KR101785680B1 - 4g 모바일 네트워크에서의 rtp 터널링 패킷 탐지 장치, 시스템 및 방법 - Google Patents

4g 모바일 네트워크에서의 rtp 터널링 패킷 탐지 장치, 시스템 및 방법 Download PDF

Info

Publication number
KR101785680B1
KR101785680B1 KR1020150187502A KR20150187502A KR101785680B1 KR 101785680 B1 KR101785680 B1 KR 101785680B1 KR 1020150187502 A KR1020150187502 A KR 1020150187502A KR 20150187502 A KR20150187502 A KR 20150187502A KR 101785680 B1 KR101785680 B1 KR 101785680B1
Authority
KR
South Korea
Prior art keywords
packet
destination
port
source
information
Prior art date
Application number
KR1020150187502A
Other languages
English (en)
Other versions
KR20170077539A (ko
Inventor
김환국
김세권
구본민
박성민
고은혜
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020150187502A priority Critical patent/KR101785680B1/ko
Publication of KR20170077539A publication Critical patent/KR20170077539A/ko
Application granted granted Critical
Publication of KR101785680B1 publication Critical patent/KR101785680B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L65/1006
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Multimedia (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

4G 모바일 네트워크에서의 RTP 터널링 패킷 탐지 장치, 시스템 및 방법이 제공된다. 상기 RTP 터널링 패킷 탐지 장치는, GTP(GPRS Tunneling Protocol)-U 패킷이 RTP(Real-time Trans포트Protocol) 패킷을 포함하는 경우, 상기 GTP-U 패킷으로부터 제1 출발지 IP, 제1 출발지 포트, 제1 목적지 IP, 및 제1 목적지 포트를 추출하는 패킷 정보 추출부, 제2 출발지 IP, 제2 출발지 포트, 제2 목적지 IP, 제2 목적지 포트, 및 탐지 시간 정보를 포함하는 세션 정보를 저장하는 세션 정보 저장부, 상기 제1 출발지 IP, 상기 제1 출발지 포트, 상기 제1 목적지 IP, 및 상기 제1 목적지 포트 전부가, 각각에 대응하는 상기 제2 출발지 IP, 상기 제2 출발지 포트, 상기 제2 목적지 IP, 및 상기 제2 목적지 포트와 동일한 경우, 상기 세션 정보 내의 상기 탐지 시간 정보를 업데이트하는 세션 정보 관리부, 상기 세션 정보 내의 상기 탐지 시간 정보를 이용하여 비정상 데이터 패킷을 탐지하는 세션 정보 분석부, 및 상기 세션 정보 분석부의 탐지 결과에 따라 상기 비정상 데이터 패킷을 처리하는 패킷 처리부를 포함한다.

Description

4G 모바일 네트워크에서의 RTP 터널링 패킷 탐지 장치, 시스템 및 방법{APPARATUS, SYSTEM AND METHOD FOR DETECTING A RTP TUNNELING PACKET IN 4G MOBILE NETWORKS}
본 발명은 RTP 터널링 패킷 탐지 장치, 시스템 및 방법에 관한 것으로, 보다 상세하게는 GTP(GPRS Tunneling Protocol)를 사용하는 4G 모바일 네트워크에서의 RTP 터널링 패킷 탐지 장치, 시스템 및 방법에 관한 것이다.
GTP(GPRS Tunneling Protocol)는 이동 통신 네트워크, 특히 3G 또는 4G 네트워크 내에서 사용되는 프로토콜로서, 시그널링을 위한 GTP-C 패킷과 데이터 전송을 위한 GTP-U 패킷으로 구성된다.
이러한 GTP는, 사용자 단말기(예를 들어, 스마트폰 등)의 데이터 서비스를 위하여, 데이터 호 설정, 갱신, 삭제 등과 같은 시그널링 및 데이터 전송을 수행하도록 고안되었다.
무선 통신 시스템은 기술의 비약적인 발전에 힘입어 각종 멀티미디어 서비스를 무선으로 제공하는 고속 데이터 통신 서비스를 제공하는 단계에 이르렀다. 이러한 무선 통신 시스템의 일 예로 표준 단체인 3GPP(3rd Generation Partnership Project)에서 제안된 LTE(Long Term Evolution) 시스템이 다수의 국가들에서 서비스를 제공 중이다. 상기 LTE 시스템은 100 Mbps 정도의 전송 속도를 제공하는 고속 패킷 기반 통신을 구현하는 기술이다. 또한 최근에는 LTE 망을 통해 음성 통화를 제공하는 VoLTE 서비스가 제공되기 시작하였다.
한국 공개 특허 제2004-0001011호에는 인터넷 프로토콜 기반 네트워크 환경에 있어서 헤더 압축 및 패킷 다중화 장치와 그 방법에 관하여 개시되어 있다.
본 발명이 해결하고자 하는 과제는, 4G 모바일 네트워크 내에서, 발신 단말은 VoLTE 음성 패킷(예를 들어, RTP 패킷) 내에 임의의 인터넷망 연결용 데이터를 삽입하여 전송하고, 착신 단말은 해당 패킷을 수신하여 인터넷망 연결용 데이터를 추출함으로써 데이터 사용에 대한 과금을 회피하는 비정상 데이터 패킷을 탐지할 수 있는 RTP 터널링 패킷 탐지 장치를 제공하는 것이다.
특히, 이동통신 사업자에서 음성 통화 무제한 서비스를 제공하는 경우가 있는데, 본 발명은 이러한 음성 통화 무제한 서비스를 이용하여 추가적인 데이터 사용료를 지급하지 않고 음성 패킷에 인터넷망 데이터를 삽입하여 데이터 사용에 대한 과금을 회피하기 위한 행위를 탐지하고 차단하기 위한 것이다.
본 발명이 해결하고자 하는 다른 과제는, 4G 모바일 네트워크 내에서, 데이터 사용에 대한 과금을 회피하는 비정상 데이터 패킷을 탐지할 수 있는 RTP 터널링 패킷 탐지 시스템을 제공하는 것이다.
본 발명이 해결하고자 하는 또 다른 과제는, 4G 모바일 네트워크 내에서, 데이터 사용에 대한 과금을 회피하는 비정상 데이터 패킷을 탐지할 수 있는 RTP 터널링 패킷 탐지 방법을 제공하는 것이다.
본 발명이 해결하고자 하는 과제들은 이상에서 언급한 과제들로 제한되지 않으며, 언급되지 않은 또 다른 과제들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
상기 과제를 해결하기 위한 본 발명의 실시예에 따른 4G 모바일 네트워크에서의 RTP 터널링 패킷 탐지 장치는, GTP(GPRS Tunneling Protocol)-U 패킷이 RTP(Real-time Trans포트Protocol) 패킷을 포함하는 경우, 상기 GTP-U 패킷으로부터 제1 출발지 IP, 제1 출발지 포트, 제1 목적지 IP, 및 제1 목적지 포트를 추출하는 패킷 정보 추출부, 제2 출발지 IP, 제2 출발지 포트, 제2 목적지 IP, 제2 목적지 포트, 및 탐지 시간 정보를 포함하는 세션 정보를 저장하는 세션 정보 저장부, 상기 제1 출발지 IP, 상기 제1 출발지 포트, 상기 제1 목적지 IP, 및 상기 제1 목적지 포트 전부가, 각각에 대응하는 상기 제2 출발지 IP, 상기 제2 출발지 포트, 상기 제2 목적지 IP, 및 상기 제2 목적지 포트와 동일한 경우, 상기 세션 정보 내의 상기 탐지 시간 정보를 업데이트하는 세션 정보 관리부, 상기 세션 정보 내의 상기 탐지 시간 정보를 이용하여 비정상 데이터 패킷을 탐지하는 세션 정보 분석부, 및 상기 세션 정보 분석부의 탐지 결과에 따라 상기 비정상 데이터 패킷을 처리하는 패킷 처리부를 포함한다.
