KR101632241B1 - VoLTE 세션 기반 탐지 서비스 제공 방법 및 장치 - Google Patents

VoLTE 세션 기반 탐지 서비스 제공 방법 및 장치 Download PDF

Info

Publication number
KR101632241B1
KR101632241B1 KR1020150058101A KR20150058101A KR101632241B1 KR 101632241 B1 KR101632241 B1 KR 101632241B1 KR 1020150058101 A KR1020150058101 A KR 1020150058101A KR 20150058101 A KR20150058101 A KR 20150058101A KR 101632241 B1 KR101632241 B1 KR 101632241B1
Authority
KR
South Korea
Prior art keywords
session
gtp
information
sip
packet
Prior art date
Application number
KR1020150058101A
Other languages
English (en)
Inventor
진용식
Original Assignee
주식회사 윈스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 윈스 filed Critical 주식회사 윈스
Priority to KR1020150058101A priority Critical patent/KR101632241B1/ko
Application granted granted Critical
Publication of KR101632241B1 publication Critical patent/KR101632241B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 본 발명은 GTP(GPRS Tunneling Protocol)를 사용하는 네트워크 환경에서 세션(session) 기반 공격 행위 탐지 서비스에 관한 것으로, 더욱 상세하게는 터널링 정보를 관리하는 GTP 세션과 터널 내부에서 통신하는 SIP(Session Initation Protocol) 세션 간 공통의 고유 정보를 통하여 비정상의 패킷에 대한 단말 정보 추출과 제어 기능을 수행하고 종합적인 정보를 사용자에게 제공하기 위해 S_GW(Serving Gateway)와 P-GW(PDN Gateway) 간 GTP 터널을 통해 트래픽되는 GTP 패킷을 리드(read)하여 GTP 패킷과 이에 대응하는 SIP 패킷의 디코드(decode)를 수행하고, 디코드를 통해 생성된 SIP(Session Initation Protocol) 세션에 대응하는 GTP 및 SIP 패킷의 프로토콜 기반 기설정된 항목별 비정상 행위 여부를 디텍트(detect)하여 비정상 행위가 발생된 경우 VoLTE 세션 기반 탐지 상황별 기설정된 서비스 수행 정책에 따라 GTP 세션 검색을 위한 정보를 적응적으로 선별하여 비정상 행위에 대한 디텍트 및 상기 디텍트 결과에 대한 이벤트 로그 수행을 통해 GTP 네트워크 환경에서 전송되는 SIP 세션과 사용자 단말 정보를 일원화하여 관리 가능할 뿐만 아니라, 터널 정보가 빈번하게 업데이트 되는 GTP 네트워크 환경 특성이 고려된 단말 정보 제공을 통해 단말 정보 제공 시 소요되는 컴퓨팅 자원에 대한 소모를 지양하는 기술을 제공하고자 한다.

