KR101711074B1 - 4g 모바일 네트워크에서의 sip 터널링 패킷 탐지 장치, 시스템 및 방법 - Google Patents

4g 모바일 네트워크에서의 sip 터널링 패킷 탐지 장치, 시스템 및 방법 Download PDF

Info

Publication number
KR101711074B1
KR101711074B1 KR1020150185957A KR20150185957A KR101711074B1 KR 101711074 B1 KR101711074 B1 KR 101711074B1 KR 1020150185957 A KR1020150185957 A KR 1020150185957A KR 20150185957 A KR20150185957 A KR 20150185957A KR 101711074 B1 KR101711074 B1 KR 101711074B1
Authority
KR
South Korea
Prior art keywords
packet
information
user terminal
sip
gtp
Prior art date
Application number
KR1020150185957A
Other languages
English (en)
Inventor
김환국
김세권
구본민
박성민
고은혜
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020150185957A priority Critical patent/KR101711074B1/ko
Application granted granted Critical
Publication of KR101711074B1 publication Critical patent/KR101711074B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • H04L65/1006
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/1016IP multimedia subsystem [IMS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/28Timers or timing mechanisms used in protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/08Upper layer protocols
    • H04W80/10Upper layer protocols adapted for application session management, e.g. SIP [Session Initiation Protocol]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

4G 모바일 네트워크에서의 SIP 터널링 패킷 탐지 장치, 시스템 및 방법이 제공된다. 상기 SIP 터널링 패킷 탐지 장치는, GTP(GPRS Tunneling Protocol)-U 패킷이 SIP INVITE 메시지를 포함하고, 상기 GTP-U 패킷의 목적지 포트가 SIP 포트가 아닌 경우, 상기 GTP-U 패킷의 헤더로부터 TEID를 추출하고, 상기 GTP-U 패킷의 페이로드로부터 사용자 단말 식별 번호를 추출하는 패킷 정보 추출부, 상기 TEID, 상기 사용자 단말 식별 번호, 탐지 시간 정보, 및 패킷수 정보를 포함하는 세션 정보를 저장하는 세션 정보 저장부, 상기 세션 정보에 포함된 상기 탐지 시간 정보와 상기 패킷수 정보를 확인하여 비정상 데이터 패킷을 탐지하는 세션 정보 분석부, 및 상기 세션 정보 분석부의 탐지 결과에 따라 상기 비정상 데이터 패킷을 처리하는 패킷 처리부를 포함한다.