상기 과제를 해결하기 위한 본 발명의 실시예에 따른 4G 모바일 네트워크에서의 RTP 터널링 패킷 탐지 시스템은, 세션 정보를 이용하여 비정상 데이터 패킷을 탐지하는 RTP 터널링 패킷 탐지 장치, 및 VoLTE 제어 메시지로부터 패킷 정보를 추출하여 상기 세션 정보를 생성하는 세션 정보 수집 장치를 포함하되, 상기 세션 정보 수집 장치는, 상기 VoLTE 제어 메시지로부터 제1 출발지 IP, 제1 출발지 포트, 제1 목적지 IP, 및 제1 목적지 포트를 추출하는 메시지 정보 추출부와, 상기 제1 출발지 IP, 상기 제1 출발지 포트, 상기 제1 목적지 IP, 상기 제1 목적지 포트, 및 탐지 시간 정보를 포함하는 상기 세션 정보를 생성하는 세션 정보 생성부를 포함하고, 상기 RTP 터널링 패킷 탐지 장치는, 제1 GTP-U 패킷이 RTP 패킷을 포함하는 경우, 상기 제1 GTP-U 패킷으로부터 제2 출발지 IP, 제2 출발지 포트, 제2 목적지 IP, 및 제2 목적지 포트를 추출하는 패킷 정보 추출부와, 상기 제2 출발지 IP, 상기 제2 출발지 포트, 상기 제2 목적지 IP, 및 상기 제2 목적지 포트 전부가, 각각에 대응하는 상기 제1 출발지 IP, 상기 제1 출발지 포트, 상기 제1 목적지 IP, 및 상기 제1 목적지 포트와 동일한 경우, 상기 세션 정보 내의 상기 탐지 시간 정보를 업데이트하는 세션 정보 관리부와, 상기 세션 정보 내의 상기 탐지 시간 정보를 이용하여 비정상 데이터 패킷을 탐지하는 세션 정보 분석부와, 상기 세션 정보 분석부의 탐지 결과에 따라 상기 비정상 데이터 패킷을 처리하는 패킷 처리부를 포함한다.
상기 과제를 해결하기 위한 본 발명의 실시예에 따른 4G 모바일 네트워크에서의 RTP 터널링 패킷 탐지 방법은, SIP INVITE 메시지를 수신하고, 상기 SIP INVITE 메시지의 목적지 포트가 SIP 포트인지 판단하는 단계, 상기 SIP INVITE 메시지의 목적지 포트가 SIP 포트가 아닌 경우, 상기 SIP INVITE 메시지로부터 제1 출발지 IP, 제1 출발지 포트, 제1 목적지 IP, 및 제1 목적지 포트를 추출하는 단계, 상기 제1 출발지 IP, 상기 제1 출발지 포트, 상기 제1 목적지 IP, 상기 제1 목적지 포트, 및 탐지 시간 정보를 포함하는 세션 정보를 생성하는 단계, GTP-U 패킷이 RTP 패킷을 포함하는 경우, 상기 GTP-U 패킷으로부터 제2 출발지 IP, 제2 출발지 포트, 제2 목적지 IP, 및 제2 목적지 포트를 추출하는 단계, 상기 제2 출발지 IP, 상기 제2 출발지 포트, 상기 제2 목적지 IP, 및 상기 제2 목적지 포트 전부가 상기 세션 정보 내의 상기 제1 출발지 IP, 상기 제1 출발지 포트, 상기 제1 목적지 IP, 및 상기 제1 목적지 포트와 동일한지 판단하는 단계, 상기 제2 출발지 IP, 상기 제2 출발지 포트, 상기 제2 목적지 IP, 및 상기 제2 목적지 포트 전부가 상기 제1 출발지 IP, 상기 제1 출발지 포트, 상기 제1 목적지 IP, 및 상기 제1 목적지 포트와 동일한 경우, 상기 탐지 시간 정보를 업데이트하는 단계, 및 상기 탐지 시간 정보를 확인하여 비정상 데이터 패킷을 탐지하는 단계를 포함한다.
본 발명의 기타 구체적인 사항들은 상세한 설명 및 도면들에 포함되어 있다.
본 발명의 RTP 터널링 패킷 탐지 장치, 시스템 및 방법에 따르면, 발신 단말과 착신 단말 사이에 VoLTE 콜(call) 셋업(setup) 후에, 음성 패킷(예를 들어 RTP 패킷)을 송수신하기 위한 EPS 베어러를 생성하고, 이러한 EPS 베어러를 이용하여 음성 패킷(예를 들어 RTP 패킷) 내에 인터넷망 데이터를 삽입한 비정상 데이터 패킷을 탐지하고 차단할 수 있다.
이러한 비정상 데이터 패킷은 데이터 사용에 대한 과금을 회피하기 위한 패킷으로서, 음성 통화 무제한 서비스를 이용하여 인터넷망 데이터 사용에 대한 과금은 회피하기 위한 패킷이다. 본 발명에 따르면, 이러한 비정상 데이터 패킷을 이용하는 행위를 미리 탐지하고 차단할 수 있다.
도 1은 본 발명의 실시예에 따른 RTP 터널링 패킷 탐지 장치가 적용될 수 있는 4G 네트워크의 구조를 도시한 도면이다. 
도 2는 도 1의 4G 네트워크와 연동된 IMS 네트워크의 구조를 설명하기 위한 도면이다. 
도 3은 도 2의 사용자 단말에 할당되는 IP를 설명하기 위한 도면이다.
도 4는 4G 모바일 네트워크에서 이용되는 EPS 베어러를 설명하기 위한 도면이다.
도 5는 4G 모바일 네트워크에서 Default EPS 베어러의 생성 과정을 설명하기 위한 도면이다.
도 6은 4G 모바일 네트워크에서 사용자 단말 인증 및 등록 절차를 설명하기 위한 도면이다.
도 7은 4G 모바일 네트워크에서 SIP 메시지를 이용하여 착/발신 단말과 CSCF 사이의 세션을 수립하는 과정을 설명하기 위한 도면이다.
도 8은 4G 모바일 네트워크에서 Dedicated EPS 베어러를 생성하는 과정을 설명하기 위한 도면이다.
도 9는 4G 모바일 네트워크에서 Dedicated EPS 베어러를 삭제하는 과정을 설명하기 위한 도면이다.
도 10은 데이터 사용에 대한 과금을 회피하기 위한 RTP 터널링 패킷을 도시한 도면이다.
도 11은 본 발명의 일 실시예에 따른 RTP 터널링 패킷 탐지 장치를 설명하기 위한 블록도이다.
도 12는 도 11의 세션 정보 관리부에 포함된 VoLTE 세션 관리 모듈의 동작을 설명하기 위한 데이터 테이블이다.
도 13은 VoLTE 세션 관리 모듈의 동작을 설명하기 위한 블록도이다.
도 14는 VoLTE 세션 관리 모듈의 동작을 설명하기 위한 흐름도이다.
도 15는 도 13의 메시지 처리 모듈의 동작을 설명하기 위한 흐름도이다.
도 16은 사용자 정보 테이블 생성을 위해 완성된 단일 메시지의 예시이다.
도 17은 메시지 처리 모듈의 사용자 정보 테이블 생성 동작을 설명하기 위한 흐름도이다.
도 18은 생성된 사용자 정보 테이블의 예시이다.
도 19는 RTP 테이블 생성을 위해 완성된 단일 메시지의 예시이다.
도 20은 메시지 처리 모듈의 RTP 테이블 생성 동작을 설명하기 위한 흐름도이다.
도 21은 도 11의 세션 정보 저장부에 저장된 RTP 터널링 탐지 세션 정보를 설명하기 위한 테이블이다.
도 22는 Call ID 테이블 및 RTP 테이블의 필드 값을 삭제하기 위해 완성된 단일 메시지의 예시이다.
도 23은 메시지 처리 모듈의 Call ID 테이블 및 RTP 테이블의 필드 값 삭제 동작을 설명하기 위한 흐름도이다.
도 24는 필드 값이 삭제되는 Call ID 테이블 및 RTP 테이블의 예시이다.
도 25는 Call ID 테이블의 필드 값을 갱신하기 위해 완성된 단일 메시지의 예시이다.
도 26은 메시지 처리 모듈의 Call ID 테이블의 필드 값 갱신 동작을 설명하기 위한 흐름도이다.
도 27은 필드 값이 갱신되는 Call ID 테이블의 예시이다.
도 28은 RTP 터널링 패킷의 탐지 정보를 세부적으로 설명하기 위한 테이블이다.
도 29 및 도 30은 본 발명의 일 실시예에 따른 RTP 터널링 패킷 탐지 방법을 설명하기 위한 흐름도이다.
도 31은 본 발명의 다른 실시예에 따른 RTP 터널링 패킷 탐지 장치를 설명하기 위한 블록도이다.
도 32는 본 발명의 일 실시예에 따른 RTP 터널링 패킷 탐지 시스템을 설명하기 위한 블록도이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성요소를 지칭한다.