Description

VoLTE 세션 기반 탐지 서비스 제공 방법 및 장치{METHOD AND APPARATUS FOR PROVIDING DETECTION SERVICE BASED VoLTE SESSION}
본 발명은 GTP(GPRS Tunneling Protocol)를 사용하는 네트워크 환경에서 세션(session) 기반 공격 행위 탐지 서비스에 관한 것이다.
UE는 P-GW를 통해 동적으로 IP를 할당받아 외부 인터넷망과 연결되어 동작하게 되는데 이때, IP 패킷은 GTP 터널을 통하여 전송된다. GTP 프로토콜 정보를 토대로 초기 터널 생성 응답 시그널 내에서 세션 관련 정보를 수집하며 이를 통해 관리 가능한 형태의 GTP 세션 테이블을 생성한다.
상기 GTP 터널을 통해 흐르는 VoIP 서비스 패킷을 분류하기 위해 서비스 포트 기반으로 GTP-U 의 페이로드를 분석하여 분석 정보를 토대로 SIP 메시지의 통신 흐름을 따라 관련 정보를 수집하고 이를 기반으로 관리 가능한 형태의 SIP 세션 테이블을 생성한다.
이때, 4G 망 내부의 GTP와 SIP 의 세션 정보는 각각의 세션 테이블로 관리되기 때문에 모바일망 내에서 프로토콜의 공격 여부를 판단 및 제공하는 장비에서 제공하는 정보는 각각의 프로토콜에서 수집한 정보로 제한적이며, 이는 VoLTE 라는 GTP를 사용하는 모바일망 내의 VoIP 서비스 특성에 따른 전반적인 통계/VoLTE서비스정보제공/사용자 단말 추적을 어렵게 한다.
따라서 본 발명은 GTP(GPRS Tunneling Protocol)를 사용하는 네트워크 환경에서 SIP 세션과 사용자 단말 정보를 일원화하여 관리 가능한 기술을 제공하고자 한다.
또한, 본 발명은 터널 정보가 빈번하게 업데이트되는 GTP 네트워크 환경 특성이 고려된 단말 정보를 제공하고, 단말 정보 검색에 드는 리소스를 감소시키고자 한다.
본 발명의 일 견지에 따르면, 트랜스페어런트(transparent) 모드에서 S_GW(Serving Gateway)와 P-GW(PDN Gateway) 간 GTP 터널을 통해 트래픽되는 GTP 패킷을 리드(read)하는 과정과, 상기 리드된 GTP 패킷 타입 및 세션 환경을 인식하여 기설정된 정책에 따라 GTP 패킷을 디코드(decode)하는 과정과, 상기 GTP 패킷 디코드를 통해 생성된 SIP(Session Initation Protocol) 세션에 대응하는 프로토콜 기반 기설정된 항목별 비정상 행위 여부를 디텍트(detect)하는 과정과, 상기 디텍트 결과 비정상 행위가 발생된 경우 관련 정보를 수집하여 VoLTE 공격 탐지 프로토콜 기반 UE(User Equipment) 정보 검색 필요 유무 판단에 따라 결정된 UE 정보 검색 시 세션 테이블의 소정 항목 관련 정보를 이용하여 GTP 세션 검색을 수행하여 해당 UE 정보 획득을 통해 VoLTE 네트워크의 악성 행위에 대한 이벤트 로그를 수행하는 과정을 포함한다.
본 발명의 다른 견지에 따르면, 제어부의 제어 하에 트랜스페어런트(transparent) 모드에서 S_GW(Serving Gateway)와 P-GW(PDN Gateway) 간 GTP 터널을 통해 트래픽되는 GTP 패킷을 리드(read)하여 상기 리드된 GTP 패킷 타입 및 세션 환경을 인식하여 기설정된 정책에 따라 GTP 패킷을 디코드(decode)하는 디코드부와, 상기 GTP 패킷 디코드를 통해 생성된 SIP(Session Initation Protocol) 세션에 대응하는 프로토콜 기반 기설정된 항목별 비정상 행위 여부를 디텍트(detect)부와, 상기 디텍트 결과 비정상 행위가 발생된 경우 관련 정보를 수집하여 VoLTE 공격 탐지 프로토콜 기반 UE(User Equipment) 정보 검색 필요 유무 판단에 따라 결정된 UE 정보 검색 시 세션 테이블의 소정 항목 관련 정보를 이용하여 GTP 세션 검색을 수행하여 해당 UE 정보 획득을 통해 VoLTE 네트워크의 악성 행위에 대한 이벤트 로그를 수행하는 로그부를 포함함을 특징으로 한다.
본 발명은 GTP 네트워크 환경에서 전송되는 SIP 세션과 사용자 단말 정보를 일원화하여 관리 가능할 뿐만 아니라, 터널 정보가 빈번하게 업데이트 되는 GTP 네트워크 환경 특성이 고려된 단말 정보 제공을 통해 단말 정보 제공 시 소요되는 컴퓨팅 자원에 대한 소모를 지양하는 효과가 있다.
도 1은 본 발명의 일 실시 예에 따른 VoLTE 세션 기반 탐지 서비스 제공 방법이 적용된 전체 시스템의 개략적인 구성도.
도 2는 본 발명의 일 실시 예에 따른 VoLTE 세션 기반 탐지 서비스 제공 방법에 관한 전체 흐름도.
도 3은 본 발명의 일 실시 예에 따른 VoLTE 세션 기반 탐지 서비스 제공 방법의 상세 흐름도.
도 4는 본 발명의 일 실시 예에 따른 VoLTE 세션 기반 탐지 서비스 제공 방법에 있어서, GTP 세션 생성에 관한 구성 간 동작 흐름도.
도 5는 본 발명의 VoLTE 세션 기반 탐지 서비스 제공 방법에 있어서, SIP 세션 생성 관련 데이터 및 SIP 세션 테이블.
도 6은 본 발명의 일 실시 예에 따른 VoLTE 세션 기반 탐지 서비스 제공 방법에 있어서, SIP 세션 기반 GTP 세션 정보 조회 과정을 보인 예시도.
도 7은 본 발명의 일 실시 예에 따른 VoLTE 세션 기반 탐지 서비스 장치에 관한 상세 블록도.
이하 본 발명에 따른 바람직한 실시 예를 첨부한 도면을 참조하여 상세히 설명한다. 하기 설명에서는 구체적인 구성 소자 등과 같은 특정 사항들이 나타나고 있는데 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐 이러한 특정 사항들이 본 발명의 범위 내에서 소정의 변형이나 혹은 변경이 이루어질 수 있음은 이 기술 분야에서 통상의 지식을 가진 자에게는 자명하다 할 것이다.