Description

4G 모바일 네트워크에서의 SIP 터널링 패킷 탐지 장치, 시스템 및 방법{APPARATUS, SYSTEM AND METHOD FOR DETECTING A SIP TUNNELING PACKET IN 4G MOBILE NETWORKS}
본 발명은 SIP 터널링 패킷 탐지 장치, 시스템 및 방법에 관한 것으로, 보다 상세하게는 GTP(GPRS Tunneling Protocol)를 사용하는 4G 모바일 네트워크에서의 SIP 터널링 패킷 탐지 장치, 시스템 및 방법에 관한 것이다.
GTP(GPRS Tunneling Protocol)는 이동 통신 네트워크, 특히 3G 또는 4G 네트워크 내에서 사용되는 프로토콜로서, 시그널링을 위한 GTP-C 패킷과 데이터 전송을 위한 GTP-U 패킷으로 구성된다.
이러한 GTP는, 사용자 단말기(예를 들어, 스마트폰 등)의 데이터 서비스를 위하여, 데이터 호 설정, 갱신, 삭제 등과 같은 시그널링 및 데이터 전송을 수행하도록 고안되었다.
무선 통신 시스템은 기술의 비약적인 발전에 힘입어 각종 멀티미디어 서비스를 무선으로 제공하는 고속 데이터 통신 서비스를 제공하는 단계에 이르렀다. 이러한 무선 통신 시스템의 일 예로 표준 단체인 3GPP(3rd Generation Partnership Project)에서 제안된 LTE(Long Term Evolution) 시스템이 다수의 국가들에서 서비스를 제공 중이다. 상기 LTE 시스템은 100 Mbps 정도의 전송 속도를 제공하는 고속 패킷 기반 통신을 구현하는 기술이다. 또한 최근에는 LTE 망을 통해 음성 통화를 제공하는 VoLTE 서비스가 제공되기 시작하였다.
한국 공개 특허 제2013-0121936호에는 에스아이피 메시지 송수신 시스템 및 방법에 관하여 개시되어 있다.
본 발명이 해결하고자 하는 과제는, 4G 모바일 네트워크 내에서, 발신 단말은 VoLTE 제어 메시지 내의 헤더에 임의의 인터넷망 연결용 데이터를 삽입하여 VoLTE 콜(call)을 시도하고, 착신 단말은 해당 패킷을 수신하여 인터넷망 연결용 데이터를 추출함으로써 데이터 사용에 대한 과금을 회피하는 비정상 데이터 패킷을 탐지할 수 있는 SIP 터널링 패킷 탐지 장치를 제공하는 것이다. 특히, VoLTE 제어 메시지 중 SIP INVITE 메시지 내의 헤더에 임의의 인터넷망 연결용 데이터를 삽입한 비정상 데이터 패킷을 탐지할 수 있다. 착발신 단말은 위에서 설명한 과정을 반복함으로써 데이터 사용에 대한 과금을 회피하면서 데이터를 송수신할 수 있다.
본 발명이 해결하고자 하는 다른 과제는, 4G 모바일 네트워크 내에서 VoLTE 제어 메시지(예를 들어, SIP INVITE 메시지)를 이용하여 데이터 사용에 대한 과금을 회피하고자 하는 비정상 데이터 패킷을 탐지할 수 있는 SIP 터널링 패킷 탐지 시스템을 제공하는 것이다.
본 발명이 해결하고자 하는 또 다른 과제는, 4G 모바일 네트워크 내에서 VoLTE 제어 메시지(예를 들어, SIP INVITE 메시지)를 이용하여 데이터 사용에 대한 과금을 회피하고자 하는 비정상 데이터 패킷을 탐지할 수 있는 SIP 터널링 패킷 탐지 방법을 제공하는 것이다.
본 발명이 해결하고자 하는 과제들은 이상에서 언급한 과제들로 제한되지 않으며, 언급되지 않은 또 다른 과제들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
상기 과제를 해결하기 위한 본 발명의 실시예에 따른 4G 모바일 네트워크에서의 SIP 터널링 패킷 탐지 장치는, GTP(GPRS Tunneling Protocol)-U 패킷이 SIP INVITE 메시지를 포함하고, 상기 GTP-U 패킷의 목적지 포트가 SIP 포트가 아닌 경우, 상기 GTP-U 패킷의 헤더로부터 TEID를 추출하고, 상기 GTP-U 패킷의 페이로드로부터 사용자 단말 식별 번호를 추출하는 패킷 정보 추출부, 상기 TEID, 상기 사용자 단말 식별 번호, 탐지 시간 정보, 및 패킷수 정보를 포함하는 세션 정보를 저장하는 세션 정보 저장부, 상기 세션 정보에 포함된 상기 탐지 시간 정보와 상기 패킷수 정보를 확인하여 비정상 데이터 패킷을 탐지하는 세션 정보 분석부, 및 상기 세션 정보 분석부의 탐지 결과에 따라 상기 비정상 데이터 패킷을 처리하는 패킷 처리부를 포함한다.
상기 과제를 해결하기 위한 본 발명의 실시예에 따른 4G 모바일 네트워크에서의 SIP 터널링 패킷 탐지 시스템은, 세션 정보를 이용하여 비정상 데이터 패킷을 탐지하는 SIP 터널링 패킷 탐지 장치, 및 VoLTE 제어 메시지로부터 패킷 정보를 추출하여 상기 세션 정보를 생성하는 세션 정보 수집 장치를 포함하되, 상기 세션 정보 수집 장치는, 상기 VoLTE 제어 메시지로부터 제1 TEID와 제1 사용자 단말 식별 번호를 추출하는 메시지 정보 추출부와, 상기 제1 TEID, 상기 제1 사용자 단말 식별 번호, 탐지 시간 정보, 및 패킷수 정보를 포함하는 세션 정보를 생성하는 세션 정보 생성부를 포함하고, 상기 SIP 터널링 패킷 탐지 장치는, GTP-U 패킷이 SIP INVITE 메시지를 포함하고, 상기 GTP-U 패킷의 목적지 포트가 SIP 포트가 아닌 경우, 상기 GTP-U 패킷의 헤더로부터 제2 TEID를 추출하고, 상기 GTP-U 패킷의 페이로드로부터 제2 사용자 단말 식별 번호를 추출하는 패킷 정보 추출부와, 상기 세션 정보에 포함된 상기 탐지 시간 정보와 상기 패킷수 정보를 확인하여 비정상 데이터 패킷을 탐지하는 세션 정보 분석부와, 상기 세션 정보 분석부의 탐지 결과에 따라 상기 비정상 데이터 패킷을 처리하는 패킷 처리부를 포함한다.
상기 과제를 해결하기 위한 본 발명의 실시예에 따른 4G 모바일 네트워크에서의 SIP 터널링 패킷 탐지 방법은, GTP-U 패킷에 SIP INVITE 메시지가 존재하는지 판단하는 단계, 상기 GTP-U 패킷에 SIP INVITE 메시지가 존재하는 경우, 상기 GTP-U 패킷의 목적지 포트가 SIP 포트인지 판단하는 단계, 상기 GTP-U 패킷의 목적지 포트가 SIP 포트가 아닌 경우, 상기 GTP-U 패킷의 헤더로부터 제1 TEID를 추출하고, 상기 GTP-U 패킷의 페이로드로부터 제1 사용자 단말 식별 번호를 추출하는 단계, 세션 정보 내에 상기 제1 TEID 및 상기 제1 사용자 단말 식별 번호와 동일한 정보가 존재하는지 판단하는 단계, 상기 세션 정보 내에 상기 제1 TEID와 동일한 제2 TEID가 존재하고, 상기 제1 사용자 단말 식별 번호와 동일한 제2 사용자 단말 식별 번호가 존재하는 경우, 상기 제2 TEID에 대응하는 탐지 시간 정보와 패킷수 정보를 업데이트 하는 단계, 및 상기 탐지 시간 정보와 상기 패킷수 정보를 확인하여 비정상 데이터 패킷을 탐지하는 단계를 포함한다.
본 발명의 기타 구체적인 사항들은 상세한 설명 및 도면들에 포함되어 있다.
본 발명의 SIP 터널링 패킷 탐지 장치, 시스템 및 방법에 따르면, 발신 단말과 착신 단말 사이에 VoLTE 연결을 위한 VoLTE 제어 메시지(예를 들어, SIP INVITE 메시지)를 송수신하면서, 상기 VoLTE 제어 메시지 내에 인터넷망 연결용 데이터를 삽입한 경우, 착신 단말은 해당 패킷을 수신하여 인터넷망 연결용 데이터를 추출함으로써 데이터 사용에 대한 과금을 회피하는 비정상 데이터 패킷을 탐지할 수 있다.
IMS 망 내의 CSCF 서버는 SIP INVITE 메시지의 헤더의 변조 여부를 체크하지 못하고 착신 단말로 SIP INVITE 메시지를 포워딩할 수 있으며, 착신 단말은 VoLTE 콜(call)을 연결하지 않고 삽입된 데이터만 추출하여 과금을 회피할 수 있다. 본 발명에 따르면, 이러한 행위를 미리 탐지하고 차단할 수 있다.
도 1은 본 발명의 실시예에 따른 SIP 터널링 패킷 탐지 장치가 적용될 수 있는 4G 네트워크의 구조를 도시한 도면이다. 
도 2는 도 1의 4G 네트워크와 연동된 IMS 네트워크의 구조를 설명하기 위한 도면이다. 
도 3은 도 2의 사용자 단말에 할당되는 IP를 설명하기 위한 도면이다.
도 4는 4G 모바일 네트워크에서 이용되는 EPS 베어러를 설명하기 위한 도면이다.
도 5는 4G 모바일 네트워크에서 Default EPS 베어러의 생성 과정을 설명하기 위한 도면이다.
도 6은 4G 모바일 네트워크에서 사용자 단말 인증 및 등록 절차를 설명하기 위한 도면이다.
도 7은 4G 모바일 네트워크에서 SIP 메시지를 이용하여 착/발신 단말과 CSCF 사이의 세션을 수립하는 과정을 설명하기 위한 도면이다.
도 8은 4G 모바일 네트워크에서 Dedicated EPS 베어러를 생성하는 과정을 설명하기 위한 도면이다.
도 9는 4G 모바일 네트워크에서 Dedicated EPS 베어러를 삭제하는 과정을 설명하기 위한 도면이다.
도 10은 데이터 사용에 대한 과금을 회피하기 위한 SIP 터널링 패킷을 도시한 도면이다.