각 블록은 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또한, 몇 가지 대체 실행 예들에서는 블록들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대 잇달아 도시되어 있는 두 개의 블록들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
비록 제1, 제2 등이 다양한 소자, 구성요소 및/또는 섹션들을 서술하기 위해서 사용되나, 이들 소자, 구성요소 및/또는 섹션들은 이들 용어에 의해 제한되지 않음은 물론이다. 이들 용어들은 단지 하나의 소자, 구성요소 또는 섹션들을 다른 소자, 구성요소 또는 섹션들과 구별하기 위하여 사용하는 것이다. 따라서, 이하에서 언급되는 제1 소자, 제1 구성요소 또는 제1 섹션은 본 발명의 기술적 사상 내에서 제2 소자, 제2 구성요소 또는 제2 섹션일 수도 있음은 물론이다.
본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성요소, 단계, 동작 및/또는 소자는 하나 이상의 다른 구성요소, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.
도 1은 본 발명의 실시예에 따른 RTP 터널링 패킷 탐지 장치가 적용될 수 있는 4G 네트워크의 구조를 도시한 도면이다. 
도 1을 참조하면, 4G 네트워크(1000)는 무선 자원을 관리하는 4G E-RAN(Enterprise Radio Access Network)과 데이터 처리/인증/과금 등을 수행하는 4G EPC(Evolved Packet Core)를 포함할 수 있다.
4G E-RAN은 사용자 단말(1100)과 eNB(1200)을 포함할 수 있다. 예를 들어, 사용자 단말(1100)은 4G 네트워크에 가입되어 있는 휴대 단말일 수 있다. eNB(1200)는 기지국으로서 사용자 단말(1100)과 4G 네트워크 간에 무선 연결을 제공할 수 있다. 
4G EPC는 MME(1300), S-GW(1400), P-GW(1500), HSS(Home Subscriber Server; 1600), PCRF(Policy & Charging Rule Function; 1700)을 포함할 수 있다. MME(1300)는 eNB(1200)와 S1-MME GTP 터널을 통해서 GTP 패킷을 송수신할 수 있다. S-GW(1400)는 eNB(1200)와 S1-U GTP 터널을 통해서 GTP 패킷을 송수신할 수 있다. MME(1300)는 S-GW(1400)와 S11 GTP 터널을 통해서 GTP 패킷을 송수신할 수 있다. P-GW(1500)는 IMS 네트워크의 P-CSCF(2100) 및 인터넷(Internet)과 연결될 수 있다. 
4G 네트워크에서 S1-U GTP 터널은 데이터 트래픽을 위한 패스(path)이고, S11 GTP 터널은 시그널링을 위한 패스이고, S5 GTP 터널은 데이터 트래픽 및 시그널링을 위한 패스이다. 
본 발명에 따른 RTP 터널링 패킷 탐지 장치를 포함하는 시스템은 eNB(1200)와 S-GW(1400) 사이(P1), MME(1300)와 S-GW(1400) 사이(P2), 또는 S-GW(1400)과 P-GW(1500) 사이(P3)에 제공될 수 있다. 또한, 본 발명에 따른 RTP 터널링 패킷 탐지 장치를 포함하는 시스템은 S-GW(1400) 또는 P-GW(1500)의 내부 구성요소로 제공될 수도 있다. 도 1에는 명확하게 도시하지 않았으나, 4G 네트워크는 S-GW(1400)을 통해서 3G 네트워크, 펨토셀 네트워크 등과 연동될 수 있다. 
도 2는 도 1의 4G 네트워크와 연동된 IMS 네트워크의 구조를 설명하기 위한 도면이다. 
도 2를 참조하면, IMS 네트워크(2000)는 P-CSCF(2100), I-CSCF(2200), S-CSCF(2300), BGCF(Border Gateway Control Function; 2400), HSS(2500), MGCF(Media Gateway Control Function; 2700), AS(Application Server; 2800), M-GW(Media Gateway; 2900)을 포함할 수 있다. 
4G 네트워크 내부의 제1 사용자 단말(1100a)로부터 전송된 SIP 메시지는 P-GW(1500)를 통해서, IMS 네트워크 내부로 전달될 수 있다. P-GW(1500)과 연결된 P-CSCF(2100)는 상기 SIP 메시지를 I-CSCF(2200)에 전송하고, I-CSCF(2200)는 상기 SIP 메시지를 S-CSCF(2300)에 전송할 수 있다. MGCF(2700)와 M-GW(2900)는 PSTN(Public Switching Telephone Network)과 연결될 수 있다.  
도 3은 도 2의 사용자 단말에 할당되는 IP를 설명하기 위한 도면이다.
도 3을 참조하면, 제1 사용자 단말(1100a)에는 IMS 네트워크용 IP와 데이터용 IP가 각각 할당된다. 즉, VoLTE 단말의 경우에 IP를 2개 할당받을 수 있다. VoLTE 단말의 경우에 패킷 기반 음성/영상 통화를 위해 QoS가 보장되는 새로운 베어러를 할당받는다.
제1 사용자 단말(1100a)은 IMS 네트워크용 IP(IMS IP)를 이용하여 P-GW(1500)를 통하여 IMS 네트워크로 음성/영상 데이터를 전송하고, 데이터용 IP(LTE IP)를 이용하여 P-GW(1500)를 통하여 인터넷 네트워크로 일반 데이터를 전송할 수 있다.
도 4는 4G 모바일 네트워크에서 이용되는 EPS 베어러를 설명하기 위한 도면이다.
도 4를 참조하면, VoLTE 단말의 경우, 인터넷망 데이터 패킷을 위한 디폴트(Default) EPS 베어러와 VoLTE 데이터 패킷을 위한 디폴트(Default) EPS 베어러를 각각 할당받는 것을 알 수 있다. 각각의 EPS 베어러는 세션 생성 요청(Create Session Request) 메시지 내의 APN 값(예를 들어, 인터넷망 데이터 패킷; lte, VoLTE 데이터 패킷; ims)으로 구분할 수 있다.
VoLTE 데이터 패킷 송수신을 위해서, 최대 3개의 EPS 베어러를 이용할 수 있다. Default EPS 베어러는 SIP 등록 및 IMS 콜 셋업(call setup)을 위해 이용할 수 있고, 2개의 Dedicated EPS 베어러는 각각 음성 데이터와 영상 데이터 송수신을 위해 이용할 수 있다. 음성 데이터와 영상 데이터를 위한 Dedicated EPS 베어러는 EBI(EPS Bearer ID)로 구분할 수 있다.
도 5는 4G 모바일 네트워크에서 Default EPS 베어러의 생성 과정을 설명하기 위한 도면이다.
도 5를 참조하면, 4G 모바일 네트워크에서 Default EPS 베어러를 생성하기 위해서, 세션 생성 요청(Create Session Response) 메시지와 세션 생성 응답(Create Session Response) 메시지가 전송될 수 있다. 세션 생성 요청 메시지와 세션 생성 응답 메시지는 GTP-C 패킷으로 전송될 수 있다.
먼저, 사용자 단말(1100)이 MME(1300)에 접속 요청(Attach Request) 메시지를 전송하고, MME(1300)가 S-GW(1400)에 세션 생성 요청 메시지를 전송하고, S-GW(1400)가 P-GW(1500)에 세션 생성 요청 메시지를 전송할 수 있다. 이에 대한 응답으로, P-GW(1500)가 S-GW(1400)에 세션 생성 응답 메시지를 전송하여, S-GW(1400)와 P-GW(1500)간 Default S5 베어러를 생성할 수 있다.
그리고, S-GW(1400)가 MME(1300)에 세션 생성 응답 메시지를 전송하여, MME(1300)과 S-GW(1400)간 S11 GTP 터널을 생성할 수 있다. 그리고, MME(1300)가 사용자 단말(1100)에 접속 응답(Attach Accept) 메시지를 전송하여, eNB(1200)와 S-GW(1400)간 Default S1 베어러를 생성할 수 있다.
그리고, 도 5에 도시된 바와 같이, Default S1 베어러 생성 전에, eNB(1200) 및 MME(1300) 사이, MME(1300) 및 S-GW(1400) 사이에서 추가적인 메시지(Initial Context Setup Request, Initial Context Setup Response, Modify Bearer Request, Modify Bearer Response)가 더 송수신될 수 있다.
VoLTE 단말은 이러한 Attach 과정을 2번 반복하여, 인터넷망 데이터 패킷을 위한 IP 주소와 VoLTE 데이터 패킷을 위한 IP 주소를 각각 할당받을 수 있다.
Default EPS 베어러 생성 과정에서, GTP-C 패킷 정보 추출부는 세션 생성 요청 메시지 및 세션 응답 메시지로부터 발신 단말의 사용자 단말 식별 번호 및 발신 단말의 TEID를 추출할 수 있다.
도 6은 4G 모바일 네트워크에서 사용자 단말 인증 및 등록 절차를 설명하기 위한 도면이다.