본 발명은 GTP(GPRS Tunneling Protocol)를 사용하는 네트워크 환경에서 세션(session) 기반 공격 행위 탐지 서비스에 관한 것으로, 더욱 상세하게는 터널링 정보를 관리하는 GTP 세션과 터널 내부에서 통신하는 SIP(Session Initation Protocol) 세션 간 공통의 고유 정보를 통하여 비정상의 패킷에 대한 단말 정보 추출과 제어 기능을 수행하고 종합적인 정보를 사용자에게 제공하기 위해 S_GW(Serving Gateway)와 P-GW(PDN Gateway) 간 GTP 터널을 통해 트래픽되는 GTP 패킷을 리드(read)하여 GTP 패킷과 이에 대응하는 SIP 패킷의 디코드(decode)를 수행하고, 디코드를 통해 생성된 SIP(Session Initation Protocol) 세션에 대응하는 GTP 및 SIP 패킷의 프로토콜 기반 기설정된 항목별 비정상 행위 여부를 디텍트(detect)하여 비정상 행위가 발생된 경우 VoLTE 세션 기반 탐지 상황별 기설정된 서비스 수행 정책에 따라 GTP 세션 검색을 위한 정보를 적응적으로 선별하여 비정상 행위에 대한 디텍트 및 상기 디텍트 결과에 대한 이벤트 로그 수행을 통해 GTP 네트워크 환경에서 전송되는 SIP 세션과 사용자 단말 정보를 일원화하여 관리 가능할 뿐만 아니라, 터널 정보가 빈번하게 업데이트 되는 GTP 네트워크 환경 특성이 고려된 단말 정보 제공을 통해 단말 정보 제공 시 소요되는 컴퓨팅 자원에 대한 소모를 지양하는 기술을 제공하고자 한다.
또한, 본 발명의 실시 예에 따른 상기 UE는 바람직하게는 네트워크를 통하여 서버와 데이터 통신이 가능한 단말기며, 디지털 방송 단말기, 개인 정보 단말기(PDA, Personal Digital Assistant), 스마트 폰(Smart Phone), 3G 단말기 예를 들면 IMT-2000(International Mobile Telecommunication 2000) 단말기, WCDMA(Wideband Code Division Multiple Access)단말기, GSM/GPRS(GLOBAL SYSTEM FOR MOBILE COMMUNICATION PACKET RADIO SERVICE) 및 UMTS(Universal Mobile Telecommunication Service) 단말기 등과 같은 모든 정보통신기기 및 멀티미디어 기기와, 그에 대한 응용에도 적용될 수 있음은 자명할 것이다.
이하, 본 발명의 일 실시 예에 따른 VoLTE 세션 기반 탐지 서비스 제공 방법에 대해 도 1 내지 도 6을 참조하여 자세히 살펴보기로 한다.
먼저, 도 1은 본 발명의 일 실시 예에 따른 VoLTE 세션 기반 탐지 서비스 제공 방법이 적용된 전체 시스템의 개략적인 구성도이다.
도 1을 참조하면, 본 발명이 적용된 LTE 네트워크 시스템(100)은 데이터 통신이 가능한 사용자 단말 UE(User Equipment, 110), LTE 기지국으로, UE(110)와 LTE 네트워크 간에 무선으로 연결을 가능하게 해주는 eNB(Evolved Node B, 112), 핸드오버 역할을 수행하는 S-GW(Serving Gateway, 114), 상기 UE(110)을 외부망과 연결해 주며, 패킷 필터링을 제공하는 P-GW(PDN Gateway, 116) 및 외부 서비스 서버(118)을 포함한다.
이때, 상기 eNB(112)와 Serving Gateway(114)는 운용자(operator)가 설정한 네트워크를 통해서 연동하며, 상기 네트워크는 운용자에 의해서 관리되는 네트워크이다.
본 발명의 일 실시 예에 따른 VoLTE 세션 기반 탐지 서비스 제공 방법은 도 1의 도시된 전체 시스템(100)에서 트랜스페어런트(transparent) 모드에서 모니터링되는 상기 S-GW(114)와 P-GW(116)간 트래픽되는 GTP 및 SIP 세션 정보가 단일 체계로 제어하기 위한 것으로, 도 2를 참조하여 더욱 상세히 살펴보기로 한다.
도 2는 본 발명의 일 실시 예에 따른 VoLTE 세션 기반 탐지 서비스 제공 방법에 관한 전체 흐름도이다.
도 2를 참조하면, 먼저 210 과정에서는 GPRS(General Packet Radio Service) 어플리케이션 서비스에 따라 S_GW(Serving Gateway)와 P-GW(PDN Gateway) 간 GTP 터널을 생성한다.
더욱 상세하게는, 상기 S_GW(Serving Gateway)와 P-GW(PDN Gateway) 간 GTP 터널 생성을 위해 트랜스페어런트(transparent) 모드에서 S_GW(Serving Gateway)와 P-GW(PDN Gateway) 간 트래픽되는 터널 생성 요청(Create Request) 메시지를 모니터링하고, 상기 P-GW에서 수신된 터널 생성 요청 메시지에 따라 상기 S_GW에 터널 생성 응답(Create Response) 메시지를 모니터링하여 모니터링 결과로 210 과정에서는 상기 S_GW로 수신된 터널 생성 응답 메시지에 따라 UE 정보 기반 GTP 터널을 생성한다.
여기서, 상기 GTP는 UDP(User Datagram Protocol) 상위에서 동작하는 응용 프로토콜(Application Protocol)로서, GTP 헤더(Header)를 포함하는 패킷 데이터를 생성하여 설정된 터널을 통해 네트워크 간의 데이터 교환을 수행하는 프로토콜이고, 상기 터널 생성 요청 메시지는, LTE 네트워크 S_GW(Serving Gateway)와 P-GW(PDN Gateway)간에 트래픽되는 GTP(GPRS Tunnel Protocol) 데이터 호 설정을 위한 것으로, 상기 각 네트워크별 데이터 호 설정을 위한 패킷은 터널 생성 요청 메시지, 터널 생성 응답(Response) 메시지, 터널 갱신(update) 요청 메시지, 터널 갱신 응답 메시지, 터널 삭제(delete) 요청 메시지, 터널 삭제 응답 메시지를 포함한다.
212 과정에서는 생성된 상기 GTP 터널을 통해 트래픽되는 GTP 패킷을 리드(read)하고, 214 과정에서는 리드된 GTP 패킷의 타입 및 세션 환경을 인식하여 기설정된 정책에 따라 GTP 패킷을 디코드한다(216 과정).