도 11은 본 발명의 일 실시예에 따른 SIP 터널링 패킷 탐지 장치를 설명하기 위한 블록도이다.
도 12는 도 11의 세션 정보 저장부에 저장된 세션 정보를 설명하기 위한 테이블이다.
도 13은 SIP 터널링 패킷의 탐지 정보를 세부적으로 설명하기 위한 테이블이다.
도 14 및 15는 본 발명의 일 실시예에 따른 SIP 터널링 패킷 탐지 방법을 설명하기 위한 흐름도이다.
도 16은 본 발명의 다른 실시예에 따른 SIP 터널링 패킷 탐지 장치를 설명하기 위한 블록도이다.
도 17은 본 발명의 일 실시예에 따른 SIP 터널링 패킷 탐지 시스템을 설명하기 위한 블록도이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
각 블록은 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또한, 몇 가지 대체 실행 예들에서는 블록들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대 잇달아 도시되어 있는 두 개의 블록들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
비록 제1, 제2 등이 다양한 소자, 구성요소 및/또는 섹션들을 서술하기 위해서 사용되나, 이들 소자, 구성요소 및/또는 섹션들은 이들 용어에 의해 제한되지 않음은 물론이다. 이들 용어들은 단지 하나의 소자, 구성요소 또는 섹션들을 다른 소자, 구성요소 또는 섹션들과 구별하기 위하여 사용하는 것이다. 따라서, 이하에서 언급되는 제1 소자, 제1 구성요소 또는 제1 섹션은 본 발명의 기술적 사상 내에서 제2 소자, 제2 구성요소 또는 제2 섹션일 수도 있음은 물론이다.
본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성요소, 단계, 동작 및/또는 소자는 하나 이상의 다른 구성요소, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.
도 1은 본 발명의 실시예에 따른 SIP 터널링 패킷 탐지 장치가 적용될 수 있는 4G 네트워크의 구조를 도시한 도면이다. 
도 1을 참조하면, 4G 네트워크(1000)는 무선 자원을 관리하는 4G E-RAN(Enterprise Radio Access Network)과 데이터 처리/인증/과금 등을 수행하는 4G EPC(Evolved Packet Core)를 포함할 수 있다.
4G E-RAN은 사용자 단말(1100)과 eNB(1200)을 포함할 수 있다. 예를 들어, 사용자 단말(1100)은 4G 네트워크에 가입되어 있는 휴대 단말일 수 있다. eNB(1200)는 기지국으로서 사용자 단말(1100)과 4G 네트워크 간에 무선 연결을 제공할 수 있다. 
4G EPC는 MME(1300), S-GW(1400), P-GW(1500), HSS(Home Subscriber Server; 1600), PCRF(Policy & Charging Rule Function; 1700)을 포함할 수 있다. MME(1300)는 eNB(1200)와 S1-MME GTP 터널을 통해서 GTP 패킷을 송수신할 수 있다. S-GW(1400)는 eNB(1200)와 S1-U GTP 터널을 통해서 GTP 패킷을 송수신할 수 있다. MME(1300)는 S-GW(1400)와 S11 GTP 터널을 통해서 GTP 패킷을 송수신할 수 있다. P-GW(1500)는 IMS 네트워크의 P-CSCF(2100) 및 인터넷(Internet)과 연결될 수 있다. 
4G 네트워크에서 S1-U GTP 터널은 데이터 트래픽을 위한 패스(path)이고, S11 GTP 터널은 시그널링을 위한 패스이고, S5 GTP 터널은 데이터 트래픽 및 시그널링을 위한 패스이다. 
본 발명에 따른 SIP 터널링 패킷 탐지 장치를 포함하는 시스템은 eNB(1200)와 S-GW(1400) 사이(P1), MME(1300)와 S-GW(1400) 사이(P2), 또는 S-GW(1400)과 P-GW(1500) 사이(P3)에 제공될 수 있다. 또한, 본 발명에 따른 SIP 터널링 패킷 탐지 장치를 포함하는 시스템은 S-GW(1400) 또는 P-GW(1500)의 내부 구성 요소로 제공될 수도 있다. 도 1에는 명확하게 도시하지 않았으나, 4G 네트워크는 S-GW(1400)을 통해서 3G 네트워크, 펨토셀 네트워크 등과 연동될 수 있다. 
도 2는 도 1의 4G 네트워크와 연동된 IMS 네트워크의 구조를 설명하기 위한 도면이다. 
도 2를 참조하면, IMS 네트워크(2000)는 P-CSCF(2100), I-CSCF(2200), S-CSCF(2300), BGCF(Border Gateway Control Function; 2400), HSS(2500), MGCF(Media Gateway Control Function; 2700), AS(Application Server; 2800), M-GW(Media Gateway; 2900)을 포함할 수 있다. 
4G 네트워크 내부의 제1 사용자 단말(1100a)로부터 전송된 SIP 메시지는 P-GW(1500)를 통해서, IMS 네트워크 내부로 전달될 수 있다. P-GW(1500)과 연결된 P-CSCF(2100)는 상기 SIP 메시지를 I-CSCF(2200)에 전송하고, I-CSCF(2200)는 상기 SIP 메시지를 S-CSCF(2300)에 전송할 수 있다. MGCF(2700)와 M-GW(2900)는 PSTN(Public Switching Telephone Network)과 연결될 수 있다.  
도 3은 도 2의 사용자 단말에 할당되는 IP를 설명하기 위한 도면이다.
도 3을 참조하면, 제1 사용자 단말(1100a)에는 IMS 네트워크용 IP와 데이터용 IP가 각각 할당된다. 즉, VoLTE 단말의 경우에 IP를 2개 할당받을 수 있다. VoLTE 단말의 경우에 패킷 기반 음성/영상 통화를 위해 QoS가 보장되는 새로운 베어러를 할당받는다.
제1 사용자 단말(1100a)은 IMS 네트워크용 IP(IMS IP)를 이용하여 P-GW(1500)를 통하여 IMS 네트워크로 음성/영상 데이터를 전송하고, 데이터용 IP(LTE IP)를 이용하여 P-GW(1500)를 통하여 인터넷 네트워크로 일반 데이터를 전송할 수 있다.
도 4는 4G 모바일 네트워크에서 이용되는 EPS 베어러를 설명하기 위한 도면이다.
도 4를 참조하면, VoLTE 단말의 경우, 인터넷망 데이터 패킷을 위한 디폴트(Default) EPS 베어러와 VoLTE 데이터 패킷을 위한 디폴트(Default) EPS 베어러를 각각 할당받는 것을 알 수 있다. 각각의 EPS 베어러는 세션 생성 요청(Create Session Request) 메시지 내의 APN 값(예를 들어, 인터넷망 데이터 패킷; lte, VoLTE 데이터 패킷; ims)으로 구분할 수 있다.
VoLTE 데이터 패킷 송수신을 위해서, 최대 3개의 EPS 베어러를 이용할 수 있다. Default EPS 베어러는 SIP 등록 및 IMS 콜 셋업(call setup)을 위해 이용할 수 있고, 2개의 Dedicated EPS 베어러는 각각 음성 데이터와 영상 데이터 송수신을 위해 이용할 수 있다. 음성 데이터와 영상 데이터를 위한 Dedicated EPS 베어러는 EBI(EPS Bearer ID)로 구분할 수 있다.
도 5는 4G 모바일 네트워크에서 Default EPS 베어러의 생성 과정을 설명하기 위한 도면이다.
도 5를 참조하면, 4G 모바일 네트워크에서 Default EPS 베어러를 생성하기 위해서, 세션 생성 요청(Create Session Response) 메시지와 세션 생성 응답(Create Session Response) 메시지가 전송될 수 있다. 세션 생성 요청 메시지와 세션 생성 응답 메시지는 GTP-C 패킷으로 전송될 수 있다.
먼저, 사용자 단말(1100)이 MME(1300)에 접속 요청(Attach Request) 메시지를 전송하고, MME(1300)가 S-GW(1400)에 세션 생성 요청 메시지를 전송하고, S-GW(1400)가 P-GW(1500)에 세션 생성 요청 메시지를 전송할 수 있다. 이에 대한 응답으로, P-GW(1500)가 S-GW(1400)에 세션 생성 응답 메시지를 전송하여, S-GW(1400)와 P-GW(1500)간 Default S5 베어러를 생성할 수 있다.
그리고, S-GW(1400)가 MME(1300)에 세션 생성 응답 메시지를 전송하여, MME(1300)과 S-GW(1400)간 S11 GTP 터널을 생성할 수 있다. 그리고, MME(1300)가 사용자 단말(1100)에 접속 응답(Attach Accept) 메시지를 전송하여, eNB(1200)와 S-GW(1400)간 Default S1 베어러를 생성할 수 있다.