도 6을 참조하면, 다이제스트(Digest) 매커니즘을 이용하여 사용자 단말을 인증하고 등록하는 절차에 대하여 도시되어 있다. 다이제스트 매커니즘이란, 사용자 단말의 ID와 Password를 기초로 하여 사용자 단말을 인증하는 방식을 의미한다.
도 6에는 명확하게 도시하지 않았으나, S-GW(1400)와 P-GW(1500) 사이에 S5 GTP 터널이 생성되고, MME(1300)와 S-GW(1400) 사이에 S11 GTP 터널이 생성되고, eNB(1200)와 S-GW(1400)간 S1-U GTP 터널이 생성될 수 있다.
사용자 단말(1100)은 CSCF(Call Session Control Function; 1800)로 SIP REGISTER 메시지를 전송하고, CSCF(1800)는 사용자 단말(1100)로 SIP 401 메시지를 전송한다. 이 과정에서 사용자 단말(1100)은 CSCF(1800)를 통해 인증된다.
이어서, 사용자 단말(1100)은 CSCF(1800)로 SIP REGISTER 메시지를 재전송하고, CSCF(1800)는 사용자 단말(1100)로 SIP 200 OK 메시지를 전송하여 사용자 단말(1100)을 등록한다.
도 7은 4G 모바일 네트워크에서 SIP 메시지를 이용하여 착/발신 단말과 CSCF 사이의 세션을 수립하는 과정을 설명하기 위한 도면이다.
도 7을 참조하면, 발신 과정에서, 제1 사용자 단말(1100a)은 CSCF(1800)로 SIP INVITE 메시지를 전송하고, 착신 과정에서, CSCF(1800)는 제2 사용자 단말(1100b)로 SIP INVITE 메시지를 전송한다.
이에 대응하여, 제2 사용자 단말(1100b)은 SIP 180 Ringing 메시지와 SIP 200 OK 메시지를 CSCF(1800)로 전송하고, CSCF(1800)는 제1 사용자 단말(1100a)로 SIP 180 Ringing 메시지와 SIP 200 OK 메시지를 전송한다. SIP 200 OK 메시지가 제1 사용자 단말(1100a)로 전송되는 시점이 VoLTE 서비스에 대한 과금이 시작되는 시점이다.
도 8은 4G 모바일 네트워크에서 Dedicated EPS 베어러를 생성하는 과정을 설명하기 위한 도면이다.
도 8을 참조하면, 베어러 생성 요청(Create Bearer Request) 메시지와 베어러 생성 응답(Create Bearer Response) 메시지를 통해 Dedicated EPS 베어러가 생성될 수 있다.
구체적으로, 발신 및 착신 과정에서, P-GW(1500)로부터 S-GW(1400)로 베어러 생성 요청 메시지가 전송되고, S-GW(1400)로부터 MME(1300)로 베어러 생성 요청 메시지가 전송된다. 이에 대응하여, MME(1300)로부터 S-GW(1400)로 베어러 생성 응답 메시지가 전송되고, S-GW(1400)로부터 P-GW(1500)로 베어러 생성 응답 메시지가 전송된다.
이에 따라, P-GW(1500)와 S-GW(1400) 사이에 Dedicated S5 베어러가 생성되고, S-GW(1400)와 eNB(1200) 사이에 Dedicated S1 베어러가 생성된다. Dedicated S1/S5 베어러 생성에 의해 제1 및 제2 사용자 단말(1100a, 1100b)은 P-GW(1500)와 RTP 패킷(HD-Voice)을 송수신할 수 있다.
Dedicated EPS 베어러 생성 이후 전송되는 RTP 패킷으로부터 발신 단말 RTP IP, 발신 단말 RTP 포트(포트), 수신 단말 RTP IP, 수신 단말 RTP 포트를 추출하여 이에 대응하는 세션 정보와 비교할 수 있다. 이에 따라, 세션 생성시 사용된 발신 단말 RTP IP, 발신 단말 RTP 포트, 수신 단말 RTP IP, 수신 단말 RTP 포트와 세션 생성 이후 GTP-U 패킷의 RTP 패킷에 포함된 발신 단말 RTP IP, 발신 단말 RTP 포트, 수신 단말 RTP IP, 수신 단말 RTP 포트를 이용하여 RTP 터널링 패킷을 탐지할 수 있다.
도 9는 4G 모바일 네트워크에서 Dedicated EPS 베어러를 삭제하는 과정을 설명하기 위한 도면이다.
도 9를 참조하면, 베어러 삭제 요청(Delete Bearer Request) 메시지와 베어러 삭제 응답(Delete Bearer Response) 메시지를 통해 Dedicated EPS 베어러가 삭제될 수 있다.
구체적으로, 제1 사용자 단말(1100a)로부터 P-GW(1500)로 SIP BYE 메시지가 전송되고, P-GW(1500)로부터 제2 사용자 단말(1100b)로 SIP BYE 메시지가 전송된다. 이에 대응하여, 제2 사용자 단말(1100b)로부터 P-GW(1500)로 SIP 200 OK 메시지가 전송된다.
제2 사용자 단말(1100b) 측에서, P-GW(1500)로부터 S-GW(1400)로 베어러 삭제 요청 메시지가 전송되고, S-GW(1400)로부터 MME(1300)로 베어러 삭제 요청 메시지가 전송된다. MME(1300)에서는 S-GW(1400)로 베어러 삭제 응답 메시지를 전송하고, S-GW(1400)는 P-GW(1500)로 베어러 삭제 응답 메시지를 전송한다.
이에 따라, 제1 사용자 단말(1100a) 측에서, P-GW(1500)로부터 S-GW(1400)로 베어러 삭제 요청 메시지가 전송되고, S-GW(1400)로부터 MME(1300)로 베어러 삭제 요청 메시지가 전송된다. MME(1300)에서는 S-GW(1400)로 베어러 삭제 응답 메시지를 전송하고, S-GW(1400)는 P-GW(1500)로 베어러 삭제 응답 메시지를 전송한다.
P-GW(1500)는 제1 사용자 단말(1100a)로 SIP 200 OK 메시지를 전송하여 Dedicated EPS 베어러 삭제 과정을 종료한다. 여기에서, VoLTE 서비스에 대한 과금이 종료되는 시점은 제1 사용자 단말(1100a)로부터 P-GW(1500)로 SIP BYE 메시지가 전송되는 시점이다.
도 10은 데이터 사용에 대한 과금을 회피하기 위한 RTP 터널링 패킷을 도시한 도면이다.
도 10을 참조하면, VoLTE 콜 셋업 이후에 공격자가 RTP 패킷 내에 인터넷 네트워크용 데이터를 삽입하여 전송하는 경우에 대해 나타나 있다. 공격자가 음성 통화 무제한 서비스를 이용하여 인터넷 네트워크용 데이터를 삽입한 RTP 패킷(즉, 음성 패킷)을 전송하고, 수신자는 RTP 패킷으로부터 데이터를 추출함으로써 데이터 사용에 대한 과금을 회피할 수 있다.
본 명세서에서는, 이와 같이 공격자가 데이터 사용에 대한 과금을 회피하기 위해 RTP 패킷 내에 인터넷 네트워크 연결을 위한 임의의 데이터를 삽입하여 IMS 망을 통해 착신 단말로 송신하는 데이터 패킷을 RTP 터널링 패킷이라 정의한다. 본 발명에 따르면, 이러한 RTP 터널링 패킷을 탐지하고 차단할 수 있다.
공격자가 RTP 패킷 내에 임의의 데이터를 삽입하여 송수신하는 경우에, 이러한 RTP 패킷은 Phone-to-Phone 방식 또는 Media Gateway를 경유하여 착신 단말로 전송될 수 있다.
착신 단말은 RTP 터널링 패킷을 수신하여 임의의 데이터를 추출하는 행위를 반복함으로써 데이터 사용에 대한 과금을 회피할 수 있다. VoLTE 콜 사용에 대한 과금은 음성 통화 무제한 서비스를 이용하여 추가적인 과금이 발생하지 않으며, 인터넷 네트워크용 데이터 사용에 대한 과금은 회피하게 된다.
따라서, 이러한 행위를 탐지하고 차단할 필요성이 있다.
이하에서는, 본 발명의 몇몇 실시예에 따른 RTP 터널링 탐지 장치 및 시스템에 대하여 설명하기로 한다.
도 11은 본 발명의 일 실시예에 따른 RTP 터널링 패킷 탐지 장치를 설명하기 위한 블록도이다.