여기서, 상술한 212 내지 216 과정의 동작을 도 3의 디코드부의 동작 흐름도를 참고하여 보다 상세히 살펴보도록 한다.
도 3은 본 발명의 일 실시 예에 따른 VoLTE 세션 기반 탐지 서비스 제공 방법의 상세 흐름도로서, 도 3의 디코드부(302)의 동작 흐름을 살펴보면, 310 과정에서는 VoLTE 탐지 시스템으로 로드된 GTP 패킷를 리드한다.
310 과정을 통해 리드된 GTP 패킷의 타입이 GTP-C(control message)인지 여부를 312 과정을 통해 체크하여 체크 결과 GTP-C인 경우 314 과정으로 이동하여 GTP 세션 검색을 위한 해당 프로토콜에 따라 커맨드(command) 메시지 타입(생성, 수정, 삭제, 업데이트)별 GTP 패킷의 프로토콜 기반 기설정된 정보를 해당 프로토콜에 대응되게 수집한다.
314 과정에서는 수집된 정보를 통해 이전 GTP 세션 존재 여부를 확인하여 확인 결과 GTP 세션이 존재하는 경우 316 과정에서는 상기 수집된 데이터에 대응되게 GTP 세션을 업데이트하고, GTP 세션이 존재하지 않은 경우 GTP 패킷의 프로토콜을 기반으로 새로운 GTP 세션을 생성함으로써 해당 GTP 세션을 관리한다.
312 과정을 통해 체크된 GTP 패킷의 타입이 GTP-C가 아닌 경우 318 과정으로 이동하여 GTP-U(user message)인지 여부를 체크한다.
체크 결과 GTP-U인 경우 320 과정으로 이동하여 하위 프로토콜이 SIP 인지 여부를 확인하고, SIP를 포함한 패킷인 경우 322 과정으로 이동하여 SIP 세션 검색을 위한 GTP 헤더의 TEID(Tunnel ID) 및 UE의 하위 계층 세션 정보를 수집한다.
수집된 상기 하위 계층 세션 정보가 SIP 패킷의 프로토콜에 기반한 특정 패킷 전송 포트 즉, UDP의 포트가 5060으로 SIP 서비스를 나타내면, 이어지는 데이터 정보가 SIP인 것으로 확인한다.
이때, SIP는 일반적으로 UDP 5060 포트번호를 나타내며 사용자가 사용한 SIP 프로토콜 /포트로 대체될 수도 있다.
이에 따라, 324 과정에서는 SIP 서비스 인식 하에 상기 GTP-U에 대응하는 이전 GTP 세션 존재 여부를 확인하고, 확인 결과 이전 SIP 세션이 존재하는 경우, 326 과정으로 이동하여 세션 테이블을 통해 GTP 패킷의 메시지 타입을 확인하여 상기 수집된 하위 계층 세션 정보에 대응되게 SIP 세션을 업데이트 혹은 생성하여 해당 SIP 세션을 관리한다. SIP 세션 업데이트 시에는 SIP 메시지 타입에 따라 상태(state) 정보가 변경된다.
한편, 324 과정의 동작을 통해 이전 SIP 세션이 존재하지 않은 경우, 328 및 330 과정의 각 동작을 통해 GTP 및 SIP 프로토콜을 기반으로 수집된 데이터를 파싱하여 SIP 세션을 생성한다.
다시 도 1의 설명으로 돌아가서, 218 과정에서는 GTP 패킷 디코드를 통해 생성된 SIP 세션에 대응하는 프로토콜(GTP/SIP) 기반 기설정된 항목별 비정상 행위 여부를 디텍트하여, 220 과정에서 비정상 행위 발생 여부를 체크한다.
이때, 상기 프로토콜 기반 기설정된 항목은 세션 ID, 메시지 타입, 송신자(caller), 수신자(callee), 전송 시점의 시간을 포함하는 것으로, 항목별 해당 값으로 세션 테이블을 생성 및 업데이트한다.
본 발명의 일 실시 예에 따른 VoLTE 세션 기반 탐지 서비스 제공 방법이 적용된 디텍트를 통한 비정상 행위 체크는 GTP 패킷의 프로토콜을 검색하여 기설정된 프로토콜 탐지 정책 즉, 특정 시그널의 과다 요청, 특정 필드 값의 오류 여부 판단, 비정상 세션에 대한 판단을 근거로 공격 행위 여부를 판단하여 판단 결과 공격 행위인 경우 GTP 세션 검색을 통해 세션 테이블을 파싱하여 항목별 공격 행위 여부를 체크한다.
체크 결과 GTP 세션에 대한 공격이 아닌 경우 SIP 프로토콜을 검색하여 공격 행위 여부를 판단함으로써 VoLTE 네트워크 환경에서의 공격 행위 디텍트에 대한 동작이 수행된다.
여기서, 상술한 디텍트의 동작을 도 3의 디텍트부(304)의 동작 흐름도를 참고하여 보다 상세히 살펴보면, 334 과정에서는 GTP 프로토콜 취약성 여부 검사를 위해 GTP 프로토콜을 검사한다.
본 발명이 적용된 VoLTE 기반 탐지 서비스는 모바일망 내부에 흐르는 SIP 에 대한 추적 절차이므로 SIP를 전달하는 GTP 프로토콜에 대한 취약성 여부를 336 과정을 통해 검사한다. 검사 시 기수집된 GTP 패킷의 프로토콜 기반 기설정된 데이터가 사용된다.
336 과정의 동작 결과 공격 행위 발생이 아닌 경우 338 과정 및 340 과정으로 순차 이동하여 GTP 세션 조회를 통한 세션 관련 취약성 검사가 포함된, GTP 세션 검색을 위한 해당 프로토콜에 따라 커맨드(command) 메시지 타입(수정, 삭제, 업데이트)별 GTP 패킷의 프로토콜 기반 기설정된 데이터를 수집하여, 수집 결과를 통해 공격의 판단 여부를 342 과정을 통해 탐지한다.
탐지 결과 GTP 세션에 대한 비정상 행위가 아닌 경우 344 과정으로 이동하여 SIP 디코드를 통해 규약에 맞게 수집된 SIP 프로토콜 정보에 대한 검사를 수행한다.
상기 SIP 프로토콜 정보에서는 세션 ID, 메시지 타입, 송신자, 수신자, 전송 시점의 시간 등이 체크되어 345 과정에서 공격 행위 발생 여부가 체크 된다.
346 과정에서는 GTP 및 SIP 프로토콜 관련 탐지 결과를 이벤트 로그부(306)로 출력한다.
상기 이벤트 로그부(306)에서 348 과정 및 350 과정에서는 각각 발생된 이벤트(예컨대, 공격) 및 로그 기록을 위한 공격과 관련된 데이터/세션의 정보를 수집한다. 이후, 352 과정에서는 수집된 정보를 기반으로 이벤트를 발생시켜 운영자에게 공격을 알린다.