그리고, 도 5에 도시된 바와 같이, Default S1 베어러 생성 전에, eNB(1200) 및 MME(1300) 사이, MME(1300) 및 S-GW(1400) 사이에서 추가적인 메시지(Initial Context Setup Request, Initial Context Setup Response, Modify Bearer Request, Modify Bearer Response)가 더 송수신될 수 있다.
VoLTE 단말은 이러한 Attach 과정을 2번 반복하여, 인터넷망 데이터 패킷을 위한 IP 주소와 VoLTE 데이터 패킷을 위한 IP 주소를 각각 할당받을 수 있다.
Default EPS 베어러 생성 과정에서, GTP-C 패킷 정보 추출부는 세션 생성 요청 메시지 및 세션 응답 메시지로부터 발신 단말의 사용자 단말 식별 번호 및 발신 단말의 TEID를 추출할 수 있다. Default EPS 베어러 생성 이후 전송되는 VoLTE 제어 메시지를 분석하여 착신 단말의 사용자 단말 식별 번호를 추출할 수 있고, 이를 포함하는 세션 정보를 수립할 수 있다. 이에 따라, 세션 생성시 사용된 착신 단말의 사용자 단말 식별 번호와 세션 생성 이후 GTP-U 패킷의 SIP INVITE 메시지에 포함된 착신 단말의 사용자 단말 식별 번호를 이용하여 SIP 터널링 패킷을 탐지할 수 있다.
도 6은 4G 모바일 네트워크에서 사용자 단말 인증 및 등록 절차를 설명하기 위한 도면이다.
도 6을 참조하면, 다이제스트(Digest) 매커니즘을 이용하여 사용자 단말을 인증하고 등록하는 절차에 대하여 도시되어 있다. 다이제스트 매커니즘이란, 사용자 단말의 ID와 Password를 기초로 하여 사용자 단말을 인증하는 방식을 의미한다.
도 6에는 명확하게 도시하지 않았으나, S-GW(1400)와 P-GW(1500) 사이에 S5 GTP 터널이 생성되고, MME(1300)와 S-GW(1400) 사이에 S11 GTP 터널이 생성되고, eNB(1200)와 S-GW(1400)간 S1-U GTP 터널이 생성될 수 있다.
사용자 단말(1100)은 CSCF(Call Session Control Function; 1800)로 SIP REGISTER 메시지를 전송하고, CSCF(1800)는 사용자 단말(1100)로 SIP 401 메시지를 전송한다. 이 과정에서 사용자 단말(1100)은 CSCF(1800)를 통해 인증된다.
이어서, 사용자 단말(1100)은 CSCF(1800)로 SIP REGISTER 메시지를 재전송하고, CSCF(1800)는 사용자 단말(1100)로 SIP 200 OK 메시지를 전송하여 사용자 단말(1100)을 등록한다.
도 7은 4G 모바일 네트워크에서 SIP 메시지를 이용하여 착/발신 단말과 CSCF 사이의 세션을 수립하는 과정을 설명하기 위한 도면이다.
도 7을 참조하면, 발신 과정에서, 제1 사용자 단말(1100a)은 CSCF(1800)로 SIP INVITE 메시지를 전송하고, 착신 과정에서, CSCF(1800)는 제2 사용자 단말(1100b)로 SIP INVITE 메시지를 전송한다.
이에 대응하여, 제2 사용자 단말(1100b)은 SIP 180 Ringing 메시지와 SIP 200 OK 메시지를 CSCF(1800)로 전송하고, CSCF(1800)는 제1 사용자 단말(1100a)로 SIP 180 Ringing 메시지와 SIP 200 OK 메시지를 전송한다. SIP 200 OK 메시지가 제1 사용자 단말(1100a)로 전송되는 시점이 VoLTE 서비스에 대한 과금이 시작되는 시점이다.
도 8은 4G 모바일 네트워크에서 Dedicated EPS 베어러를 생성하는 과정을 설명하기 위한 도면이다.
도 8을 참조하면, 베어러 생성 요청(Create Bearer Request) 메시지와 베어러 생성 응답(Create Bearer Response) 메시지를 통해 Dedicated EPS 베어러가 생성될 수 있다.
구체적으로, 발신 및 착신 과정에서, P-GW(1500)로부터 S-GW(1400)로 베어러 생성 요청 메시지가 전송되고, S-GW(1400)로부터 MME(1300)로 베어러 생성 요청 메시지가 전송된다. 이에 대응하여, MME(1300)로부터 S-GW(1400)로 베어러 생성 응답 메시지가 전송되고, S-GW(1400)로부터 P-GW(1500)로 베어러 생성 응답 메시지가 전송된다.
이에 따라, P-GW(1500)와 S-GW(1400) 사이에 Dedicated S5 베어러가 생성되고, S-GW(1400)와 eNB(1200) 사이에 Dedicated S1 베어러가 생성된다. Dedicated S1/S5 베어러 생성에 의해 제1 및 제2 사용자 단말(1100a, 1100b)은 P-GW(1500)와 RTP 패킷(HD-Voice)을 송수신할 수 있다.
도 9는 4G 모바일 네트워크에서 Dedicated EPS 베어러를 삭제하는 과정을 설명하기 위한 도면이다.
도 9를 참조하면, 베어러 삭제 요청(Delete Bearer Request) 메시지와 베어러 삭제 응답(Delete Bearer Response) 메시지를 통해 Dedicated EPS 베어러가 삭제될 수 있다.
구체적으로, 제1 사용자 단말(1100a)로부터 P-GW(1500)로 SIP BYE 메시지가 전송되고, P-GW(1500)로부터 제2 사용자 단말(1100b)로 SIP BYE 메시지가 전송된다. 이에 대응하여, 제2 사용자 단말(1100b)로부터 P-GW(1500)로 SIP 200 OK 메시지가 전송된다.
제2 사용자 단말(1100b) 측에서, P-GW(1500)로부터 S-GW(1400)로 베어러 삭제 요청 메시지가 전송되고, S-GW(1400)로부터 MME(1300)로 베어러 삭제 요청 메시지가 전송된다. MME(1300)에서는 S-GW(1400)로 베어러 삭제 응답 메시지를 전송하고, S-GW(1400)는 P-GW(1500)로 베어러 삭제 응답 메시지를 전송한다.
이에 따라, 제1 사용자 단말(1100a) 측에서, P-GW(1500)로부터 S-GW(1400)로 베어러 삭제 요청 메시지가 전송되고, S-GW(1400)로부터 MME(1300)로 베어러 삭제 요청 메시지가 전송된다. MME(1300)에서는 S-GW(1400)로 베어러 삭제 응답 메시지를 전송하고, S-GW(1400)는 P-GW(1500)로 베어러 삭제 응답 메시지를 전송한다.
P-GW(1500)는 제1 사용자 단말(1100a)로 SIP 200 OK 메시지를 전송하여 Dedicated EPS 베어러 삭제 과정을 종료한다. 여기에서, VoLTE 서비스에 대한 과금이 종료되는 시점은 제1 사용자 단말(1100a)로부터 P-GW(1500)로 SIP BYE 메시지가 전송되는 시점이다.
도 10은 데이터 사용에 대한 과금을 회피하기 위한 SIP 터널링 패킷을 도시한 도면이다.
도 10을 참조하면, 공격자가 VoLTE 제어 메시지(예를 들어, SIP INVITE 메시지) 내 헤더에 인터넷망 연결을 위한 임의의 데이터를 삽입하여 VoLTE 콜(call)을 시도하는 경우에 대해 나타나 있다. 여기에서는, 공격자가 VoLTE 제어 메시지 내 임의의 데이터를 삽입하여 송수신함으로써 데이터 사용에 대한 과금을 회피할 수 있다. 본 명세서에서는, 이와 같이 공격자가 데이터 사용에 대한 과금을 회피하기 위해 VoLTE 제어 메시지(예를 들어, SIP INVITE 메시지) 내에 인터넷망 연결을 위한 임의의 데이터를 삽입하여 IMS 망을 통해 착신 단말로 송신하는 데이터 패킷을 SIP 터널링 패킷이라 정의한다. 본 발명에 따르면, 이러한 SIP 터널링 패킷을 탐지하고 차단할 수 있다.
이러한 SIP 터널링 패킷에 대해, 공격자가 VoLTE 제어 메시지(예를 들어, SIP INVITE 메시지) 내 임의의 데이터를 삽입하여 송수신하는 경우에, IMS 망 내의 CSCF 서버는 SIP INVITE 메시지의 헤더 변조 여부를 체크하지 못하고 착신 단말에 SIP INVITE 메시지를 포워딩한다.
착신 단말은 SIP 터널링 패킷을 수신하여 임의의 데이터를 추출하고, 이 때 전화는 미착신되고 착발신 단말은 위 과정을 반복하면서 데이터 사용에 대한 과금을 회피할 수 있다. VoLTE 콜(call) 사용에 대한 과금은 착신 단말의 착신 시점부터 이루어지지만, 위 과정은 착신 단말에서 착신 동작을 하지 않았기 때문에 과금 회피가 가능하다.
따라서, 이러한 행위를 탐지하고 차단할 필요성이 있다.
이하에서는, 본 발명의 몇몇 실시예에 따른 SIP 터널링 탐지 장치 및 시스템에 대하여 설명하기로 한다.
도 11은 본 발명의 일 실시예에 따른 SIP 터널링 패킷 탐지 장치를 설명하기 위한 블록도이다.
도 11을 참조하면, 본 발명의 일 실시예에 따른 SIP 터널링 패킷 탐지 장치(100)는 NIC(Network Interface Card; 110a, 110b), 패킷 정보 추출부(120), 세션 정보 분석부(130), 세션 정보 저장부(140), 탐지 정보 저장부(150), 패킷 처리부(160)를 포함한다.