도 11을 참조하면, 본 발명의 일 실시예에 따른 RTP 터널링 패킷 탐지 장치(100)는 NIC(Network Interface Card; 110a, 110b), 패킷 정보 추출부(120), 세션 정보 분석부(130), 세션 정보 저장부(140), 세션 정보 관리부(141), 탐지 정보 저장부(150), 패킷 처리부(160)를 포함한다.
NIC(110a)는 GTP-U 패킷을 수신하여 패킷 정보 추출부(120)에 전송하고, NIC(110b)는 패킷 처리부(150)의 제어 신호에 따라 GTP-U 패킷을 전송(forward)하거나 차단(drop)할 수 있다. NIC(110a, 110b)는 일반적인 네트워크 인터페이스 카드 또는 하드웨어 가속 네트워크 인터페이스 카드일 수 있다.
GTP-U 패킷은 이동 통신 네트워크 내에서 사용자 패킷을 전송하기 위해 사용된다. NIC(110a, 110b)가 처리하는 GTP-U 패킷은 사용자 단말로부터 외부 네트워크(예를 들어, 인터넷)를 향해 전송되는 GTP-U 패킷일 수 있다.
패킷 정보 추출부(120)는 GTP-U 패킷으로부터 각종 패킷 정보를 추출할 수 있다. 패킷 정보 추출부(120)는 각종 패킷 정보를 구조화된 자료 형태로 가공하여 세션 정보 분석부(130)에 전송할 수 있다.
구체적으로, 패킷 정보 추출부(120)는 GTP-U 패킷이 RTP 패킷을 포함하는 경우, GTP-U 패킷으로부터 출발지 IP, 출발지 포트, 목적지 IP, 및 목적지 포트를 추출할 수 있다.
RTP 터널링 패킷을 탐지하기 위한 정보로서, 패킷 정보 추출부(120)는 GTP-U 패킷의 페이로드(payload)로부터 출발지 IP, 출발지 포트, 목적지 IP, 및 목적지 포트를 추출할 수 있다. 패킷 정보 추출부(120)는 GTP-U 패킷으로부터 필요한 정보를 추출하여 데이터 프레임을 생성할 수 있다. 데이터 프레임에는 TEID(UL-DATA), 출발지 IP, 출발지 포트, 목적지 IP, 목적지 포트, Length 등의 데이터가 포함될 수 있다.
우선, 패킷 정보 추출부(120)는 GTP-U 패킷 내에 RTP 패킷이 존재하는지 판단하고, RTP 패킷이 존재하는 때에 상술한 RTP 터널링 패킷을 탐지하기 위한 정보를 추출할 수 있다.
이하에서는, 각각의 출발지 IP, 출발지 포트, 목적지 IP, 목적지 포트를 서로 구별하기 위해서, RTP 터널링 패킷 탐지를 위해 GTP-U 패킷으로부터 추출된 출발지 IP, 출발지 포트, 목적지 IP, 목적지 포트를 각각 제1 출발지 IP, 제1 출발지 포트, 제1 목적지 IP, 제1 목적지 포트로 언급한다.
그리고, 세션 정보에 포함되는 출발지 IP, 출발지 포트, 목적지 IP, 목적지 포트를 각각 제2 출발지 IP, 제2 출발지 포트, 제2 목적지 IP, 제2 목적지 포트로 언급하여 설명하기로 한다.
세션 정보 저장부(140)는 제2 출발지 IP, 제2 출발지 포트, 제2 목적지 IP, 제2 목적지 포트, 및 탐지 시간 정보(Timestamp 정보)를 포함하는 세션 정보를 미리 저장할 수 있다. 구체적으로, 세션 정보 저장부(140)는 GTP-U 패킷이 SIP INVITE 메시지를 포함하고, GTP-U 패킷의 목적지 포트가 SIP 포트가 아닌 경우, 제2 출발지 IP, 제2 출발지 포트, 제2 목적지 IP, 제2 목적지 포트, 및 탐지 시간 정보(Timestamp 정보)를 포함하는 세션 정보를 생성하여 저장할 수 있다.
제2 출발지 IP, 제2 출발지 포트, 제2 목적지 IP, 및 제2 목적지 포트는 VoLTE 세션 생성을 위해 이용되는 VoLTE 제어 메시지로부터 추출될 수 있다.
세션 정보 분석부(130)는 RTP 터널링 패킷의 탐지 동작을 수행할 수 있다. 세션 정보 분석부(130)는 GTP-U 패킷으로부터 추출한 제1 출발지 IP, 제1 출발지 포트, 제1 목적지 IP, 및 제1 목적지 포트를 세션 정보 저장부(140)에 저장된 세션 정보와 비교 분석한다.
우선, 세션 정보 분석부(130)는 제1 출발지 IP, 제1 출발지 포트, 제1 목적지 IP, 및 제1 목적지 포트에 대응하는 제2 출발지 IP, 제2 출발지 포트, 제2 목적지 IP, 및 제2 목적지 포트가 세션 정보 내에 존재하는지 판단하고, 이들이 전부 동일한 경우 탐지 시간 정보(Timestamp 정보)를 확인하여 RTP 터널링 패킷(즉, 비정상 데이터 패킷)을 탐지할 수 있다.
비정상 데이터 패킷이란, 제1 출발지 IP, 제1 출발지 포트, 제1 목적지 IP, 및 제1 목적지 포트에 대응하는 제2 출발지 IP, 제2 출발지 포트, 제2 목적지 IP, 및 제2 목적지 포트가 전부 서로 동일하고, 이들에 대한 탐지 시간 정보(Timestamp 정보)가 5초를 초과하는 경우에서의 데이터 패킷을 의미한다.
다만, 여기에서 탐지 시간 정보(Timestamp 정보)는 임의로 설정된 예시적인 값이고, 이는 사용자의 필요에 따라 변경 적용될 수 있다.
세션 정보 관리부(141)는 제1 출발지 IP, 제1 출발지 포트, 제1 목적지 IP, 및 제1 목적지 포트 전부가, 각각에 대응하는 제2 출발지 IP, 제2 출발지 포트, 제2 목적지 IP, 및 제2 목적지 포트와 동일한 경우, 세션 정보 내의 탐지 시간 정보(Timestamp 정보)를 업데이트할 수 있다.
이하에서, 세션 정보 관리부(141)의 동작에 대해 구체적으로 설명한다.
도 12는 도 11의 세션 정보 관리부에 포함된 VoLTE 세션 관리 모듈의 동작을 설명하기 위한 데이터 테이블이다. 도 13은 VoLTE 세션 관리 모듈의 동작을 설명하기 위한 블록도이다. 도 14는 VoLTE 세션 관리 모듈의 동작을 설명하기 위한 흐름도이다.
도 12 내지 도 14를 참조하면, 세션 정보 관리부(141)는 VoLTE 세션 관리 모듈(142)과 메시지 처리 모듈(144)을 포함하며, VoLTE 세션 관리 모듈(142)은 메시지 버퍼(143)를 포함한다.
VoLTE 세션 관리 모듈(142)은 메시지 버퍼(143)를 이용하여, 요청(Request) 메시지와 응답(Response) 메시지를 통해 단일 메시지(UM, 도 12 참조)를 완성한다.
즉, 요청(Request) 메시지 확인 시, VoLTE 세션 관리 모듈(142)은 Call ID 값을 키 값으로 하여 메시지 버퍼(143)에 메시지 행을 추가한다. 그리고, 응답(Response) 메시지 확인 시, 메시지 버퍼(143)에 저장된 메시지 중에서 동일한 키 값(즉, 동일한 Call ID 값)을 갖는 메시지가 있는지를 확인한다.
응답(Response) 메시지의 키 값이 요청(Request) 메시지의 키 값과 동일한 경우, 대응되는 응답(Response) 메시지의 필드 내용을 상기 메시지 행에 추가하여 단일 메시지(UM)를 완성한다(도 12를 참조하면, Method, Is_Inbound, To, 발신 UE 포트, 발신 UE RTP IP, 발신 UE RTP 포트, 단말 정보, 위치 정보 필드에 포함되는 데이터는 요청(Request) 메시지로부터 추가되고, 수신 UE IP와 수신 UE RTP 포트 필드에 포함되는 데이터는 응답(Response) 메시지로부터 추가된 내용이다).
완성된 단일 메시지(UM)는 메시지 처리 모듈(144)로 전송되며, 전송 후 단일 메시지(UM)는 메시지 버퍼(143)에서 삭제된다. 메시지 처리 모듈(144)은 단일 메시지(UM)를 통해 세션 정보 저장부(140)에 저장되는 사용자 정보 테이블을 관리한다. 즉, 세션 정보 저장부(140) 내의 제1 및 제2 사용자 정보 테이블(Regi Table, Call ID Table)을 생성, 갱신, 또는 삭제한다.
