐지 방법(S100)은 SIP 공격과 비정상 행위를 탐지하기 위하여 S110 단계 내지 S150 단계를 포함하여 이루어진다.As shown in FIG. 3, the SIP attack and abnormal detection method (S100) of the SIP detection system 100 according to the second embodiment of the present invention includes steps S110 to S150 for detecting a SIP attack and an abnormal behavior .

먼저, 본 발명에 따른 S110 단계에서는 VoLTE 서비스를 제공하는 IMS 망에 접속하여 SIP(Session Initiation Protocol) 요청 메시지를 가입자 단말기(110)에서 IMS(120)으로 전송한다.First, in step S110 according to the present invention, a subscriber terminal 110 transmits an SIP (Session Initiation Protocol) request message to an IMS 120 by accessing an IMS network providing a VoLTE service.

이때, VoLTE 서비스는 이동통신 망에서 음성, 문자, 영상통화, 멀티미디어 콘텐츠를 SIP(Session Initiation Protocol) 방식을 이용하여 IMS(IP Multimedia subsystem) 아키텍처를 통해 All IP 기반의 끊김 없는 서비스를 제공하는 것을 의미한다.At this time, VoLTE service means to provide continuous service based on All IP through IMS (IP Multimedia subsystem) architecture by using SIP (Session Initiation Protocol) in voice, text, video call and multimedia contents in mobile communication network do.

이러한 가입자 단말기(110)는 적어도 하나 이상의 단말기로 구성될 수 있으며, 적어도 하나 이상의 단말기는 SIP 요청(Request) 메시지를 조작하여 SIP 서버를 공격하는 악의적인 SIP Malformed 공격과 SIP SQL Injection 공격 등을 발생시키는 원인을 제공한다. The subscriber terminal 110 may be composed of at least one terminal, and at least one terminal generates a malicious SIP malformed attack and a SIP SQL injection attack that attack the SIP server by manipulating a SIP request message Provide the cause.

이후, 본 발명에 따른 S120 단계에서는 앞서 설명한 S110 단계에서 발생된 악의적인 SIP 요청 메시지에 대응하여 SIP 응답 메시지를 IMS(120, IP Multimedia subsystem)에서 IMS망을 통해 가입자 단말기(110)로 전송한다. Thereafter, in step S120 according to the present invention, a SIP response message is transmitted from the IP multimedia subsystem (IMS) 120 to the subscriber terminal 110 through the IMS network in response to the malicious SIP request message generated in step S110 described above.

이때, 텍스트 기반의 SIP 요청 메시지는 여과 없이 LTE의 코어망인 EPC(Evolved Packet Core)를 거쳐 IMS에 전달될 경우 IMS(120)의 CSCF는 SIP 요청 메시지를 처리한 후, 그에 대한 SIP 응답 메시지를 IMS망을 통해 가입자 단말기(110)로 전송하여 가입자 단말(110)에 VoLTE 서비스를 제공한다. In this case, when the text-based SIP request message is delivered to the IMS through EPC (Evolved Packet Core), which is the core network of LTE, without filtering, the CSCF of the IMS 120 processes the SIP request message, And transmits the VoLTE service to the subscriber terminal 110 via the network.

이때 SIP 응답 메시지는 1xx-6xx의 응답코드(Status-code)로 구분되며, 이 중 4xx-6xx는 SIP 요청메시지가 잘못되었거나 CSCF(Call Session control Function)에서 수행할 수 없는 내용을 포함할 수 있다. 이러한 IMS(120)는 유무선 네트워크 예컨대 IMS망을 통해 적어도 하나 이상의 가입자 단말기(110)와 통신한다.At this time, the SIP response message is divided into a response code (Status-code) of 1xx-6xx, among which 4xx-6xx may contain contents that can not be performed by the CSRF (Call Session Control Function) . The IMS 120 communicates with at least one subscriber terminal 110 via a wired or wireless network, such as an IMS network.

마지막으로, 본 발명에 따른 S130 단계에서는 가입자 단말기(110)별 SIP 요청 메시지와 함께 SIP 응답 메시지를 SIP 탐지 장치(130)에서 수신하여 SIP 트래픽에 대한 SIP 공격과 비정상 상태를 분석한다. Finally, in step S130 according to the present invention, the SIP detection device 130 receives a SIP response message together with the SIP request message for the subscriber station 110, and analyzes the SIP attack and the abnormal state of the SIP traffic.