NIC(110a)는 GTP-U 패킷을 수신하여 패킷 정보 추출부(120)에 전송하고, NIC(110b)는 패킷 처리부(150)의 제어 신호에 따라 GTP-U 패킷을 전송(forward)하거나 차단(drop)할 수 있다. NIC(110a, 110b)는 일반적인 네트워크 인터페이스 카드 또는 하드웨어 가속 네트워크 인터페이스 카드일 수 있다.
GTP-U 패킷은 이동 통신 네트워크 내에서 사용자 패킷을 전송하기 위해 사용된다. NIC(110a, 110b)가 처리하는 GTP-U 패킷은 사용자 단말로부터 외부 네트워크(예를 들어, 인터넷)를 향해 전송되는 GTP-U 패킷일 수 있다.
패킷 정보 추출부(120)는 GTP-U 패킷으로부터 각종 패킷 정보를 추출할 수 있다. 패킷 정보 추출부(120)는 각종 패킷 정보를 구조화된 자료 형태로 가공하여 세션 정보 분석부(130)에 전송할 수 있다.
구체적으로, 패킷 정보 추출부(120)는 GTP-U 패킷이 SIP INVITE 메시지를 포함하고, GTP-U 패킷의 목적지 포트가 SIP 포트가 아닌 경우에, GTP-U 패킷으로부터 각종 패킷 정보를 추출할 수 있다.
SIP 터널링 패킷을 탐지하기 위한 정보로서, 패킷 정보 추출부(120)는 GTP-U 패킷의 헤더(header)로부터 TEID(Tunnel Endpoint Identifier)를 추출할 수 있다. 패킷 정보 추출부(120)에 의하여 추출되는 TEID는 업링크(uplink) TEID일 수 있다. 여기서, 업링크는 사용자 단말로부터 외부 네트워크를 향해 GTP-U 패킷이 전송되는 경우를 나타내고, 다운링크(downlink)는 외부 네트워크로부터 사용자 단말을 향해 GTP-U 패킷이 전송되는 경우를 나타낼 수 있다.
또한, 패킷 정보 추출부(120)는 GTP-U 패킷의 페이로드(payload) 내의 SIP(Session Initiaion Protocol) INVITE 메시지를 추출할 수 있다. 패킷 정보 추출부(120)는 SIP INVITE 메시지로부터 착신 단말의 사용자 단말 식별 번호를 추출할 수 있다. 예를 들어, 사용자 단말 식별 번호는 MSISDN(Mobile Subscriber ISDN Number)일 수 있으나, 본 발명이 이에 한정되는 것은 아니다.
패킷 정보 추출부(120)는 GTP-U 패킷의 페이로드 내에 SIP INVITE 메시지가 존재하는지 판단하고, SIP INVITE 메시지가 존재하는 때에 상술한 SIP 터널링 패킷을 탐지하기 위한 정보를 추출할 수 있다. 특히, GTP-U 패킷의 페이로드 내에 SIP INVITE 메시지가 존재하고, GTP-U 패킷의 목적지 포트가 SIP 포트가 아닌 경우에, SIP 터널링 패킷을 탐지하기 위한 정보를 추출할 수 있다.
예를 들어, SIP INVITE 메시지의 메시지 헤더는 사용자 단말 식별 번호가 기록되는 From 필드, To 필드를 포함할 수 있다. 정상적인 SIP INVITE 메시지의 경우, From 필드에는 발신 단말의 사용자 단말 식별 번호가 기록되고, To 필드에는 착신 단말의 사용자 단말 식별 번호가 기록될 수 있다.
이하에서는, 각각의 TEID 및 착신 단말의 사용자 단말 식별 번호를 서로 구별하기 위해서, SIP 터널링 패킷 탐지를 위해, GTP-U 패킷으로부터 추출된 TEID 및 GTP-U 패킷의 페이로드로부터 추출된 착신 단말의 사용자 단말 식별 번호를 각각 제1 TEID 및 제1 사용자 단말 식별 번호로 언급한다.
그리고, 세션 정보에 포함되는 TEID 및 착신 단말의 사용자 단말 식별 번호를 각각 제2 TEID 및 제2 사용자 단말 식별 번호로 언급하여 설명하기로 한다.
세션 정보 저장부(140)는 제2 TEID, 제2 사용자 단말 식별 번호, 탐지 시간 정보(Timestamp 정보), 및 패킷 수 정보를 포함하는 세션 정보를 미리 저장할 수 있다. 제2 TEID 및 제2 사용자 단말 식별 번호는 VoLTE 세션 생성을 위해 이용되는 VoLTE 제어 메시지로부터 추출될 수 있다. 또는, 제2 TEID 및 제2 사용자 단말 식별 번호는 GTP-C 패킷으로부터 추출될 수 있다. GTP-C 패킷은 이동 통신 네트워크 내에서 데이터 호 설정, 갱신, 삭제 등과 같은 시그널링을 수행하기 위해 사용된다.
세션 정보 분석부(130)는 SIP 터널링 패킷의 탐지 동작을 수행할 수 있다. 세션 정보 분석부(130)는 GTP-U 패킷으로부터 추출한 제1 TEID와 제1 사용자 단말 식별 번호를 세션 정보 저장부(140)에 저장된 세션 정보와 비교 분석한다. 우선, 제1 TEID와 제1 사용자 단말 식별 번호에 대응하는 제2 TEID와 제2 사용자 단말 식별 번호가 세션 정보 내에 존재하는지 판단하고, 이들이 동일한 경우 탐지 시간 정보(Timestamp 정보)와 패킷 수 정보를 확인하여 SIP 터널링 패킷(즉, 비정상 데이터 패킷)을 탐지할 수 있다. 비정상 데이터 패킷이란, 제1 TEID와 제1 사용자 단말 식별 번호에 대응하는 제2 TEID와 제2 사용자 단말 식별 번호가 존재하고, 이들에 대한 탐지 시간 정보(Timestamp 정보)가 5초를 초과하고, 패킷수 정보가 2를 초과하는 경우에서의 데이터 패킷을 의미한다.
다만, 여기에서 탐지 시간 정보(Timestamp 정보)와 패킷수 정보는 임의로 설정된 예시적인 값이고 이는 사용자의 필요에 따라 변경 적용될 수 있다.
도 12는 도 11의 세션 정보 저장부에 저장된 세션 정보를 설명하기 위한 테이블이다.
도 12를 참조하면, 세션 정보는 제2 TEID, 제2 사용자 단말 식별 번호, 탐지 시간 정보(Timestamp 정보), 및 패킷수 정보를 포함한다. 제2 TEID는 업링크 Data TEID일 수 있다. 즉, 제2 TEID는 사용자 단말로부터 외부 네트워크를 향해 전송되는 GTP-U 패킷에 관한 것이다. 제2 사용자 단말 식별 번호는 MSISDN일 수 있다. 탐지 시간 정보(Timestamp 정보)와 패킷수 정보는 제2 TEID 및 제2 사용자 단말 식별 번호와 매핑되어 저장될 수 있다.
예를 들어, 제2 TEID 및 제2 사용자 단말 식별 번호는 a값으로 저장되고, 이에 대응하는 탐지 시간 정보(Timestamp 정보)는 b값으로 저장되고, 패킷수 정보는 c값으로 저장될 수 있다. 이 때, 패킷 정보 추출부(120)에서 추출한 패킷 정보인 제1 TEID 및 제1 사용자 단말 식별 번호가 제2 TEID 및 제2 사용자 단말 식별 번호와 동일한 경우, 세션 정보 내의 b값은 새로운 탐지 시간 정보로, c값은 +1을 적용한 값으로 업데이트 된다. b값과 c값이 미리 설정된 값을 초과하는 경우, 위에서 설명한 비정상 데이터 패킷으로 탐지될 수 있다.
예를 들어, 탐지 시간 정보(Timestamp 정보)가 5초를 초과한다는 의미는, VoLTE 콜(call)을 시도한 후 다시 VoLTE 콜을 시도하기까지 5초가 넘는다는 의미로서, 공격자가 VoLTE 제어 메시지(예를 들어, SIP INVITE 메시지) 내에 삽입한 인터넷망 연결용 데이터를 수신자측에서 추출하는데 소요되는 예상 시간이 5초를 초과한다는 의미이다. 그리고, 패킷수 정보가 2를 초과한다는 것은 동일한 TEID 및 착신 단말 사용자 단말 식별 번호로 동일한 VoLTE 제어 메시지(예를 들어, SIP INVITE 메시지)가 송신되는 경우가 3회 이상된다는 의미로 공격자가 VoLTE 제어 메시지(예를 들어, SIP INVITE 메시지) 내에 인터넷망 연결용 데이터를 삽입하여 VoLTE 콜을 시도하는 경우가 3회 이상된다는 의미이다. 이러한 경우를 SIP 터널링 패킷을 이용해 데이터 사용에 대한 과금을 회피하기 위해 시도한 것으로 간주하여 이를 탐지하고자 하는 것이 본 발명의 목적이다.
도 13은 SIP 터널링 패킷의 탐지 정보를 세부적으로 설명하기 위한 테이블이다.
도 13을 참조하면, 탐지 정보 저장부(150)는 비정상 데이터 패킷의 탐지 결과에 따라, 비정상 데이터 패킷의 탐지 정보(또는, 로그)를 생성 및 저장할 수 있다.
예를 들어, 비정상 데이터 패킷의 탐지 정보는 탐지 시간, 탐지 ID, 사용자 단말 식별 번호, 차단 여부 등의 필드를 포함할 수 있다. 이외에도, 비정상 데이터 패킷의 탐지 정보는 TEID, 탐지된 패킷의 출발지 IP, 탐지된 패킷의 목적지 IP, 탐지된 패킷의 출발지 Port, 탐지된 패킷의 목적지 Port, 탐지된 패킷의 To 정보, 패킷수 정보 등의 필드를 더 포함할 수도 있다.
다시 도 11을 참조하면, 패킷 처리부(160)는 비정상 데이터 패킷으로 탐지된 GTP-U 패킷을 탐지 정책에 따라 처리할 수 있다. 패킷 처리부(160)는 비정상 패킷으로 탐지된 GTP-U 패킷을 전송(forward)하거나 차단(drop)하도록 NIC(110b)를 제어할 수 있다. 여기서, GTP-U 패킷을 전송한다는 것은 GTP-U 패킷을 목적지 IP로 전송하는 것을 나타내고, GTP-U 패킷을 차단한다는 것은 GTP-U 패킷을 목적지 IP로 전송하지 않는 것을 나타낼 수 있다.