도 12를 참조하면, 메시지 처리 모듈(144)은 단일 메시지(UM)를 수신하고, 단일 메시지(UM)에 포함된 메시지 타입(Msg Type) 정보를 확인한다. 여기에서, 메시지 타입(Msg Type)은 Method 필드 값에 포함된 값에 따라 달라진다.
도 14를 참조하면, VoLTE 세션 관리 모듈(142)의 동작에 대해 나타나 있다. VoLTE 세션 관리 모듈(142)은 SIP 패킷을 전송받고, 상기 SIP 패킷이 요청(Request) 메시지 또는 응답(Response) 메시지를 포함하는지 분류하여, 요청(Request) 메시지를 포함하는 경우에 메시지 버퍼(143)에 등록하여 단일 메시지(UM) 완성을 위한 메시지 행을 추가하고, 메시지 버퍼(143)에서 Timestamp 값을 확인하여 60초가 경과된 사용자 정보 테이블이 있는지 확인하여, 이러한 사용자 정보 테이블이 존재한다면 해당 사용자 정보 테이블을 삭제한다.
그리고, 응답(Response) 메시지를 포함하는 경우에, 메시지 버퍼(143)에 동일 키 값을 갖는 메시지 행이 존재하는지 확인하고, 메시지 버퍼(143)에 동일 키 값을 갖는 메시지 행이 존재하는 경우에 메시지 버퍼(143)에 해당 메시지의 필드 값에 사용자 정보를 추가하여 단일 메시지(UM)를 완성하고, 단일 메시지(UM)를 메시지 처리 모듈(144)로 전송 후 메시지 버퍼(143)에서 삭제한다.
만약에, 메시지 버퍼(143)에 동일 키 값을 갖는 필드가 존재하지 않는다면, 메시지 버퍼(143)에서 Timestamp 값을 확인하여 60초가 경과된 사용자 정보 테이블이 있는지 확인하여, 이러한 사용자 정보 테이블이 존재한다면 해당 사용자 정보 테이블을 삭제한다.
도 15는 도 13의 메시지 처리 모듈의 동작을 설명하기 위한 흐름도이다.
도 15를 참조하면, 메시지 처리 모듈(144)은 단일 메시지(UM)를 수신하여, Method 필드 값에 포함된 메시지 타입(Msg Type) 정보를 확인한다. 예를 들어, 단일 메시지(UM)의 Method 필드 값에 포함된 값이 0인 경우에 REGISTER 타입으로 정의하고, 단일 메시지(UM)의 Method 필드 값에 포함된 값이 1인 경우에 INVITE 타입으로 정의하고, 단일 메시지(UM)의 Method 필드 값에 포함된 값이 2인 경우에 BYE 타입으로 정의하고, 단일 메시지(UM)의 Method 필드 값에 포함된 값이 3인 경우에 UPDATE 타입으로 정의할 수 있다.
메시지 타입(Msg Type) 정보가 REGISTER 타입인 경우에, 단일 메시지(UM)에 포함된 MSISDN 값이 제1 사용자 정보 테이블(Regi Table)에 존재하는지 확인하고, 제1 사용자 정보 테이블(Regi Table)에 상기 MSISDN 값이 존재하는 경우에, 기존의 사용자 정보 테이블을 삭제하고, 새로운 사용자 정보 테이블을 생성한다. 만약에, 제1 사용자 정보 테이블(Regi Table)에 상기 MSISDN 값이 존재하지 않는 경우에는 기존의 사용자 정보 테이블을 비삭제하고, 새로운 사용자 정보 테이블을 생성한다.
또한, 메시지 타입(Msg Type) 정보가 INVITE 타입인 경우에, 단일 메시지(UM)에 포함된 Call ID 값이 제2 사용자 정보 테이블(Call ID Table)에 존재하는지 확인하고, 제2 사용자 정보 테이블(Call ID Table)에 상기 Call ID 값이 존재하는 경우에, 기존의 사용자 정보 테이블을 삭제하고, 새로운 사용자 정보 테이블을 생성한다. 만약에, 제2 사용자 정보 테이블(Call ID Table)에 상기 Call ID 값이 존재하지 않는 경우에는 기존의 사용자 정보 테이블을 비삭제하고, 새로운 사용자 정보 테이블을 생성한다.
또한, 메시지 타입(Msg Type) 정보가 BYE 타입인 경우에, 단일 메시지(UM)에 포함된 Call ID 값이 제2 사용자 정보 테이블(Call ID Table)에 존재하는지 확인하고, 제2 사용자 정보 테이블(Call ID Table)에 상기 Call ID 값이 존재하는 경우에, 제2 사용자 정보 테이블(Call ID Table)을 삭제한다.
또한, 메시지 타입(Msg Type) 정보가 UPDATE 타입인 경우에, 단일 메시지(UM)에 포함된 Call ID 값이 제2 사용자 정보 테이블(Call ID Table)에 존재하는지 확인하고, 제2 사용자 정보 테이블(Call ID Table)에 상기 Call ID 값이 존재하는 경우에, 해당 사용자 정보를 갱신한다.
도 16은 사용자 정보 테이블 생성을 위해 완성된 단일 메시지의 예시이다. 도 17은 메시지 처리 모듈의 사용자 정보 테이블 생성 동작을 설명하기 위한 흐름도이다. 도 18은 생성된 사용자 정보 테이블의 예시이다.
도 16 내지 도 18을 참조하면, 메시지 처리 모듈(144)이 REGISTER 타입의 단일 메시지(UM)를 수신한 경우에, 단일 메시지(UM)에 포함된 MSISDN 값이 제1 사용자 정보 테이블(Regi Table)에 존재하는지 확인하고, 단일 메시지(UM)에 포함된 MSISDN 값이 제1 사용자 정보 테이블(Regi Table)에 존재하는 경우에, 기존의 사용자 정보 테이블을 삭제하고, 새로운 사용자 정보 테이블(도 18의 Regi Table)을 생성한다. 만약에, 제1 사용자 정보 테이블(Regi Table)에 상기 MSISDN 값이 존재하지 않는 경우에는 기존의 사용자 정보 테이블을 비삭제하고, 새로운 사용자 정보 테이블(도 18의 Regi Table)을 생성한다.
도 19는 RTP 테이블 생성을 위해 완성된 단일 메시지의 예시이다. 도 20은 메시지 처리 모듈의 RTP 테이블 생성 동작을 설명하기 위한 흐름도이다. 도 21은 도 11의 세션 정보 저장부에 저장된 RTP 터널링 탐지 세션 정보를 설명하기 위한 테이블이다.
도 19 및 도 20을 참조하면, 메시지 처리 모듈(144)에서 수신한 INVITE 타입의 단일 메시지(UM)에서, 발신 UE 포트 필드 값이 5060(즉, SIP 포트)이 아닌 경우 RTP 터널링 패킷 탐지를 위한 세션 정보를 생성한다.
만약, 발신 UE 포트 필드 값이 5060인 경우, 단일 메시지(UM)에 포함된 Call ID 값이 제2 사용자 정보 테이블(Call ID Table)에 존재하는지 확인하고, 제2 사용자 정보 테이블(Call ID Table)에 상기 Call ID 값이 존재하는 경우에, 기존의 사용자 정보 테이블을 삭제하고, 새로운 Call ID 테이블을 생성하고, Call ID 테이블의 발신 UE IP 및 발신 UE RTP 포트 필드 값을 키 값으로 하여 새로운 RTP 테이블을 생성한다.
만약에, 제2 사용자 정보 테이블(Call ID Table)에 상기 Call ID 값이 존재하지 않는 경우에는 기존의 사용자 정보 테이블을 비삭제하고, 새로운 Call ID 테이블을 생성하고, Call ID 테이블의 발신 UE IP 및 발신 UE RTP 포트 필드 값을 키 값으로 하여 새로운 RTP 테이블을 생성한다.
도 21을 참조하면, 세션 정보는 제2 출발지 IP, 제2 출발지 포트, 제2 목적지 IP, 제2 목적지 포트, 및 탐지 시간 정보(Timestamp 정보)를 포함한다. 탐지 시간 정보(Timestamp 정보)는 제2 출발지 IP, 제2 출발지 포트, 제2 목적지 IP, 및 제2 목적지 포트와 매핑되어 저장될 수 있다.