예를 들면, 앞서 설명한 바와 같이 4xx-6xx라는 내용을 담은 SIP 요청메시지의 SIP 공격과 비정상 상태를 분석한다. 이때, 본 발명에 따른 S130 단계에서는 수신된 SIP 응답 메시지를 SIP 탐지 장치(130)에서 정밀 분석하게 되는데, 예컨대 SIP 응답 메시지에 포함된 SIP 헤더의 응답 코드로부터 가입자 단말기(110)별로 미리 정해진 시간동안 누적 카운팅한 누적값을 계산하여 임계치를 넘어설 경우 SIP 공격과 비정상 행위로 간주한다. For example, as described above, SIP attack and abnormal state of a SIP request message including 4xx-6xx are analyzed. At this time, in step S130 according to the present invention, the received SIP response message is analyzed in detail by the SIP detection device 130. For example, the SIP response message includes a response code of the SIP header included in the SIP response message, Cumulative cumulative value is counted, and if it exceeds the threshold value, it is regarded as SIP attack and abnormal activity.

이를 위하여, 본 발명에 따른 S130 단계에서는 S131 단계 내지 S133 단계를 포함하여 이루어진다. 이때, S131 단계는 도 4에 나타내었고, S132 단계는 도 5에 나타내었으며, S133 단계는 도 6에 나타내었다. To this end, step S130 according to the present invention includes steps S131 to S133. In this case, step S131 is shown in FIG. 4, step S132 is shown in FIG. 5, and step S133 is shown in FIG.

이러한 각 단계에 대하여 살펴보면, 먼저 본 발명에 따른 S131 단계에서는 예컨대 S1-U 구간(eNodeB↔S-GW) 또는 S5 구간(S-GW↔P-GW)에서 SIP 응답 메시지의 사용자 제어/데이터(GTP-C/U) 트래픽을 IP 추출부(131)에서 정밀 분석하게 되는데, 예컨대 SIP 응답 메시지의 응답 코드(StatusCode)가 관리 중인 응답코드 리스트에 존재할 경우 SIP 공격과 비정상 행위가 예상되는 것으로 간주하여 해당하는 가입자 단말기 IP를 추출한다(S131-1).In step S131 according to the present invention, the user control / data (GTP) of the SIP response message in the S1-U section (eNodeB↔S-GW) or the S5 section If the response code (StatusCode) of the SIP response message is present in the response code list being managed, the SIP attack and the abnormal operation are regarded as being anticipated, (S131-1).

이때, 관리 중인 응답코드 리스트에 존재하는 응답 코드가 '401'로 시작할 경우 Is Inbound(GTP 패킷 방향)가 '1'인지를 확인하여 가입자 단말기 IP를 추출할 수 있다(S131-2). 이러한 응답코드 리스트에는 응답 코드 뿐만 아니라 IP, src/desc, Call-ID, Cseg, timestamp 등이 존재한다.At this time, if the response code in the managed response code list starts with '401', the subscriber terminal IP can be extracted by checking whether Is Inbound (GTP packet direction) is '1' (S131-2). There are IP, src / desc, Call-ID, Cseg, and timestamp in the response code list as well as the response code.

반면, 본 발명에 따른 S132 단계에서는 '1'를 갖는 Is Inbound(GTP 패킷 방향)일 경우 앞서 설명한 IP 추출부(131)에 의해 추출된 가입자 단말기 IP가 DetectSession 리스트 및 상태 리스트 객체안에 존재하는지를 클래스 판단부(132)에서 각각 판단한다. 이때, DetectSession 리스트는 가입자 단말기 IP 및 상태 객체(Status object)를 포함한다. On the other hand, in step S132 according to the present invention, in the case of Is Inbound (GTP packet direction) having '1', it is determined whether the subscriber terminal IP extracted by the IP extracting unit 131 described above exists in the DetectSession list and the state list object Respectively. At this time, the DetectSession list includes a subscriber terminal IP and a status object.

이러한 판단을 위하여, 본 발명에 따른 S132 단계에서는 DetectSession 리스트에 IP 추출부(131)에서 추출된 가입자 단말기 IP가 있는지를 제1 클래스 판단부(132-1)에서 판단(S132-1)하여 없을 경우 가입자 단말기 IP의 DetectSession 객체를 생성한다(S132-2). For this determination, in step S132 according to the present invention, the first class determination unit 132-1 determines whether the subscriber terminal IP extracted by the IP extraction unit 131 exists in the DetectSession list (S132-1) And creates a DetectSession object of the subscriber terminal IP (S132-2).

이때, 생성되는 DetectSession 객체는 Call-ID, CSCF IP, Method Type, count, start/detect time을 속성값으로 가지고 있는 Call-ID List 객체뿐만 아니라 Status-code, S_count, SIP Method 객체를 속성값으로 가질 수 있다. At this time, the generated DetectSession object has the Status-code, S_count, and SIP Method object as the attribute value as well as the Call-ID List object having the Call-ID, CSCF IP, Method Type, count, and start / .

예를 들면, Status 객체는 count=1, Call-ID 객체는 count=1, start/detect time=timestamp로 DetectSession 객체를 생성할 수 있다. 이럴 경우 Method Type은 Cseq를 통해 일치하는 변수 1만큼 증가시킨다. 이러한 처리후에는 앞서 설명한 S110 단계가 수행하게 된다.For example, you can create a DetectSession object with a Status object of count = 1, a Call-ID object of count = 1, and start / detect time = timestamp. In this case, the method type is increased by the matching variable 1 through Cseq. After this processing, step S110 described above is performed.