수집 결과 354 과정에서는 VoLTE와 관련된 공격과 같이 UE 정보가 필요한 공격인지 판단하고, 판단 결과 UE 정보가 필요한 경우 356 과정으로 이동하여 GTP 세션을 검색한다. 검색 결과는 350 과정을 통해 로그에 기록(실시간 로그 기록 및 통계)되며, 이는 소정 기준으로 색인하여 기록된 정보를 사용자가 조회 가능하도록 DB화 된다.
상기 GTP 세션 검색을 통해 UE 정보 획득이 가능하다. 검색을 위해서 SIP 패킷의 TEID, 사용자 고유 번호 정보를 전달받는다.
이와 같은 디텍트(304) 및 이벤트 로그부(306)의 동작을 통해 본 발명에서는 비정상 행위가 발생된 경우 VoLTE 세션 기반 탐지 상황별 기설정된 서비스 수행 정책에 따라 GTP 세션 검색을 위한 정보를 적응적으로 선별하여 비정상 행위에 대한 디텍트 및 상기 디텍트 결과에 대한 이벤트 로그를 수행한다.
여기서, 본 발명이 적용된 GTP 네트워크 환경에서 GTP 세션은 UE 정보와 상기 UE가 통신하기 위한 터널링 정보를 포함하고, SIP 세션은 VoLTE 서비스를 위한 정보 및 TEID 정보를 포함한다.
이에 따라, 상기 VoLTE 세션 기반 탐지 상황별 기설정된 서비스 수행 정책은, SIP 세션 탐지 상황인 경우 상기 SIP 세션에 대응하는 TEID를 이용하여 GTP 세션을 검색하여 UE 정보를 획득하고, 로그 리포팅 상황인 경우 SIP 패킷의 세션 테이블 항목 중 송신자(caller) 정보에서 사용자 고유 번호를 이용하여 GTP 세션 검색을 수행하는 정책을 포함한다.
이때, 상기 로그 리포팅 상황 시 비정상 행위가 디텍트된 SIP 패킷의 세션 테이블 항목 중 송신자(caller) 정보에서 사용자 고유 번호를 추출하여 추출된 사용자 고유 번호를 GTP 세션 검색을 위한 키(key) 데이터로 사용한다.
그리고, 상기 로그 리포팅 상황 시점에서 GTP 세션 검색은, 비정상 행위가 발생된 UE 정보 제공을 위해 SIP 패킷의 해당 세션에서 사용자 고유 번호와 TEID를 사용하여 GTP 세션에서 UE 정보를 검색한다.
이와 관련된 도 1의 흐름도에서는 222 과정 내지 238 과정에 반영되어 수행되는 것으로, 도 1의 220 과정의 체크 결과, 비정상 행위가 발생된 경우 222 과정으로 이동하여 SIP 세션 탐지 상황인지 여부를 체크하고, SIP 세션 탐지 서비스를 수행하는 상황인 경우 224 과정으로 이동하여 SIP 세션에 대응하는 TEID 추출한다.
226 과정에서는 상기 TEID 정보를 이용하여 GTP 세션 검색을 수행하여 228 과정에서 UE 정보를 획득한다.
한편, 현재 망 탐지 서비스 상황이 222 과정 체크 결과 SIP 세션 탐지 시점이 아닌 경우 230 과정으로 이동하여 로그 리포팅 서비스 상황임을 인식하여 즉, VoLTE와 관련된 공격과 같이 UE 정보가 필요한 공격인 경우 232 과정으로 이동하여 SIP 패킷의 세션 테이블의 송신자 정보를 파싱하여 234 과정에서 파싱된 세션 테이블의 송신자 번호로부터 사용자 고유 번호를 추출하여 GTP 세션 검색을 위한 키 데이터로 생성한다.
상기 GTP 세션 검색은 비정상 행위가 발생된 UE 정보 제공을 위해 SIP 패킷의 해당 세션에서 사용자 고유 번호의 TEID를 사용하여 GTP 세션에서 UE 정보를 검색함으로써 GTP와 SIP의 세션 정보가 각각의 세션 테이블로 관리되는 GTP 네트워크 환경 특성이 고려된 정확한 UE 정보 제공 및 상기 UE 정보 검색에 소요되는 리소스 감소가 이뤄진다.
이후, 236 과정을 통해 상기 추출된 사용자 고유 번호를 이용하여 해당 GTP 세션 검색하고, 238 과정에서 로그로 기록된다.
한편, 본 발명에 따른 상기 GTP 세션은 업링크(Uplink)/다운(Downlink)의 정보가 해당 UE에 할당된 IP 주소에 링크되고, 상기 IP 주소는 상기 UE 정보에 링크되며, 상기 UE는 상기 Uplink/Downlink 정보 및 IP 주소에 링크되어 상기 UE가 상기 IP 및 TEID 구조를 역링크하는 세션 체인 구조를 사용한다.
이는 도 4에 도시된 바와 같고, 도 4는 본 발명의 일 실시 예에 따른 VoLTE 세션 기반 탐지 서비스 제공 방법에 있어서, GTP 세션 생성에 관한 동작 흐름을 보인 것으로, GTP 네트워크에서 S-GW(414)와 P-GW(416)를 지나는 Create Session Request(MSI)/Response(IP) 패킷은 Hash Buffer(410)를 거쳐 세션 체인(412)을 생성하거나 해당 세션 체인(312)에 대한 제어를 수행한다.
상기 세션 체인(312)은 UE의 고유한 IMSI 값, P-GW로부터 할당받은 IP, GTP 터널 설정 시 할당되는 TEID 등 패킷에서 추출한 정보로 구성된다.
최초 등록 시 UE로부터 Create Request에 세션을 등록하기 위한 UE 정보가 P-GW로 전달된다. 세션 관리부는 Create Request가 오면 해당 정보를 해쉬 버퍼(410)에 저장한다. 상기 해쉬 버퍼(410)에는 타이머(timer) 기능이 존재하며 일정 시간 내에 Response가 도착한 요청에 대해서 작업을 수행한다.
P-GW로부터 세션 Create Response가 오면 세션 관리부는 주고 받은 패킷의 정보를 기반으로 세션 체인(412)을 생성한다. 상기 세션 체인(412)은 Uplink/Downlink의 정보가 UE가 할당받은 IP에, IP 정보가 UE 정보에 연결되어 있으며 UE는 Uplink/Downlink 정보 및 IP 정보에 연결된다. 이때, 연결 방향은 단방향이다.
이어서, 도 5는 본 발명의 VoLTE 세션 기반 탐지 서비스 제공 방법에 있어서, SIP 세션 생성 관련 데이터 및 SIP 세션 테이블을 보인 것으로, 도 5를 참조하면, 510은 GTP-U 패킷의 구조를 보인 것으로, 상기 GTP-U 패킷의 GTP 계층의 GTP 데이터와 페이로드 부분에 위치한 SIP 계층의 SIP 데이터 정보를 통해 SIP 세션 테이블(512)이 생성된다.