도 11의 SIP 터널링 패킷 탐지 장치(100)에서, NIC(110a, 110b), 패킷 정보 추출부(120), 세션 정보 분석부(130), 세션 정보 저장부(140), 탐지 정보 저장부(150), 패킷 처리부(160)를 별도의 구성 요소로 설명하였으나, 실시예에 따라, 몇몇 구성 요소가 일체로 구성되도록 다양하게 변형될 수 있다.
도 14 및 15는 본 발명의 일 실시예에 따른 SIP 터널링 패킷 탐지 방법을 설명하기 위한 흐름도이다.
도 14 및 15를 참조하면, 본 발명의 일 실시예에 따른 SIP 터널링 패킷 탐지 방법에서는, 먼저, NIC(110a)에서 GTP-U 패킷을 수신하고, 패킷 정보 추출부(120)에서 패킷 가공 정보를 입력받는다(S201).
이어서, 패킷 정보 추출부(120)에서, GTP-U 패킷이 SIP INVITE 메시지를 포함하는지 판단한다(S202). 만약, GTP-U 패킷이 SIP INVITE 메시지를 포함하는 경우에 다음 단계를 진행한다.
GTP-U 패킷이 SIP INVITE 메시지를 포함하는 경우, 패킷 정보 추출부(120)는 GTP-U 패킷의 목적지 포트가 SIP 포트인지 판단한다(S203). 예를 들어, 목적지 포트가 SIP 포트인지 판단하는 것은, 목적지 포트가‘5060’인지 판단하는 것이다. 목적지 포트가‘5060’인 경우는 목적지 포트가 SIP 포트인 경우를 의미한다.
이어서, 패킷 정보 추출부(120)에서, GTP-U 패킷의 헤더로부터 제1 TEID를 추출하고, GTP-U 패킷의 페이로드로부터 제1 사용자 단말 식별 번호를 추출한다. 그리고, 이에 관한 세션 정보가 존재하는지 판단한다(S204). 상술한 바와 같이, 제1 TEID는 업링크 Data TEID일 수 있고, 제1 사용자 단말 식별 번호는 MSISDN일 수 있다. 패킷 정보 추출부(120)는 각종 패킷 정보를 구조화된 자료 형태로 가공할 수 있다.
이어서, 세션 정보 분석부(130)는 제1 TEID 및 제1 사용자 단말 식별 번호와 동일한 제2 TEID 및 제2 사용자 단말 식별 번호가 세션 정보 내에 존재하는 경우, 세션 정보 내의 탐지 시간 정보(Timestamp 정보)를 업데이트한다 (S205).
만약, 세션 정보 내에 제1 TEID 및 제1 사용자 단말 식별 번호와 동일한 제2 TEID 및 제2 사용자 단말 식별 번호가 존재하지 않는 경우, 이에 관한 세션 정보를 생성한다(S206).
이어서, VoLTE 세션 관리 모듈에서 세션 정보를 관리하고 비정상 데이터 패킷에 대한 탐지 절차를 수행한다(S207).
비정상 데이터 패킷에 대한 탐지 절차는, 우선, 모니터링 타이머 동작을 설정하고(S211), 타이머 설정 시간이 경과하였는지 판단한다(S212).
그리고, 세션 정보 내의 탐지 시간 정보(Timestamp 정보)의 필드 값을 확인하고(S213), 탐지 시간 정보(Timestamp 정보)의 필드 값이 5초를 경과하는지 판단한다(S214).
탐지 시간 정보(Timestamp 정보)의 필드 값이 5초를 경과한 경우, 패킷수 정보가 2를 초과하는지 판단한다(S215).
패킷수 정보가 2를 초과하는 경우, SIP 터널링 패킷 탐지 정보를 생성하고 이를 탐지 정보 저장부(150)로 전달한다(S216).
이어서, 해당 세션 정보를 삭제하고(S217), 타이머를 리셋한다(S218).
도 16은 본 발명의 다른 실시예에 따른 SIP 터널링 패킷 탐지 장치를 설명하기 위한 블록도이다. 설명의 편의를 위하여, 본 발명의 일 실시예에 따른 SIP 터널링 패킷 탐지 장치를 설명한 것과 실질적으로 동일한 부분의 설명은 생략하기로 한다.
도 16을 참조하면, 본 발명의 다른 실시예에 따른 SIP 터널링 패킷 탐지 장치(300)는 NIC(310a, 310b), 패킷 분류부(320), GTP-C 패킷 정보 추출부(330), 세션 정보 생성부(340), 세션 정보 저장부(350), GTP-U 패킷 정보 추출부(360), 세션 정보 분석부(370), 탐지 정보 저장부(380), 패킷 처리부(390)을 포함한다.
NIC(310a)는 GTP 패킷을 수신하여 패킷 분류부(320)에 전송하고, NIC(310b)는 패킷 처리부(390)의 제어 신호에 따라 GTP 패킷을 전송(forward)하거나 차단(drop)할 수 있다.
패킷 분류부(320)는 GTP 패킷을 분류할 수 있다. 패킷 분류부(320)는 GTP 패킷을 GTP-C 패킷과 GTP-U 패킷으로 분류할 수 있다. 패킷 분류부(320)는 분류 결과에 따라 GTP-C 패킷은 GTP-C 패킷 정보 추출부(330)에 전송하고, GTP-U 패킷은 GTP-U 패킷 정보 추출부(360)에 전송할 수 있다.
GTP-C 패킷 정보 추출부(330)는 GTP-C 패킷으로부터 각종 패킷 정보를 추출할 수 있다. 예를 들어, GTP-C 패킷은 세션 생성 요청(Create Session Request) 메시지 및 세션 생성 응답(Create Session Response) 메시지일 수 있다. GTP-C 패킷 정보 추출부(330)는 세션 생성 요청 메시지로부터 제1 사용자 단말 식별 번호를 추출하고, 세션 생성 응답 메시지로부터 제1 TEID를 추출할 수 있다. 또한, GTP-C 패킷 정보 추출부(330)는 세션 정보 생성을 위한 제2 TEID와 제2 사용자 단말 식별 번호를 추출할 수 있다.
세션 정보 생성부(340)는 제2 TEID, 제2 사용자 단말 식별 번호, 탐지 시간 정보(Timestamp 정보), 및 패킷수 정보를 포함하는 세션 정보를 생성할 수 있다. 특히, 세션 정보 생성부(340)는 메시지 정보 추출부를 더 포함할 수 있고, 상기 메시지 정보 추출부에서 추출한 VoLTE 제어 메시지 내에서 제2 TEID와 제2 사용자 단말 식별 번호를 이용하여 세션 정보를 생성할 수도 있다. 세션 정보 생성부(340)는 세션 정보를 세션 정보 저장부(350)에 저장할 수 있다.
패킷 처리부(390)는 GTP 패킷을 전송하도록 NIC(310b)를 제어할 수 있다.
도 17은 본 발명의 일 실시예에 따른 SIP 터널링 패킷 탐지 시스템을 설명하기 위한 블록도이다. 설명의 편의를 위하여, 본 발명의 몇몇 실시예에 따른 SIP 터널링 패킷 탐지 장치를 설명한 것과 실질적으로 동일한 부분의 설명은 생략하기로 한다.
도 17을 참조하면, 본 발명의 일 실시예에 따른 SIP 터널링 패킷 탐지 시스템(400)은 세션 정보 수집 장치(410)와 SIP 터널링 패킷 탐지 장치(420)를 포함한다.
세션 정보 수집 장치(410)는 NIC(411a, 411b), GTP-C 패킷 정보 추출부(412), 세션 정보 생성부(413)을 포함하여 구성되고, GTP-C 패킷과 VoLTE 제어 메시지로부터 세션 정보를 추출하여 생성할 수 있다.
SIP 터널링 패킷 탐지 장치(420)는 NIC(421a, 421b), GTP-U 패킷 정보 추출부(422), 세션 정보 분석부(423), 세션 정보 저장부(424), 탐지 정보 생성부(425), 패킷 처리부(426)를 포함하여 구성되고, 세션 정보를 이용하여 SIP 터널링 패킷을 탐지할 수 있다.
도 17의 SIP 터널링 패킷 탐지 시스템(400)은 GTP-U 패킷으로부터 제1 TEID와 제1 사용자 단말 식별 번호를 추출하고, 세션 정보와의 비교 결과에 따라 비정상 패킷을 탐지하는 구성 요소와, GTP-C 패킷으로부터 제2 TEID 및 제2 사용자 단말 식별 번호를 추출하거나, VoLTE 제어 메시지로부터 제2 TEID 및 제2 사용자 단말 식별 번호를 추출하여 이를 포함하는 세션 정보를 생성하는 구성 요소가 물리적으로 분리된 경우를 도시한 것이다.
세션 정보 저장부(424)는 세션 정보 수집 장치(410)으로부터 수신한 세션 정보를 저장할 수 있다.
본 발명의 실시예들과 관련하여 설명된 방법 또는 알고리즘의 단계는, 프로세서에 의해 실행되는 하드웨어 모듈, 소프트웨어 모듈, 또는 그 2 개의 결합으로 직접 구현될 수 있다. 소프트웨어 모듈은 RAM 메모리, 플래시 메모리, ROM 메모리, EPROM 메모리, EEPROM 메모리, 레지스터, 하드 디스크, 착탈형 디스크, CD-ROM, 또는 본 발명의 기술 분야에서 잘 알려진 임의의 형태의 컴퓨터로 읽을 수 있는 기록 매체에 상주할 수도 있다. 예시적인 기록 매체는 프로세서에 연결되며, 그 프로세서는 기록 매체로부터 정보를 독출할 수 있고 기록 매체에 정보를 기입할 수 있다. 다른 방법으로, 기록 매체는 프로세서와 일체형일 수도 있다. 프로세서 및 기록 매체는 주문형 집적회로(ASIC) 내에 상주할 수도 있다. ASIC는 사용자 단말기 내에 상주할 수도 있다. 다른 방법으로, 프로세서 및 기록 매체는 사용자 단말기 내에 개별 구성 요소로서 상주할 수도 있다.
이상 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.
100: SIP 터널링 패킷 탐지 장치
110a, 110b: NIC
120: 패킷 정보 추출부
130: 세션 정보 분석부
140: 세션 정보 저장부
150: 탐지 정보 저장부
160; 패킷 처리부