반면, 본 발명에 따른 S132 단계에서는 DetectSession 리스트에 가입자 단말기 IP가 있는지를 판단한 결과(S132-1), DetectSession 리스트에 가입자 단말기 IP가 있을 경우 상태 리스트 객체에 일치하는 가입자 단말기 IP가 존재하는지를 제2 클래스 판단부(132-2)에서 판단한다(S132-3). On the other hand, if it is determined in step S132 that the subscriber terminal IP exists in the DetectSession list (S132-1), the subscriber terminal IP is checked if the subscriber terminal IP exists in the DetectSession list, The determination unit 132-2 determines (S132-3).

예를 들면, 본 발명에 따른 S132-2 단계에서는 DetectSession 리스트에 가입자 단말기 IP가 존재하고, 상태 리스트 객체에 일치하는 응답 코드가 존재하지 않을 경우 상태 객체를 제2 클래스 판단부(132-2)에서 생성한다(S132-4). For example, if the subscriber terminal IP exists in the DetectSession list and there is no response code matching the state list object in step S132-2, the second class determiner 132-2 (S132-4).

이때, 상태 객체는 새로운 응답 코드에 따른 속성값을 추가한 정보를 의미한다. 이러한 처리 후에는 이후에 설명할 S133 단계를 수행한다. 이는 차후에 확인할 수 있을 것이다.At this time, the state object means information added with an attribute value according to a new response code. After this processing, step S133 to be described later is performed. This will be confirmed later.

그러나, 본 발명에 따른 S132-3 단계에서는 DetectSession 리스트에 가입자 단말기 IP가 존재하고, 상태 리스트 객체에 일치하는 응답 코드가 존재하는 것으로서 제2 클래스 판단부(132-2)에서 판단할 경우 DetectSession 객체의 S_count 및 SIP Method 타입을 1씩 증가시킨다(S132-5).However, in step S132-3 according to the present invention, when the subscriber terminal IP exists in the DetectSession list and the second class determiner 132-2 determines that there is a response code matching the state list object, S_count and SIP Method type are incremented by 1 (S132-5).

이후, 본 발명에 따른 S132 단계에서는 앞서 설명한 S132-5 단계에 의해 S_count 및 SIP Method 타입을 1씩 증가시킨 후, DetectSession 객체 안에 일치하는 Call-ID가 존재하지 않는다고 제3 클래스 판단부(132-3)에서 판단할 경우(S132-6), 상기 Call-ID에 따른 CSCF IP, Method type, C_count 및 Start/Detect_time을 추가한 Call-Id 객체를 제3 클래스 판단부(132-3)에서 생성할 수 있다(S132-7). 이러한 처리 후에는 이후에 설명할 S133 단계를 수행한다. 이는 차후에 확인할 수 있을 것이다.Thereafter, in step S132 according to the present invention, the S_count and SIP Method types are incremented by 1 in step S132-5, and the third class determination unit 132-3 determines that no matching Call-ID exists in the DetectSession object. (S132-6), the third class determiner 132-3 may generate a Call-Id object to which a CSCF IP, Method type, C_count, and Start / Detect_time according to the Call-ID are added (S132-7). After this processing, step S133 to be described later is performed. This will be confirmed later.

그러나, DetectSession 객체안에 일치하는 Call-ID가 존재한다고 제3 클래스 판단부(132-3)에서 판단할 경우에는 해당 Call-ID에 따른 CSCF IP, Method type, Detect_time을 갱신하고, C_count를 1 증가 시킬 수 있다(S132-8). 이러한 처리 후에는 이후에 설명할 S133 단계를 수행한다. 이는 차후에 확인할 수 있을 것이다.However, when the third class determiner 132-3 determines that there is a matching Call-ID in the DetectSession object, it updates the CSCF IP, Method type, and Detect_time according to the corresponding Call-ID, and increases C_count by 1 (S132-8). After this processing, step S133 to be described later is performed. This will be confirmed later.

마지막으로, 본 발명에 따른 S133 단계에서는 앞서 설명한 CSCF IP, Method type, Detect_time 갱신 후와 Call-Id 객체 생성 후 및 상태 객체 생성 후에 수행되는데, 즉 가입자 단말기 IP별 상태 리스트 객체의 S_count 합산이 임계치(h)를 넘는지를 임계치 판단부(133)에서 판단한다(S133-1). 다만, count가 1인 것은 제외한다.Lastly, in step S133 according to the present invention, the CSCF IP, Method type, Detect_time update, and after the Call-Id object generation and state object generation are performed, that is, the S_count summation of the state list object per subscriber terminal IP is equal to or less than the threshold value h) is determined by the threshold value determination unit 133 (S133-1). Except that count is 1.