상기 SIP 세션 테이블(512)는 메시지 타입(message type), (UD)TEID, 세션 ID(Session ID), 세션 타입, 상태(status), 송신자(caller), 수신자(callee) 및 타임 정보를 포함한다.
계속해서, 도 6은 본 발명의 일 실시 예에 따른 VoLTE 세션 기반 탐지 서비스 제공 방법에 있어서, SIP 세션 기반 GTP 세션 정보 조회 과정을 보인 예시도이다.
SIP 세션 테이블(610)내 UD TEID 정보는 GTP 세션 운용 과정에서 다양한 원인에 의해 빈번하게 변경이 가능하기 때문에 SIP 세션의 TEID 업데이트 대기 및 검색 과정에서 부하를 유발할 수 있다.
GTP 세션은 세션 체인(616) 구조를 사용하며 UE 정보가 IP, TEID 구조를 역링크하는 방식이다. 이러한 방식을 기반으로 본 발명에서는 SIP 세션 테이블 항목 중 송신자 정보에서 사용자 고유 번호를 추출(612)하여 GTP 정보를 검색하는 키(key)로써 사용한다.
즉, 도 6에 도시된 바와 같이 SIP 세션 테이블의 송신자 정보로부터 사용자 고유 번호(87654321)를 추출한다. SIP 공격 여부 확인 후 이벤트를 기록하는 과정에서 UE 추가 정보를 제공하기 위해 SIP 세션에서 사용자 고유 번호(87654321)와 TEID(614)를 사용하여 GTP 세션에서 UE 정보를 검색한다.
이상 본 발명의 일 실시 예에 따른 VoLTE 세션 기반 탐지 서비스 방법에 대해 살펴보았다.
이하에서는, 본 발명의 일 실시 예에 따른 VoLTE 세션 기반 탐지 서비스 장치에 대해 살펴보기로 한다.
도 7은 본 발명의 일 실시 예에 따른 VoLTE 세션 기반 탐지 서비스 장치에 관한 상세 블록도이다.
도 7을 참조하면, 본 발명이 적용된 VoLTE 세션 기반 탐지 서비스 장치는 디코드부(710), 디텍트부(712), 제어부(714), 로그부(716) 및 세션 관리부(718)을 포함한다.
상기 디코드부(710)는 제어부(714)의 제어 하에 트랜스페어런트(transparent) 모드에서 S_GW(Serving Gateway)와 P-GW(PDN Gateway) 간 GTP 터널을 통해 트래픽되는 GTP 패킷을 리드(read)하여 상기 리드된 GTP 패킷 타입 및 세션 환경을 인식하여 기설정된 정책에 따라 GTP 패킷을 디코드(decode)한다.
상기 디텍트(detect)부(712)는 GTP 패킷 디코드를 통해 생성된 SIP(Session Initation Protocol) 세션에 대응하는 프로토콜 기반 기설정된 항목별 비정상 행위 여부를 디텍트한다.
더욱 상세하게는, 상기 디텍트부(712)는 상기 GTP 패킷의 프로토콜을 검색하여 기설정된 프로토콜 탐지 정책(예컨대, 특정 시그널의 과다 요청, 특정 필드 값의 오류 여부 판단, 비정상 세션에 대한 판단) 기반 공격 행위 여부를 판단하고, 판단 결과 공격 행위인 경우 GTP 세션 검색을 통해 세션 테이블을 파싱하여 항목별 공격 행위 여부를 체크하여 체크 결과 GTP 세션에 대한 공격이 아닌 경우 SIP 프로토콜을 검색하여 공격 행위 여부를 판단한다.
상기 제어부(714)는 디텍트 결과 비정상 행위가 발생된 경우 VoLTE 세션 기반 탐지 상황별 기설정된 서비스 수행 정책에 따라 GTP 세션 검색을 위한 정보를 적응적으로 선별하여 비정상 행위에 대한 디텍트 및 상기 디텍트 결과에 대한 이벤트 로그를 수행하도록 디텍트부(712) 및 로그부(716)를 각각 제어한다.
또한, 상기 제어부(714)는, 비정상 행위가 발생된 경우 VoLTE 세션 기반 탐지 상황을 모니터링하여 기설정된 서비스 수행 정책에 따라 SIP 세션 탐지 상황인 경우 상기 SIP 세션에 대응하는 TEID를 이용하여 GTP 세션을 검색하여 UE 정보를 획득하고, 로그 리포팅 상황인 경우 SIP 패킷의 세션 테이블 항목 중 송신자(caller) 정보에서 사용자 고유 번호를 이용하여 GTP 세션 검색하도록 제어한다.
그리고, 상기 제어부(714)는 로그 리포팅 상황 시 비정상 행위가 디텍트된 SIP 패킷의 세션 테이블 항목 중 송신자(caller) 정보에서 사용자 고유 번호를 추출하여 추출된 사용자 고유 번호를 GTP 세션 검색을 위한 키(key) 데이터로 사용되도록 VoLTE 세션 기반 탐지 서비스 제공 장치를 제어한다.
즉, SIP 세션 테이블의 송신자 정보로부터 사용자 고유 번호(87654321)를 추출하여 SIP 공격 여부 확인 후 이벤트를 기록하는 과정에서 UE 추가 정보를 제공하기 위해 SIP 세션에서 사용자 고유 번호(87654321)와 TEID(614)를 사용하여 GTP 세션에서 UE 정보를 검색한다.
이러한, 로그 리포팅 상황 시에서의 상기 GTP 세션 검색은, 비정상 행위가 발생된 UE 정보 제공을 위해 SIP 패킷의 해당 세션에서 사용자 고유 번호와 TEID를 사용하여 GTP 세션에서 UE 정보를 검색한다.
이때, 상기 GTP 세션은, 업링크(Uplink)/다운(Downlink)의 정보가 해당 UE에 할당된 IP 주소에 링크되고, 상기 IP 주소는 상기 UE 정보에 링크되며, 상기 UE는 상기 Uplink/Downlink 정보 및 IP 주소에 링크되어 상기 UE가 상기 IP 및 TEID 구조를 역링크하는 세션 체인 구조를 사용한다. 이를 기반으로 본 발명이 적용된 VoLTE 세션 기반 탐지 서비스 제공 장치는 SIP 세션 테이블 항목 중 송신자 정보에서 사용자 고유 번호를 추출(612)하여 GTP 정보를 검색하는 키(key)로써 사용한다.
상기와 같이 본 발명에 따른 VoLTE 세션 기반 탐지 서비스 제공 방법 및 장치에 관한 동작이 이루어질 수 있으며, 한편 상기한 본 발명의 설명에서는 구체적인 실시 예에 관해 설명하였으나 여러 가지 변형이 본 발명의 범위를 벗어나지 않고 실시될 수 있다. 따라서 본 발명의 범위는 설명된 실시 예에 의하여 정할 것이 아니고 청구범위와 청구범위의 균등한 것에 의하여 정하여져야 할 것이다.
710: 디코드부 712: 디텍트부
714: 제어부 716: 로그부
718: 세션 관리부