Claims (21)

  1. GTP(GPRS Tunneling Protocol)-U 패킷이 SIP INVITE 메시지를 포함하고, 상기 GTP-U 패킷의 목적지 포트가 SIP 포트가 아닌 경우, 상기 GTP-U 패킷의 헤더로부터 TEID를 추출하고, 상기 GTP-U 패킷의 페이로드로부터 사용자 단말 식별 번호를 추출하는 패킷 정보 추출부;
    상기 TEID, 상기 사용자 단말 식별 번호, 탐지 시간 정보, 및 패킷수 정보를 포함하는 세션 정보를 저장하는 세션 정보 저장부;
    상기 세션 정보에 포함된 상기 탐지 시간 정보와 상기 패킷수 정보를 확인하여 비정상 데이터 패킷을 탐지하는 세션 정보 분석부; 및
    상기 세션 정보 분석부의 탐지 결과에 따라 상기 비정상 데이터 패킷을 처리하는 패킷 처리부를 포함하는, 4G 모바일 네트워크에서의 SIP 터널링 패킷 탐지 장치.
  2. 제 1항에 있어서,
    상기 세션 정보 저장부는, 상기 세션 정보 내에 상기 TEID 및 상기 사용자 단말 식별 번호와 동일한 정보가 미리 저장된 경우, 상기 탐지 시간 정보와 상기 패킷수 정보를 업데이트하는, 4G 모바일 네트워크에서의 SIP 터널링 패킷 탐지 장치.
  3. 제 2항에 있어서,
    상기 세션 정보 분석부는, 상기 탐지 시간 정보에 포함된 값이 5초를 초과하고, 상기 패킷수 정보에 포함된 값이 2를 초과하는 경우, 상기 비정상 데이터 패킷에 대한 탐지 정보를 생성하는, 4G 모바일 네트워크에서의 SIP 터널링 패킷 탐지 장치.
  4. 제 3항에 있어서,
    상기 탐지 정보를 저장하는 탐지 정보 저장부를 더 포함하는, 4G 모바일 네트워크에서의 SIP 터널링 패킷 탐지 장치.
  5. 제 4항에 있어서,
    상기 탐지 정보는 탐지 시간, 탐지 ID, 사용자 단말 식별 번호, 차단 여부, 목적지 IP(Internet Protocol), 목적지 포트, 출발지 IP, 출발지 포트, 및 패킷수 정보를 포함하는, 4G 모바일 네트워크에서의 SIP 터널링 패킷 탐지 장치.
  6. 제 1항에 있어서,
    상기 패킷 정보 추출부는, 상기 SIP INVITE 메시지의 To 필드로부터 상기 사용자 단말 식별 번호를 추출하는, 4G 모바일 네트워크에서의 SIP 터널링 패킷 탐지 장치.
  7. 제 6항에 있어서,
    상기 사용자 단말 식별 번호는 MSISDN(Mobile Station International ISDN Number)을 포함하는, 4G 모바일 네트워크에서의 SIP 터널링 패킷 탐지 장치.
  8. 세션 정보를 이용하여 비정상 데이터 패킷을 탐지하는 SIP 터널링 패킷 탐지 장치; 및
    VoLTE 제어 메시지로부터 패킷 정보를 추출하여 상기 세션 정보를 생성하는 세션 정보 수집 장치를 포함하되,
    상기 세션 정보 수집 장치는,
    상기 VoLTE 제어 메시지로부터 제1 TEID와 제1 사용자 단말 식별 번호를 추출하는 메시지 정보 추출부와,
    상기 제1 TEID, 상기 제1 사용자 단말 식별 번호, 탐지 시간 정보, 및 패킷수 정보를 포함하는 세션 정보를 생성하는 세션 정보 생성부를 포함하고,
    상기 SIP 터널링 패킷 탐지 장치는,
    GTP-U 패킷이 SIP INVITE 메시지를 포함하고, 상기 GTP-U 패킷의 목적지 포트가 SIP 포트가 아닌 경우, 상기 GTP-U 패킷의 헤더로부터 제2 TEID를 추출하고, 상기 GTP-U 패킷의 페이로드로부터 제2 사용자 단말 식별 번호를 추출하는 패킷 정보 추출부와,
    상기 세션 정보에 포함된 상기 탐지 시간 정보와 상기 패킷수 정보를 확인하여 비정상 데이터 패킷을 탐지하는 세션 정보 분석부와,
    상기 세션 정보 분석부의 탐지 결과에 따라 상기 비정상 데이터 패킷을 처리하는 패킷 처리부를 포함하는, 4G 모바일 네트워크에서의 SIP 터널링 패킷 탐지 시스템.
  9. 제 8항에 있어서,
    상기 세션 정보 생성부는, 상기 제1 TEID와 상기 제2 TEID가 동일하고, 상기 제1 사용자 단말 식별 번호와 상기 제2 사용자 단말 식별 번호가 동일한 경우, 상기 탐지 시간 정보와 상기 패킷수 정보를 업데이트하는, 4G 모바일 네트워크에서의 SIP 터널링 패킷 탐지 시스템.
  10. 제 9항에 있어서,
    상기 세션 정보 분석부는, 상기 탐지 시간 정보에 포함된 값이 5초를 초과하고, 상기 패킷수 정보에 포함된 값이 2를 초과하는 경우, 상기 비정상 데이터 패킷에 대한 탐지 정보를 생성하는, 4G 모바일 네트워크에서의 SIP 터널링 패킷 탐지 시스템.
  11. 제 10항에 있어서,
    상기 탐지 정보를 저장하는 탐지 정보 저장부를 더 포함하는, 4G 모바일 네트워크에서의 SIP 터널링 패킷 탐지 시스템.
  12. 제 8항에 있어서,
    상기 패킷 정보 추출부는, 상기 SIP INVITE 메시지의 To 필드로부터 상기 제2 사용자 단말 식별 번호를 추출하는, 4G 모바일 네트워크에서의 SIP 터널링 패킷 탐지 시스템.
  13. 제 12항에 있어서,
    상기 제1 및 제2 사용자 단말 식별 번호는 MSISDN을 포함하는, 4G 모바일 네트워크에서의 SIP 터널링 패킷 탐지 시스템.
  14. 제 8항에 있어서,
    상기 GTP-U 패킷은 eNodeB와 S-GW간 생성되는 S1-U 터널을 통해 전송되는, 4G 모바일 네트워크에서의 SIP 터널링 패킷 탐지 시스템.
  15. GTP-U 패킷에 SIP INVITE 메시지가 존재하는지 판단하는 단계;
    상기 GTP-U 패킷에 SIP INVITE 메시지가 존재하는 경우, 상기 GTP-U 패킷의 목적지 포트가 SIP 포트인지 판단하는 단계;
    상기 GTP-U 패킷의 목적지 포트가 SIP 포트가 아닌 경우, 상기 GTP-U 패킷의 헤더로부터 제1 TEID를 추출하고, 상기 GTP-U 패킷의 페이로드로부터 제1 사용자 단말 식별 번호를 추출하는 단계;
    세션 정보 내에 상기 제1 TEID 및 상기 제1 사용자 단말 식별 번호와 동일한 정보가 존재하는지 판단하는 단계;
    상기 세션 정보 내에 상기 제1 TEID와 동일한 제2 TEID가 존재하고, 상기 제1 사용자 단말 식별 번호와 동일한 제2 사용자 단말 식별 번호가 존재하는 경우, 상기 제2 TEID에 대응하는 탐지 시간 정보와 패킷수 정보를 업데이트 하는 단계; 및
    상기 탐지 시간 정보와 상기 패킷수 정보를 확인하여 비정상 데이터 패킷을 탐지하는 단계를 포함하는, 4G 모바일 네트워크에서의 SIP 터널링 패킷 탐지 방법.
  16. 제 15항에 있어서,
    상기 비정상 데이터 패킷을 탐지하는 단계는, 상기 탐지 시간 정보에 포함된 값이 5초를 초과하고, 상기 패킷수 정보에 포함된 값이 2를 초과하는 경우, 상기 비정상 데이터 패킷으로 탐지하는, 4G 모바일 네트워크에서의 SIP 터널링 패킷 탐지 방법.
  17. 제 16항에 있어서,
    상기 비정상 데이터 패킷에 대한 탐지 정보를 생성하고 저장하는 단계를 더 포함하는, 4G 모바일 네트워크에서의 SIP 터널링 패킷 탐지 방법.
  18. 제 17항에 있어서,
    상기 탐지 정보를 생성한 후, 상기 세션 정보를 삭제하는 단계를 더 포함하는, 4G 모바일 네트워크에서의 SIP 터널링 패킷 탐지 방법.
  19. 제 15항에 있어서,
    탐지 정책에 따라 상기 비정상 데이터 패킷을 처리하는 단계를 더 포함하는, 4G 모바일 네트워크에서의 SIP 터널링 패킷 탐지 방법.
  20. 제 15항에 있어서,
    상기 제1 사용자 단말 식별 번호를 추출하는 단계는, 상기 SIP INVITE 메시지의 To 필드로부터 추출하는, 4G 모바일 네트워크에서의 SIP 터널링 패킷 탐지 방법.
  21. 제 15항에 있어서,
    상기 제1 및 제2 사용자 단말 식별 번호는 MSISDN을 포함하는, 4G 모바일 네트워크에서의 SIP 터널링 패킷 탐지 방법.
KR1020150185957A 2015-12-24 2015-12-24 4g 모바일 네트워크에서의 sip 터널링 패킷 탐지 장치, 시스템 및 방법 KR101711074B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150185957A KR101711074B1 (ko) 2015-12-24 2015-12-24 4g 모바일 네트워크에서의 sip 터널링 패킷 탐지 장치, 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150185957A KR101711074B1 (ko) 2015-12-24 2015-12-24 4g 모바일 네트워크에서의 sip 터널링 패킷 탐지 장치, 시스템 및 방법