예를 들면, 본 발명에 따른 S133 단계에서는 가입자 단말기 IP별 상태 리스트 객체의 S_count 합산이 임계치(h)를 넘는다고 판단할 경우 탐지 메시지를 임계치 판단부(133)에서 생성한다.For example, if it is determined in step S133 that the S_count summation of the state list object for each subscriber terminal IP exceeds the threshold value h, the threshold value determination unit 133 generates a detection message.

그러나, 본 발명에 따른 S133 단계에서는 가입자 단말기 IP별 상태 리스트 객체의 S_count 합산이 임계치(h)를 넘지 않는다고 임계치 판단부(133)에서 판단할 경우 Call-ID 객체별 시간 계산을 수행한다. However, in step S133 according to the present invention, when the threshold value determination unit 133 determines that the S_count summation of the state list object per subscriber terminal IP does not exceed the threshold value h, the time calculation for each Call-ID object is performed.

예를 들면, 가입자 단말기 IP별 상태 리스트 객체의 S_count 합산이 임계치(h)를 넘지 않는다고 판단할 경우에는 Call-ID 객체별 순환이후 현재시간 대비 상기 Call-ID의 Start_time이 설정 값(S_time)보다 크면(S133-2), 해당 Call-ID를 삭제한다(S133-3). For example, when it is determined that the S_count summation of the state list object of each subscriber terminal IP does not exceed the threshold value h, if the Start_time of the Call-ID is larger than the set value (S_time) after the cycle of each Call-ID object (S133-2), and deletes the corresponding Call-ID (S133-3).

이를 통해 다음 Call-ID가 존재하는지를 판단하여 존재할 경우(S133-4)이거나 Call-ID 객체별 순환이후 현재시간 대비 상기 Call-ID의 Start_time이 설정 값(S_time)보다 작으면(S133-2), Call-ID 객체별로 순환이 이루어진다. 그러나, 다음 Call-ID가 존재하는지(S133-4)를 판단하여 존재하지 않는 경우에는 앞서 설명한 S110 단계로 회귀하여 수행될 수 있다.If it is determined that the next Call-ID is present (S133-4), or if the Start_time of the Call-ID is smaller than the set value (S_time) after the cycle of each Call-ID object (S133-2) Calls are made for each Call-ID object. However, if it is determined that the next Call-ID exists (S133-4), the process returns to step S110 described above.

이와 같이, 본 실시예에서는 응답 SIP 트래픽에 기반하여 SIP 공격과 비정상을 사전에 탐지함으로써, IMS망 장비에서 발생되는 과부하 및 장애를 줄일 수 있고, CSCF(Call Session control Function)가 오작동되는 것을 막을 수 있는 장점을 준다.As described above, according to the present embodiment, it is possible to prevent an overload and a trouble occurring in the IMS network equipment and to prevent the malfunction of the call session control function (CSCF) by detecting SIP attacks and abnormalities in advance based on the response SIP traffic Gives you an advantage.

이상에서와 같이, 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였으나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고 다른 구체적인 형태로 실시할 수 있다는 것을 이해할 수 있을 것이다. 따라서 이상에서 기술한 실시예는 모든 면에서 예시적인 것이며 한정적이 아닌 것이다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the exemplary embodiments or constructions. You can understand that you can do it. The embodiments described above are therefore to be considered in all respects as illustrative and not restrictive.

100 : SIP 탐지 시스템 110 : 가입자 단말기
120 : IMS 130 : SIP 탐지 장치
131 : IP 추출부 132 : 클래스 판단부
133 : 임계치 판단부 132-1 :제1 클래스 판단부
132-2 : 제2 클래스 판단부 132-3 : 제3 클래스 판단부100: SIP detection system 110: Subscriber terminal
120: IMS 130: SIP detection device
131: IP extracting unit 132:
133: Threshold judging unit 132-1: First class judging unit
132-2: second class judgment unit 132-3: third class judgment unit

Claims (22)

VoLTE 서비스를 제공하는 IMS 망에 접속하여 SIP(Session Initiation Protocol) 요청 메시지를 전송하는 가입자 단말기;
상기 SIP 요청 메시지에 대응하여 SIP 응답 메시지를 상기 IMS망을 통해 상기 가입자 단말기로 전송하는 IMS(IP Multimedia subsystem); 및
상기 가입자 단말기별 상기 SIP 응답 메시지를 수신하고 수신된 SIP 응답 메시지에 포함된 SIP 헤더의 응답 코드로부터 상기 가입자 단말기별로 미리 정해진 시간동안 누적 카운팅한 누적값을 계산하여 가입자 단말기 IP별 상태 리스트 객체의 누적값이 임계치를 넘어설 경우 SIP 공격과 비정상 행위로 간주하는 SIP 탐지 장치를 포함하여 구성되며,