Claims (14)

  1. 트랜스페어런트(transparent) 모드에서 S_GW(Serving Gateway)와 P-GW(PDN Gateway) 간 GTP 터널을 통해 트래픽되는 GTP 패킷을 리드(read)하는 과정과,
    상기 리드된 GTP 패킷 타입 및 세션 환경을 인식하여 기설정된 정책에 따라 GTP 패킷을 디코드(decode)하는 과정과,
    상기 GTP 패킷 디코드를 통해 생성된 SIP(Session Initation Protocol) 세션에 대응하는 프로토콜 기반 기설정된 항목별 비정상 행위 여부를 디텍트(detect)하는 과정과,
    상기 디텍트 결과 비정상 행위가 발생된 경우 VoLTE 세션 기반 탐지 상황별 기설정된 서비스 수행 정책에 따라 GTP 세션 검색을 위한 정보를 적응적으로 선별하여 비정상 행위에 대한 디텍트 및 상기 디텍트 결과에 대한 이벤트 로그를 수행하는 과정을 포함함을 특징으로 하며,
    상기 디텍트하는 과정은,
    상기 GTP 패킷의 프로토콜을 검색하여 기설정된 프로토콜 탐지 정책 기반 공격 행위 여부를 판단하는 과정과,
    판단 결과 공격 행위인 경우 GTP 세션 검색을 통해 세션 테이블을 파싱하여 항목별 공격 행위 여부를 체크하는 과정과,
    체크 결과 GTP 세션에 대한 공격이 아닌 경우 SIP 프로토콜을 검색하여 공격 행위 여부를 판단하는 과정을 포함함을 특징으로 하는 VoLTE 세션 기반 탐지 서비스 제공 방법.
  2. 제1항에 있어서, 상기 GTP 패킷을 디코드하는 과정은,
    상기 리드된 GTP 패킷이 GTP-C인 경우 대응하는 커맨드 메시지 타입별 GTP 패킷의 프로토콜 기반 기설정된 데이터를 수집하는 과정과,
    수집된 데이터를 통해 이전 GTP 세션 존재 여부를 확인하는 과정과,
    확인 결과 GTP 세션이 존재하는 경우 상기 수집된 데이터에 대응되게 GTP 세션을 업데이트하고, GTP 세션이 존재하지 않는 경우 GTP 패킷의 프로토콜을 기반으로 새로운 GTP 세션을 생성하는 과정을 포함함을 특징으로 하는 VoLTE 세션 기반 탐지 서비스 제공 방법.
  3. 제1항에 있어서, 상기 GTP 패킷을 디코드하는 과정은,
    상기 리드된 GTP 패킷이 GTP-U인 경우 대응하는 GTP 헤더의 TEID(Tunnel ID)및 UE의 하위 계층 세션 정보를 수집하는 과정과,
    수집된 상기 하위 계층 세션 정보가 SIP 패킷의 프로토콜에 기반한 특정 패킷 전송 포트인 경우 SIP 서비스 인식 하에 상기 GTP-U에 대응하는 이전 GTP 세션 존재 여부를 확인하는 과정과,
    확인 결과 이전 SIP 세션이 존재하는 경우, 세션 테이블을 통해 GTP 패킷의 메시지 타입을 확인하여 상기 수집된 하위 계층 세션 정보에 대응되게 SIP 세션을 업데이트하는 과정과,
    이전 SIP 세션이 존재하지 않은 경우, GTP-U 및 SIP 프로토콜을 기반으로 수집된 데이터를 파싱하여 SIP 세션을 생성하는 과정을 포함함을 특징으로 하는 VoLTE 세션 기반 탐지 서비스 제공 방법.
  4. 삭제
  5. 제1항에 있어서, 상기 VoLTE 세션 기반 탐지 상황별 기설정된 서비스 수행 정책은,
    SIP 세션 탐지 상황인 경우 상기 SIP 세션에 대응하는 TEID를 이용하여 GTP 세션을 검색하여 UE 정보를 획득하고,
    로그 리포팅 상황인 경우 SIP 패킷의 세션 테이블 항목 중 송신자(caller) 정보에서 사용자 고유 번호를 이용하여 GTP 세션 검색함을 특징으로 하는 VoLTE 세션 기반 탐지 서비스 제공 방법.
  6. 제5항에 있어서, 상기 로그 리포팅 상황 시 비정상 행위가 디텍트된 SIP 패킷의 세션 테이블 항목 중 송신자(caller) 정보에서 사용자 고유 번호를 추출하여 추출된 사용자 고유 번호를 GTP 세션 검색을 위한 키(key) 데이터로 사용함을 특징으로 하는 VoLTE 세션 기반 탐지 서비스 제공 방법.
  7. 제6항에 있어서, 상기 GTP 세션 검색은,
    비정상 행위가 발생된 UE 정보 제공을 위해 SIP 패킷의 해당 세션에서 사용자 고유 번호와 TEID를 사용하여 GTP 세션에서 UE 정보를 검색함을 특징으로 하는 VoLTE 세션 기반 탐지 서비스 제공 방법.
  8. 제5항에 있어서, 상기 GTP 세션은,
    업링크(Uplink)/다운(Downlink)의 정보가 해당 UE에 할당된 IP 주소에 링크되고, 상기 IP 주소는 상기 UE 정보에 링크되며, 상기 UE는 상기 Uplink 및 Downlink 정보 및 IP 주소에 링크되어 상기 UE가 상기 IP 및 TEID 구조를 역링크하는 세션 체인 구조를 사용함을 특징으로 하는 VoLTE 세션 기반 탐지 서비스 제공 방법.
  9. 제어부의 제어 하에 트랜스페어런트(transparent) 모드에서 S_GW(Serving Gateway)와 P-GW(PDN Gateway) 간 GTP 터널을 통해 트래픽되는 GTP 패킷을 리드(read)하여 상기 리드된 GTP 패킷 타입 및 세션 환경을 인식하여 기설정된 정책에 따라 GTP 패킷을 디코드(decode)하는 디코드부와,
    상기 GTP 패킷 디코드를 통해 생성된 SIP(Session Initation Protocol) 세션에 대응하는 프로토콜 기반 기설정된 항목별 비정상 행위 여부를 디텍트하는 디텍트(detect)부와,
    상기 디텍트 결과 비정상 행위가 발생된 경우 VoLTE 세션 기반 탐지 상황별 기설정된 서비스 수행 정책에 따라 GTP 세션 검색을 위한 정보를 적응적으로 선별하여 비정상 행위에 대한 디텍트 및 상기 디텍트 결과에 대한 이벤트 로그를 수행하도록 디텍트부 및 로그부를 각각 제어하는 제어부를 포함함을 특징으로 하며,
    상기 디텍트부는,
    상기 GTP 패킷의 프로토콜을 검색하여 기설정된 프로토콜 탐지 정책 기반 공격 행위 여부를 판단하고, 판단 결과 공격 행위인 경우 GTP 세션 검색을 통해 세션 테이블을 파싱하여 항목별 공격 행위 여부를 체크하여 체크 결과 GTP 세션에 대한 공격이 아닌 경우 SIP 프로토콜을 검색하여 공격 행위 여부를 판단함을 특징으로 하는 VoLTE 세션 기반 탐지 서비스 제공 장치.
  10. 제9항에 있어서, 상기 제어부는,
    비정상 행위가 발생된 경우 VoLTE 세션 기반 탐지 상황을 모니터링하여 기설정된 서비스 수행 정책에 따라 SIP 세션 탐지 상황인 경우 상기 SIP 세션에 대응하는 TEID를 이용하여 GTP 세션을 검색하여 UE 정보를 획득하고,
    로그 리포팅 상황인 경우 SIP 패킷의 세션 테이블 항목 중 송신자(caller) 정보에서 사용자 고유 번호를 이용하여 GTP 세션 검색하도록 제어함을 특징으로 하는 VoLTE 세션 기반 탐지 서비스 제공 장치.
  11. 제10항에 있어서, 상기 제어부는,
    상기 로그 리포팅 상황 시 비정상 행위가 디텍트된 SIP 패킷의 세션 테이블 항목 중 송신자(caller) 정보에서 사용자 고유 번호를 추출하여 추출된 사용자 고유 번호를 GTP 세션 검색을 위한 키(key) 데이터로 사용되도록 제어함을 특징으로 하는 VoLTE 세션 기반 탐지 서비스 제공 장치.
  12. 제11항에 있어서, 상기 GTP 세션 검색은,
    비정상 행위가 발생된 UE 정보 제공을 위해 SIP 패킷의 해당 세션에서 사용자 고유 번호와 TEID를 사용하여 GTP 세션에서 UE 정보를 검색함을 특징으로 하는 VoLTE 세션 기반 탐지 서비스 제공 장치.
  13. 제10항에 있어서, 상기 GTP 세션은,
    업링크(Uplink)/다운(Downlink)의 정보가 해당 UE에 할당된 IP 주소에 링크되고, 상기 IP 주소는 상기 UE 정보에 링크되며, 상기 UE는 상기 Uplink/Downlink 정보 및 IP 주소에 링크되어 상기 UE가 상기 IP 및 TEID 구조를 역링크하는 세션 체인 구조를 사용함을 특징으로 하는 VoLTE 세션 기반 탐지 서비스 제공 장치.
  14. 삭제
KR1020150058101A 2015-04-24 2015-04-24 VoLTE 세션 기반 탐지 서비스 제공 방법 및 장치 KR101632241B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150058101A KR101632241B1 (ko) 2015-04-24 2015-04-24 VoLTE 세션 기반 탐지 서비스 제공 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150058101A KR101632241B1 (ko) 2015-04-24 2015-04-24 VoLTE 세션 기반 탐지 서비스 제공 방법 및 장치