Publications (1)

Publication Number Publication Date
KR101711074B1 true KR101711074B1 (ko) 2017-02-28

Family

ID=58543037

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150185957A KR101711074B1 (ko) 2015-12-24 2015-12-24 4g 모바일 네트워크에서의 sip 터널링 패킷 탐지 장치, 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR101711074B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10945117B1 (en) 2019-11-26 2021-03-09 Korea Internet & Security Agency Method and apparatus for detecting diameter protocol IDR message spoofing attack in mobile communication network

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100069410A (ko) * 2008-12-16 2010-06-24 한국인터넷진흥원 에스아이피(sip) 기반 서비스의 보호를 위한 sip 침입 탐지 및 대응 구조
KR20140102399A (ko) * 2013-02-14 2014-08-22 주식회사 시큐아이 비정상 세션 탐지 방법 및 장치
KR101536178B1 (ko) * 2013-12-06 2015-07-13 한국인터넷진흥원 4g 모바일 네트워크에서의 비정상 sdp 메시지 탐지 장치 및 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100069410A (ko) * 2008-12-16 2010-06-24 한국인터넷진흥원 에스아이피(sip) 기반 서비스의 보호를 위한 sip 침입 탐지 및 대응 구조
KR20140102399A (ko) * 2013-02-14 2014-08-22 주식회사 시큐아이 비정상 세션 탐지 방법 및 장치
KR101536178B1 (ko) * 2013-12-06 2015-07-13 한국인터넷진흥원 4g 모바일 네트워크에서의 비정상 sdp 메시지 탐지 장치 및 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10945117B1 (en) 2019-11-26 2021-03-09 Korea Internet & Security Agency Method and apparatus for detecting diameter protocol IDR message spoofing attack in mobile communication network

Similar Documents

Publication Publication Date Title
US11497076B2 (en) Service processing method and service processing apparatus
USRE49636E1 (en) Method and apparatus of improving quality of calls in mobile communication system
KR101698285B1 (ko) Ims 기반 서비스 연결 방법
US8848666B2 (en) Handover of emergency calls from a circuit switched to a packet switched access network
EP2543226B1 (en) Method and apparatus for policy control within network comprising a mobile network and a fixed line network
US20220294791A1 (en) Methods and nodes for handling overload
EP3070903A1 (en) System and method for detecting malicious attacks in a telecommunication network
US8565755B1 (en) Network control of radio resources to mitigate network overuse by machine to machine devices
KR101414231B1 (ko) 비정상 호 탐지 장치 및 방법
KR101538309B1 (ko) 4G 모바일 네트워크에서의 비정상 VoLTE 등록 메시지 탐지 장치, 시스템 및 방법
US8797856B1 (en) Feedback for machine to machine devices to account for failure of network elements
KR101388627B1 (ko) 4g 이동통신망에서의 비정상 트래픽 차단 장치
JP4748737B2 (ja) 通話接続中に第一のサービスから第二のサービスに切り替えるための信号伝送方式
CN111278080A (zh) 在5g网络中路由移动数据业务的方法和系统
CN106162733B (zh) 一种异常流量抑制方法及装置
CN109428870B (zh) 基于物联网的网络攻击处理方法、装置及系统
KR101536178B1 (ko) 4g 모바일 네트워크에서의 비정상 sdp 메시지 탐지 장치 및 방법
KR101711074B1 (ko) 4g 모바일 네트워크에서의 sip 터널링 패킷 탐지 장치, 시스템 및 방법
KR102055813B1 (ko) 네트워크 품질 분석 장치 및 방법
KR101785680B1 (ko) 4g 모바일 네트워크에서의 rtp 터널링 패킷 탐지 장치, 시스템 및 방법
Feng et al. WGSN: WLAN-based GPRS support node with push mechanism
WO2014180496A1 (en) Routing of sessions to other communication networks
KR101563081B1 (ko) 통신 단말기 종류별 통신 품질 판단 시스템 및 그 제어방법과, 그 제어방법을 실행하기 위한 프로그램을 기록한 기록 매체
KR101541119B1 (ko) 4G 모바일 네트워크에서의 비정상 VoLTE 등록해제 메시지 탐지 장치, 시스템 및 방법
KR101538310B1 (ko) 4G 모바일 네트워크에서의 VoLTE 서비스 기반 비정상 위치정보 획득 메시지 탐지 장치, 시스템 및 방법

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20200213

Year of fee payment: 4