상기 SIP 탐지 장치는, 상기 응답 코드(StatusCode)가 관리 중인 응답코드 리스트에 존재할 경우 해당하는 가입자 단말기 IP를 추출하는 IP 추출부를 포함하며,
상기 SIP 탐지 장치는, 추출된 상기 가입자 단말기 IP가 DetectSession 리스트 및 상태 리스트 객체안에 존재하는지를 각각 판단하는 클래스 판단부를 더 포함하며,

상기 클래스 판단부는,
상기 DetectSession 리스트에 상기 가입자 단말기 IP가 있는지를 판단하여 없을 경우 상기 가입자 단말기 IP의 DetectSession 객체를 생성하는 제1 클래스 판단부; 및
상기 DetectSession 리스트에 상기 가입자 단말기 IP가 있는지를 판단하여 있을 경우 상기 상태 리스트 객체에 일치하는 상기 가입자 단말기 IP가 존재하는지를 판단하는 제2 클래스 판단부를 더 포함하여 구성되며,

상기 제1 클래스 판단부는 Call-ID, CSCF IP, Method Type, count, start/detect time을 속성값으로 가지고 있는 Call-ID List 객체뿐만 아니라 Status-code, S_count, SIP Method 객체를 속성값으로 가지고 있는 상기 DetectSession 객체를 생성하는 것을 특징으로 하는 4G 이동통신망에서의 SIP 탐지 시스템.A subscriber terminal connected to an IMS network providing a VoLTE service and transmitting a Session Initiation Protocol (SIP) request message;
An IMS (IP Multimedia Subsystem) for transmitting a SIP response message to the subscriber station through the IMS network in response to the SIP request message; And
Receiving the SIP response message for each subscriber terminal and calculating an accumulation value cumulatively counted for a predetermined time for each subscriber terminal from the response code of the SIP header included in the received SIP response message, SIP detectors considered as SIP attacks and abnormal actions when the value exceeds the threshold value,

The SIP detecting device includes an IP extracting unit for extracting a corresponding subscriber terminal IP when the response code (StatusCode) exists in a response code list being managed,
The SIP detection apparatus further includes a class determination unit for determining whether the extracted subscriber station IP exists in a DetectSession list and a status list object,

The class judging unit judges,
A first class determination unit for determining whether the subscriber station IP exists in the DetectSession list and generating a DetectSession object for the subscriber station IP if the subscriber station IP exists; And
Further comprising a second class determiner for determining whether the subscriber station IP corresponding to the state list object exists if it is determined that the subscriber station IP exists in the DetectSession list,