예를 들어, 제2 출발지 IP, 제2 출발지 포트, 제2 목적지 IP, 및 제2 목적지 포트가 세션 정보 내에 저장되고, 이에 대응하는 탐지 시간 정보(Timestamp 정보)도 세션 정보 내에 저장된다. 이 때, 패킷 정보 추출부(120)에서 추출한 패킷 정보인 제1 출발지 IP, 제1 출발지 포트, 제1 목적지 IP, 및 제1 목적지 포트가 제2 출발지 IP, 제2 출발지 포트, 제2 목적지 IP, 및 제2 목적지 포트와 동일한 경우, 세션 정보 내의 탐지 시간 정보(Timestamp 정보)의 필드 값은 새로운 탐지 시간 정보로 업데이트된다. 탐지 시간 정보(Timestamp 정보)의 필드 값이 미리 설정된 값을 초과하는 경우, 위에서 설명한 비정상 데이터 패킷으로 탐지될 수 있다.
예를 들어, 탐지 시간 정보(Timestamp 정보)가 5초를 초과하는 경우 비정상 데이터 패킷으로 탐지할 수 있으며, 탐지 시간 정보(Timestamp 정보)가 5초를 초과한다는 의미는, VoLTE 콜(call)을 시도한 후 다시 VoLTE 콜을 시도하기까지 5초가 넘는다는 의미로서, 공격자가 VoLTE 제어 메시지(예를 들어, SIP INVITE 메시지) 내에 삽입한 인터넷 네트워크용 데이터를 수신자측에서 추출하는데 소요되는 예상 시간이 5초를 초과한다는 의미이다. 이러한 경우를 RTP 터널링 패킷을 이용해 데이터 사용에 대한 과금을 회피하기 위해 시도한 것으로 간주하여 이를 탐지하고자 하는 것이 본 발명의 목적이다.
도 22는 Call ID 테이블 및 RTP 테이블의 필드 값을 삭제하기 위해 완성된 단일 메시지의 예시이다. 도 23은 메시지 처리 모듈의 Call ID 테이블 및 RTP 테이블의 필드 값 삭제 동작을 설명하기 위한 흐름도이다. 도 24는 필드 값이 삭제되는 Call ID 테이블 및 RTP 테이블의 예시이다.
도 22 내지 도 24를 참조하면, 메시지 처리 모듈(144)이 BYE 타입의 단일 메시지(UM)를 수신한 경우에, 단일 메시지(UM)에 포함된 Call ID 값이 제2 사용자 정보 테이블(Call ID Table)에 존재하는지 확인하고, 제2 사용자 정보 테이블(Call ID Table)에 상기 Call ID 값이 존재하는 경우에, 제2 사용자 정보 테이블(Call ID Table)을 삭제한다. 즉, Call ID 값을 이용하여 Call ID 테이블을 검색하고, Call ID 테이블의 정보를 이용하여 RTP 테이블을 검색하고, RTP 테이블의 해당 필드 값을 삭제하고, Call ID 테이블의 해당 필드 값을 삭제한다.
도 25는 Call ID 테이블의 필드 값을 갱신하기 위해 완성된 단일 메시지의 예시이다. 도 26은 메시지 처리 모듈의 Call ID 테이블의 필드 값 갱신 동작을 설명하기 위한 흐름도이다. 도 27은 필드 값이 갱신되는 Call ID 테이블의 예시이다.
도 25 내지 도 27을 참조하면, 메시지 처리 모듈(144)이 UPDATE 타입의 단일 메시지(UM)를 수신한 경우에, 단일 메시지(UM)에 포함된 Call ID 값이 제2 사용자 정보 테이블(Call ID Table)에 존재하는지 확인하고, 제2 사용자 정보 테이블(Call ID Table)에 상기 Call ID 값이 존재하는 경우에, 해당 사용자 정보를 갱신한다. 예시적으로, 도 25 및 도 26을 참조하면, Timestamp 필드 값 및 위치 정보 필드 값을 갱신하기 위한 메시지 처리 모듈(144)의 처리 동작이 나타나 있다. 제2 사용자 정보 테이블(Call ID Table)에 상기 Call ID 값이 존재하는 경우에, 제2 사용자 정보 테이블(Call ID Table)의 Timestamp 필드 값 및 위치 정보 필드 값을 갱신한다.
도 28은 RTP 터널링 패킷의 탐지 정보를 세부적으로 설명하기 위한 테이블이다.
도 28을 참조하면, 탐지 정보 저장부(150)는 비정상 데이터 패킷의 탐지 결과에 따라, 비정상 데이터 패킷의 탐지 정보(또는, 로그)를 생성 및 저장할 수 있다.
예를 들어, 비정상 데이터 패킷의 탐지 정보는 탐지 시간, 탐지 ID, 사용자 단말 식별 번호, 차단 여부 등의 필드를 포함할 수 있다. 이외에도, 비정상 데이터 패킷의 탐지 정보는 TEID, 탐지된 패킷의 출발지 IP, 탐지된 패킷의 목적지 IP, 탐지된 패킷의 출발지 포트, 탐지된 패킷의 목적지 포트, 탐지된 패킷의 To 정보, 패킷수 정보 등의 필드를 더 포함할 수도 있다.
다시 도 11을 참조하면, 패킷 처리부(160)는 비정상 데이터 패킷으로 탐지된 GTP-U 패킷을 탐지 정책에 따라 처리할 수 있다. 패킷 처리부(160)는 비정상 패킷으로 탐지된 GTP-U 패킷을 전송(forward)하거나 차단(drop)하도록 NIC(110b)를 제어할 수 있다. 여기서, GTP-U 패킷을 전송한다는 것은 GTP-U 패킷을 목적지 IP로 전송하는 것을 나타내고, GTP-U 패킷을 차단한다는 것은 GTP-U 패킷을 목적지 IP로 전송하지 않는 것을 나타낼 수 있다.
도 11의 RTP 터널링 패킷 탐지 장치(100)에서, NIC(110a, 110b), 패킷 정보 추출부(120), 세션 정보 분석부(130), 세션 정보 저장부(140), 세션 정보 관리부(141), 탐지 정보 저장부(150), 패킷 처리부(160)를 별도의 구성요소로 설명하였으나, 실시예에 따라, 몇몇 구성요소가 일체로 구성되도록 다양하게 변형될 수 있다.
도 29 및 도 30은 본 발명의 일 실시예에 따른 RTP 터널링 패킷 탐지 방법을 설명하기 위한 흐름도이다.
도 29를 참조하면, 본 발명의 일 실시예에 따른 RTP 터널링 패킷 탐지 방법에서는, 먼저, NIC(110a)에서 GTP-U 패킷을 수신하고, 패킷 정보 추출부(120)에서 패킷 가공 정보를 입력받는다(S201).
이어서, 패킷 정보 추출부(120)에서, GTP-U 패킷이 RTP 패킷을 포함하는지 판단한다(S202). 만약, GTP-U 패킷이 RTP 패킷을 포함하는 경우에 다음 단계를 진행한다.
GTP-U 패킷이 RTP 패킷을 포함하는 경우, 패킷 정보 추출부(120)는 GTP-U 패킷의 페이로드로부터 제1 출발지 IP, 제1 출발지 포트, 제1 목적지 IP, 및 제1 목적지 포트를 추출한다(S203).
이어서, 패킷 정보 추출부(120)에서 추출한 제1 출발지 IP, 제1 출발지 포트, 제1 목적지 IP, 및 제1 목적지 포트에 대응하는 제2 출발지 IP, 제2 출발지 포트, 제2 목적지 IP, 및 제2 목적지 포트에 관한 정보가 RTP 터널링 패킷 탐지 세션 정보에 포함되어 있는지 판단한다(S204).
이어서, 세션 정보 관리부(141)는 세션 정보 내에 제1 출발지 IP, 제1 출발지 포트, 제1 목적지 IP, 및 제1 목적지 포트에 대응하는 제2 출발지 IP, 제2 출발지 포트, 제2 목적지 IP, 및 제2 목적지 포트에 관한 정보가 전부 동일하게 존재한다면, 세션 정보 내의 탐지 시간 정보(Timestamp 정보)를 업데이트한다(S205).
도 30을 참조하면, VoLTE 세션 관리 모듈에서 세션 정보를 관리하고 비정상 데이터 패킷에 대한 탐지 절차를 수행하는 방법에 대해 나타나 있다.
비정상 데이터 패킷에 대한 탐지 절차는, 우선, 모니터링 타이머 동작을 설정하고(S211), 타이머 설정 시간이 경과하였는지 판단한다(S212).
타이머 설정 시간이 경과한 경우, 세션 정보 내의 탐지 시간 정보(Timestamp 정보)의 필드 값을 확인하고(S213), 탐지 시간 정보(Timestamp 정보)의 필드 값이 5초를 경과하는지 판단한다(S214).
탐지 시간 정보(Timestamp 정보)의 필드 값이 5초를 경과한 경우, RTP 터널링 패킷 탐지 정보를 생성하고 이를 탐지 정보 저장부(150)로 전달한다(S215).