Publications (1)

Publication Number Publication Date
KR101632241B1 true KR101632241B1 (ko) 2016-06-21

Family

ID=56354013

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150058101A KR101632241B1 (ko) 2015-04-24 2015-04-24 VoLTE 세션 기반 탐지 서비스 제공 방법 및 장치

Country Status (1)

Country Link
KR (1) KR101632241B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111866923A (zh) * 2019-04-24 2020-10-30 中国移动通信集团安徽有限公司 VoLTE用户开户数据异常判断方法、装置及网络设备

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101388628B1 (ko) * 2013-11-07 2014-04-24 한국인터넷진흥원 4g 이동통신망에서의 비정상 트래픽 차단 방법
KR101414231B1 (ko) * 2013-08-28 2014-07-01 한국인터넷진흥원 비정상 호 탐지 장치 및 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101414231B1 (ko) * 2013-08-28 2014-07-01 한국인터넷진흥원 비정상 호 탐지 장치 및 방법
KR101388628B1 (ko) * 2013-11-07 2014-04-24 한국인터넷진흥원 4g 이동통신망에서의 비정상 트래픽 차단 방법

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111866923A (zh) * 2019-04-24 2020-10-30 中国移动通信集团安徽有限公司 VoLTE用户开户数据异常判断方法、装置及网络设备
CN111866923B (zh) * 2019-04-24 2022-11-29 中国移动通信集团安徽有限公司 VoLTE用户开户数据异常判断方法、装置及网络设备

Similar Documents

Publication Publication Date Title
US9538409B2 (en) Quality of user experience analysis
KR101211742B1 (ko) 통신 시스템, 모바일 프로토콜 패킷 관리 방법 및 서빙 게이트웨이
CN107888605B (zh) 一种物联网云平台流量安全分析方法和系统
CN111800412B (zh) 高级可持续威胁溯源方法、系统、计算机设备及存储介质
US10952091B2 (en) Quality of user experience analysis
US9705762B2 (en) Systems and methods for detecting device identity at a proxy background
KR101388627B1 (ko) 4g 이동통신망에서의 비정상 트래픽 차단 장치
US20170201533A1 (en) Mobile aware intrusion detection system
KR101414231B1 (ko) 비정상 호 탐지 장치 및 방법
US10476835B2 (en) Dynamically identifying and associating control packets to an application layer
KR101388628B1 (ko) 4g 이동통신망에서의 비정상 트래픽 차단 방법
US20230058366A1 (en) Managing Service Function Chains
US9510377B2 (en) Method and apparatus for managing session based on general packet radio service tunneling protocol network
KR20150082903A (ko) 어플리케이션 검출 방법 및 장치
KR101632241B1 (ko) VoLTE 세션 기반 탐지 서비스 제공 방법 및 장치
KR101534161B1 (ko) 4g 모바일 네트워크에서의 사용자 세션 관리 장치 및 방법
KR101534160B1 (ko) 4G 모바일 네트워크에서의 VoLTE 세션 관리 장치 및 방법
EP2879350A1 (en) Communication method in wireless access network and wireless access network device
KR101499022B1 (ko) 4g 모바일 네트워크에서의 비정상 mms 메시지 탐지 장치 및 방법
KR20100123074A (ko) 이동통신 시스템에서 데이터 호의 최대 세그먼크 크기 결정 장치 및 방법
US20240015512A1 (en) Content Filtering Support for Protocols with Encrypted Domain Name Server
Ko et al. SIP amplification attack analysis and detection in VoLTE service network
US9301280B2 (en) Optimizing paging based on services
KR101620362B1 (ko) Gtp 네트워크 프로토콜 버전에 따른 세션 관리 방법 및 장치
KR101785680B1 (ko) 4g 모바일 네트워크에서의 rtp 터널링 패킷 탐지 장치, 시스템 및 방법

Legal Events

Date Code Title Description
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20190617

Year of fee payment: 4