The first class determiner has a Status-code, an S_count, and a SIP Method object as attribute values as well as a Call-ID List object having Call-ID, CSCF IP, Method Type, count, and start / And the DetectSession object is generated. 삭제delete 삭제delete 삭제delete 삭제delete 제1항에 있어서, 상기 제2 클래스 판단부는,
상기 DetectSession 리스트에 상기 가입자 단말기 IP가 존재하고, 상기 상태 리스트 객체에 일치하는 응답 코드가 존재하지 않을 경우 상태 객체를 생성하는 것을 특징으로 하는 4G 이동통신망에서의 SIP 탐지 시스템.The apparatus of claim 1, wherein the second class determiner comprises:
Wherein the status object is generated when the subscriber station IP exists in the DetectSession list and the response code does not exist in the status list object. 제6항에 있어서,
상기 제2 클래스 판단부는,
새로운 응답 코드에 따른 속성값을 상기 상태 객체에 추가하는 것을 특징으로 하는 4G 이동통신망에서의 SIP 탐지 시스템.The method according to claim 6,
Wherein the second class determination unit determines,
And adds an attribute value according to a new response code to the state object. 제1항에 있어서, 상기 제2 클래스 판단부는,
상기 DetectSession 리스트에 상기 가입자 단말기 IP가 존재하고, 상기 상태 리스트 객체에 일치하는 응답 코드가 존재할 경우 DetectSession 객체의 S_count 및 SIP Method 타입을 1씩 증가시키는 것을 특징으로 하는 4G 이동통신망에서의 SIP 탐지 시스템.The apparatus of claim 1, wherein the second class determiner comprises:
Wherein the S_count and SIP Method types of the DetectSession object are incremented by 1 when the subscriber terminal IP exists in the DetectSession list and a response code matching the state list object exists. 제8항에 있어서,
상기 클래스 판단부는,
상기 S_count 및 SIP Method 타입을 1씩 증가시킨 후, 상기 DetectSession 객체안에 일치하는 Call-ID가 존재하지 않을 경우, 상기 Call-ID에 따른 CSCF IP, Method type, C_count 및 Start/Detect_time을 추가한 Call-Id 객체를 생성하고, 존재할 경우, 해당 Call-ID에 따른 CSCF IP, Method type, Detect_time을 갱신하고, C_count를 1 증가 시키는 제3 클래스 판단부;
를 더 포함하는 것을 특징으로 하는 4G 이동통신망에서의 SIP 탐지 시스템.9. The method of claim 8,
The class judging unit judges,
If a matching Call-ID does not exist in the DetectSession object after incrementing the S_count and the SIP Method type by 1, a Call-ID including a CSCF IP, a Method type, a C_count, and a Start / Detect_time according to the Call- A third class determination unit for updating the CSCF IP, Method type, and Detect_time according to the corresponding Call-ID, and increasing C_count by 1 if the Id object is present;
Further comprising: a SIP detection module for detecting a SIP session in the 4G mobile communication network. 제9항에 있어서,
상기 가입자 단말기 IP별 상기 상태 리스트 객체의 S_count 합산이 임계치(h)를 넘을 경우 탐지 메시지를 생성하고, 넘지 않을 경우 상기 Call-ID 객체별 시간 계산을 수행하는 임계치 판단부;
를 더 포함하는 것을 특징으로 하는 4G 이동통신망에서의 SIP 탐지 시스템.10. The method of claim 9,
A threshold value determiner for generating a detection message when S_count summation of the state list object for each subscriber terminal IP exceeds a threshold value h and performing time calculation for each Call ID object if the sum does not exceed the threshold value h;
Further comprising: a SIP detection module for detecting a SIP session in the 4G mobile communication network. 제10항에 있어서,
상기 임계치 판단부는,
현재시간 대비 상기 Call-ID의 Start_time이 설정 값(S_time)보다 크면, 해당 Call-ID를 삭제하는 것을 특징으로 하는 4G 이동통신망에서의 SIP 탐지 시스템.11. The method of claim 10,
The threshold value determination unit may determine,
And if the Start_time of the Call-ID is larger than the set value (S_time) with respect to the current time, the corresponding Call-ID is deleted. (a) VoLTE 서비스를 제공하는 IMS 망으로 SIP(Session Initiation Protocol) 요청 메시지를 가입자 단말기에서 전송하는 단계;
(b) 상기 SIP 요청 메시지에 대응하여 SIP 응답 메시지를 상기 IMS망을 통해 IMS(IP Multimedia subsystem)에서 상기 가입자 단말기로 전송하는 단계; 및
(c) 상기 가입자 단말기별 상기 SIP 응답 메시지를 SIP 탐지 장치에서 수신하고 수신된 SIP 응답 메시지에 포함된 SIP 헤더의 응답 코드로부터 상기 가입자 단말기별로 미리 정해진 시간동안 누적 카운팅한 누적값을 SIP 탐지 장치에서 계산하여 가입자 단말기 IP별 상태 리스트 객체의 누적값이 임계치를 넘어설 경우 SIP 공격과 비정상 행위로 간주하는 단계를 포함하여 이루어지며,
상기 (c) 단계는,
상기 응답 코드(StatusCode)가 관리 중인 응답코드 리스트에 존재할 경우 해당하는 가입자 단말기 IP를 IP 추출부에서 추출하는 단계,
상기 추출된 상기 가입자 단말기 IP가 DetectSession 리스트 및 상태 리스트 객체안에 존재하는지를 클래스 판단부에서 각각 판단하는 단계,
상기 DetectSession 리스트에 상기 가입자 단말기 IP가 없을 경우 상기 가입자 단말기 IP의 DetectSession 객체를 제1 클래스 판단부에서 생성하는 단계; 및
상기 DetectSession 리스트에 상기 가입자 단말기 IP가 있을 경우 상기 상태 리스트 객체에 일치하는 상기 가입자 단말기 IP가 존재하는지를 제2 클래스 판단부에서 판단하는 단계를 포함하여 이루어지며,
상기 제1 클래스 판단부는 Call-ID, CSCF IP, Method Type, count, start/detect time을 속성값으로 지정하는 Call-ID List 객체뿐만 아니라 Status-code, S_count, SIP Method 객체를 속성값으로 지정한 상기 DetectSession 객체를 생성하는 것을 특징으로 하는 SIP 탐지 시스템의 SIP 공격과 비정상 탐지 방법.(a) transmitting a Session Initiation Protocol (SIP) request message from an access terminal to an IMS network providing a VoLTE service;
(b) transmitting a SIP response message in response to the SIP request message from the IMS (IP Multimedia subsystem) to the subscriber station through the IMS network; And
(c) receiving, by the SIP detecting device, the SIP response message for each subscriber terminal, accumulating the cumulative value of the response code of the SIP header included in the received SIP response message for each predetermined period of time by the subscriber terminal, And considering the SIP attack and the abnormal behavior when the cumulative value of the status list object for each subscriber terminal IP exceeds the threshold value,
The step (c)
If the response code (StatusCode) exists in the managed response code list, extracting the corresponding subscriber terminal IP from the IP extracting unit,
Determining whether the extracted subscriber station IP exists in a DetectSession list and a status list object, respectively,
Generating a DetectSession object of the subscriber station IP in the first class determiner if the subscriber station IP is not present in the DetectSession list; And
And if the subscriber station IP exists in the DetectSession list, determining by the second class determiner whether the subscriber station IP corresponding to the status list object exists,
The first class determiner may include a Call-ID List object that specifies a Call-ID, a CSCF IP, a Method Type, a count, and a start / detect time as attribute values as well as a Status-code, an S_count, And generating a DetectSession object in response to the SIP attack. 삭제delete 삭제delete 삭제delete 삭제delete 제12항에 있어서, 상기 가입자 단말기 IP가 존재하는지 판단하는 단계는,
상기 DetectSession 리스트에 상기 가입자 단말기 IP가 존재하고, 상기 상태 리스트 객체에 일치하는 응답 코드가 존재하지 않을 경우 상태 객체를 제2 클래스 판단부에서 생성하는 것을 특징으로 하는 SIP 탐지 시스템의 SIP 공격과 비정상 탐지 방법.The method of claim 12, wherein the step of determining whether the subscriber station IP exists includes:
Wherein if the subscriber station IP exists in the DetectSession list and there is no response code corresponding to the status list object, the second class determiner generates a state object in the SIP attack system and the abnormal detection Way. 제17항에 있어서, 상기 가입자 단말기 IP가 존재하는지 판단하는 단계는,
제2 클래스 판단부에 의해 새로운 응답 코드에 따른 속성값을 상기 상태 객체에 추가하는 것을 특징으로 하는 SIP 탐지 시스템의 SIP 공격과 비정상 탐지 방법.The method as claimed in claim 17, wherein the step of determining whether the subscriber station IP exists includes:
And the second class determination unit adds an attribute value according to a new response code to the state object. 제12항에 있어서, 상기 가입자 단말기 IP의 DetectSession 객체를 생성하는 단계는,
상기 DetectSession 리스트에 상기 가입자 단말기 IP가 존재하고, 상기 상태 리스트 객체에 일치하는 응답 코드가 존재할 경우 제1 클래스 판단부에서 DetectSession 객체의 S_count 및 SIP Method 타입을 1씩 증가시키는 것을 특징으로 하는 SIP 탐지 시스템의 SIP 공격과 비정상 탐지 방법.13. The method of claim 12, wherein generating the DetectSession object of the subscriber station IP comprises:
Wherein if the subscriber station IP exists in the DetectSession list and there is a response code matching the status list object, the first class determiner increments the S_count and SIP Method type of the DetectSession object by 1 SIP attack and abnormal detection method. 제19항에 있어서,
(d) 상기 S_count 및 SIP Method 타입을 1씩 증가시킨 후, 상기 DetectSession 객체안에 일치하는 Call-ID가 존재하지 않을 경우, 상기 Call-ID에 따른 CSCF IP, Method type, C_count 및 Start/Detect_time을 추가한 Call-Id 객체를 제3 클래스 판단부에서 생성하고, 존재할 경우, 해당 Call-ID에 따른 CSCF IP, Method type, Detect_time을 제3 클래스 판단부에서 갱신하고, C_count를 1 증가 시키는 단계;
를 더 포함하는 것을 특징으로 하는 SIP 탐지 시스템의 SIP 공격과 비정상 탐지 방법.20. The method of claim 19,
(d) If the corresponding Call-ID does not exist in the DetectSession object after incrementing the S_count and SIP Method types by 1, add CSCF IP, Method type, C_count and Start / Detect_time according to the Call-ID A third class determination unit for generating a Call-Id object and updating the CSCF IP, Method type, and Detect_time according to the corresponding Call-ID in the third class determination unit and increasing C_count by 1;
The method comprising the steps of: detecting a SIP attack and an abnormal state of the SIP detection system; (e) 제20항에 있어서,
상기 가입자 단말기 IP별 상기 상태 리스트 객체의 S_count 합산이 임계치(h)를 넘을 경우 탐지 메시지를 생성하고, 넘지 않을 경우 상기 Call-ID 객체별 시간 계산을 임계치 판단부에서 수행하는 단계;
를 더 포함하는 것을 특징으로 하는 SIP 탐지 시스템의 SIP 공격과 비정상 탐지 방법.(e) The method according to claim 20,
Generating a detection message when S_count summation of the state list object for each subscriber terminal IP exceeds a threshold value h, and if not, performing time calculation for each Call-ID object in a threshold value determiner;
The method comprising the steps of: detecting a SIP attack and an abnormal state of the SIP detection system; 제21항에 있어서,
상기 (e) 단계는,
현재시간 대비 상기 Call-ID의 Start_time이 설정 값(S_time)보다 크면, 임계치 판단부에서 해당 Call-ID를 삭제하는 것을 특징으로 하는 SIP 탐지 시스템의 SIP 공격과 비정상 탐지 방법.22. The method of claim 21,
The step (e)
And if the Start_time of the Call-ID is larger than the set value (S_time) with respect to the current time, the threshold determining unit deletes the corresponding Call-ID.
KR1020150006881A 2015-01-14 2015-01-14 SIP Detection System and SIP Attack and Abnormal Detection Method Thereby In 4G Mobile Communication Network KR101586626B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150006881A KR101586626B1 (en) 2015-01-14 2015-01-14 SIP Detection System and SIP Attack and Abnormal Detection Method Thereby In 4G Mobile Communication Network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150006881A KR101586626B1 (en) 2015-01-14 2015-01-14 SIP Detection System and SIP Attack and Abnormal Detection Method Thereby In 4G Mobile Communication Network

Publications (1)

Publication Number Publication Date
KR101586626B1 true KR101586626B1 (en) 2016-01-20

Family

ID=55308153

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150006881A KR101586626B1 (en) 2015-01-14 2015-01-14 SIP Detection System and SIP Attack and Abnormal Detection Method Thereby In 4G Mobile Communication Network

Country Status (1)

Country Link
KR (1) KR101586626B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102276090B1 (en) * 2020-11-16 2021-07-12 한국인터넷진흥원 Method and apparatus for rearranging traffic data

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100060389A (en) * 2008-11-27 2010-06-07 주식회사 케이티 Call treatment control apparatus and control method for the same
KR20100067387A (en) 2008-12-11 2010-06-21 한국인터넷진흥원 Detection and monitoring system for abnormal sip traffic attack using the netflow statistical information and method thereof
KR20110012486A (en) * 2009-07-30 2011-02-09 주식회사 케이티 Apparatus for managing traffic congestion

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100060389A (en) * 2008-11-27 2010-06-07 주식회사 케이티 Call treatment control apparatus and control method for the same
KR20100067387A (en) 2008-12-11 2010-06-21 한국인터넷진흥원 Detection and monitoring system for abnormal sip traffic attack using the netflow statistical information and method thereof
KR20110012486A (en) * 2009-07-30 2011-02-09 주식회사 케이티 Apparatus for managing traffic congestion

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102276090B1 (en) * 2020-11-16 2021-07-12 한국인터넷진흥원 Method and apparatus for rearranging traffic data
US11252568B1 (en) 2020-11-16 2022-02-15 Korea Internet & Security Agency Method and apparatus for rearranging traffic data

Similar Documents

Publication Publication Date Title
CN108040057B (en) Working method of SDN system suitable for guaranteeing network security and network communication quality
US7774849B2 (en) Methods, systems, and computer program products for detecting and mitigating denial of service attacks in a telecommunications signaling network
US20110040845A1 (en) Message restriction for diameter servers
EP3404949B1 (en) Detection of persistency of a network node
US11765200B2 (en) Methods, nodes and operator network for enabling management of an attack towards an application
CN106471778B (en) Attack detection device and attack detection method
KR20180120558A (en) System and method for predicting communication apparatuses failure based on deep learning
KR20140088340A (en) APPARATUS AND METHOD FOR PROCESSING DDoS IN A OPENFLOW SWITCH
CN112448894A (en) Method, device, equipment and storage medium for blocking signaling storm
CN100466560C (en) Method, system, device for detecting service quality, and charging and fault detecting system
CN111092900A (en) Method and device for monitoring abnormal connection and scanning behavior of server
KR20150090216A (en) Monitoring encrypted sessions
US9723501B2 (en) Fault analytics framework for QoS based services
WO2017035717A1 (en) Distributed denial of service attack detection method and associated device
JP2012038213A (en) Determination device, determination method, and computer program
KR101586626B1 (en) SIP Detection System and SIP Attack and Abnormal Detection Method Thereby In 4G Mobile Communication Network
KR101563081B1 (en) System for evaluating communication quality of communication apparatus assortatively, control method thereof, and recording medium for recording program for executing the control method
KR101534160B1 (en) Apparatus and method for VoLTE session management in 4G mobile network
KR101587845B1 (en) Method for detecting distributed denial of services attack apparatus thereto
KR101501698B1 (en) Method for detecting anomaly data flooding in mobile communication network
Ko et al. SIP amplification attack analysis and detection in VoLTE service network
CN104301152A (en) Method and device for detecting device faults
KR101506982B1 (en) System and method for detecting and bclocking illegal call through data network
KR101564228B1 (en) SYSTEM FOR DETECTING SIGNALING DoS TRAFFIC IN MOBILE COMMUNICATION NETWORK AND METHOD THEREOF
KR101711074B1 (en) Apparatus, system and method for detecting a sip tunneling packet in 4g mobile networks

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20200114

Year of fee payment: 5