이어서, 해당 세션 정보를 삭제하고(S216), 타이머를 리셋한다(S217).
도 31은 본 발명의 다른 실시예에 따른 RTP 터널링 패킷 탐지 장치를 설명하기 위한 블록도이다. 설명의 편의를 위하여, 본 발명의 일 실시예에 따른 RTP 터널링 패킷 탐지 장치를 설명한 것과 실질적으로 동일한 부분의 설명은 생략하기로 한다.
도 31을 참조하면, 본 발명의 다른 실시예에 따른 RTP 터널링 패킷 탐지 장치(300)는 NIC(310a, 310b), 패킷 분류부(320), GTP-C 패킷 정보 추출부(330), 세션 정보 생성부(340), 세션 정보 저장부(350), 세션 정보 관리부(351), GTP-U 패킷 정보 추출부(360), 세션 정보 분석부(370), 탐지 정보 저장부(380), 패킷 처리부(390)를 포함한다.
NIC(310a)는 GTP 패킷을 수신하여 패킷 분류부(320)에 전송하고, NIC(310b)는 패킷 처리부(390)의 제어 신호에 따라 GTP 패킷을 전송(forward)하거나 차단(drop)할 수 있다.
패킷 분류부(320)는 GTP 패킷을 분류할 수 있다. 패킷 분류부(320)는 GTP 패킷을 GTP-C 패킷과 GTP-U 패킷으로 분류할 수 있다. 패킷 분류부(320)는 분류 결과에 따라 GTP-C 패킷은 GTP-C 패킷 정보 추출부(330)에 전송하고, GTP-U 패킷은 GTP-U 패킷 정보 추출부(360)에 전송할 수 있다.
GTP-C 패킷 정보 추출부(330)는 GTP-C 패킷으로부터 각종 패킷 정보를 추출할 수 있다. 예를 들어, GTP-C 패킷은 세션 생성 요청(Create Session Request) 메시지 및 세션 생성 응답(Create Session Response) 메시지일 수 있다. GTP-C 패킷 정보 추출부(330)는 세션 생성 요청 메시지로부터 MSISDN을 추출하고, 세션 생성 응답 메시지로부터 TEID를 추출할 수 있다.
세션 정보 생성부(340)는 제2 출발지 IP, 제2 출발지 포트, 제2 목적지 IP, 제2 목적지 포트, 및 탐지 시간 정보(Timestamp 정보)를 포함하는 세션 정보를 생성할 수 있다. 특히, 세션 정보 생성부(340)는 메시지 정보 추출부를 더 포함할 수 있고, 상기 메시지 정보 추출부에서 추출한 VoLTE 세션 수립을 위한 제어 메시지 내에서 제2 출발지 IP, 제2 출발지 포트, 제2 목적지 IP, 및 제2 목적지 포트를 추출하여 세션 정보를 생성할 수 있다. 세션 정보 생성부(340)는 생성된 세션 정보를 세션 정보 저장부(350)에 저장할 수 있다.
세션 정보 관리부(351)는 제1 출발지 IP, 제1 출발지 포트, 제1 목적지 IP, 및 제1 목적지 포트 전부가, 각각에 대응하는 제2 출발지 IP, 제2 출발지 포트, 제2 목적지 IP, 및 제2 목적지 포트와 동일한 경우, 세션 정보 저장부(350)에 저장된 세션 정보 내의 탐지 시간 정보(Timestamp 정보)를 업데이트할 수 있다.
패킷 처리부(390)는 GTP 패킷을 전송하도록 NIC(310b)를 제어할 수 있다.
도 32는 본 발명의 일 실시예에 따른 RTP 터널링 패킷 탐지 시스템을 설명하기 위한 블록도이다. 설명의 편의를 위하여, 본 발명의 몇몇 실시예에 따른 RTP 터널링 패킷 탐지 장치를 설명한 것과 실질적으로 동일한 부분의 설명은 생략하기로 한다.
도 32를 참조하면, 본 발명의 일 실시예에 따른 RTP 터널링 패킷 탐지 시스템(400)은 세션 정보 수집 장치(410)와 RTP 터널링 패킷 탐지 장치(420)를 포함한다.
세션 정보 수집 장치(410)는 NIC(411a, 411b), GTP-C 패킷 정보 추출부(412), 세션 정보 생성부(413)를 포함하여 구성되고, GTP-C 패킷과 VoLTE 세션 수립을 위한 제어 메시지로부터 세션 정보를 추출하여 생성할 수 있다.
RTP 터널링 패킷 탐지 장치(420)는 NIC(421a, 421b), GTP-U 패킷 정보 추출부(422), 세션 정보 분석부(423), 세션 정보 저장부(424), 탐지 정보 저장부(425), 패킷 처리부(426), 세션 정보 관리부(427)를 포함하여 구성되고, 세션 정보를 이용하여 RTP 터널링 패킷을 탐지할 수 있다.
도 32의 RTP 터널링 패킷 탐지 시스템(400)은 GTP-U 패킷으로부터 제1 출발지 IP, 제1 출발지 포트, 제1 목적지 IP, 제1 목적지 포트를 추출하고, 세션 정보와의 비교 결과에 따라 비정상 데이터 패킷을 탐지하는 구성요소와, GTP-C 패킷과 VoLTE 세션 수립을 위한 제어 메시지로부터 제2 출발지 IP, 제2 출발지 포트, 제2 목적지 IP, 제2 목적지 포트를 추출하여 이를 포함하는 세션 정보를 생성하는 구성요소가 물리적으로 분리된 경우를 도시한 것이다.
세션 정보 저장부(424)는 세션 정보 수집 장치(410)로부터 수신한 세션 정보를 저장할 수 있다.
본 발명의 실시예들과 관련하여 설명된 방법 또는 알고리즘의 단계는, 프로세서에 의해 실행되는 하드웨어 모듈, 소프트웨어 모듈, 또는 그 2 개의 결합으로 직접 구현될 수 있다. 소프트웨어 모듈은 RAM 메모리, 플래시 메모리, ROM 메모리, EPROM 메모리, EEPROM 메모리, 레지스터, 하드 디스크, 착탈형 디스크, CD-ROM, 또는 본 발명의 기술 분야에서 잘 알려진 임의의 형태의 컴퓨터로 읽을 수 있는 기록 매체에 상주할 수도 있다. 예시적인 기록 매체는 프로세서에 연결되며, 그 프로세서는 기록 매체로부터 정보를 독출할 수 있고 기록 매체에 정보를 기입할 수 있다. 다른 방법으로, 기록 매체는 프로세서와 일체형일 수도 있다. 프로세서 및 기록 매체는 주문형 집적회로(ASIC) 내에 상주할 수도 있다. ASIC는 사용자 단말기 내에 상주할 수도 있다. 다른 방법으로, 프로세서 및 기록 매체는 사용자 단말기 내에 개별 구성요소로서 상주할 수도 있다.
이상 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.
100: RTP 터널링 패킷 탐지 장치
110a, 110b: NIC
120: 패킷 정보 추출부
130: 세션 정보 분석부
140: 세션 정보 저장부
141: 세션 정보 관리부
150: 탐지 정보 저장부
160; 패킷 처리부

Claims (19)

  1. GTP(GPRS Tunneling Protocol)-U 패킷이 RTP(Real-time Trans포트Protocol) 패킷을 포함하는 경우, 상기 GTP-U 패킷으로부터 제1 출발지 IP, 제1 출발지 포트, 제1 목적지 IP, 및 제1 목적지 포트를 추출하는 패킷 정보 추출부;
    제2 출발지 IP, 제2 출발지 포트, 제2 목적지 IP, 제2 목적지 포트, 및 탐지 시간 정보를 포함하는 세션 정보를 저장하는 세션 정보 저장부;
    상기 제1 출발지 IP, 상기 제1 출발지 포트, 상기 제1 목적지 IP, 및 상기 제1 목적지 포트 전부가, 각각에 대응하는 상기 제2 출발지 IP, 상기 제2 출발지 포트, 상기 제2 목적지 IP, 및 상기 제2 목적지 포트와 동일한 경우, 상기 세션 정보 내의 상기 탐지 시간 정보를 업데이트하는 세션 정보 관리부;
    상기 세션 정보 내의 상기 탐지 시간 정보를 이용하여 비정상 데이터 패킷을 탐지하는 세션 정보 분석부; 및
    상기 세션 정보 분석부의 탐지 결과에 따라 상기 비정상 데이터 패킷을 처리하는 패킷 처리부를 포함하는, 4G 모바일 네트워크에서의 RTP 터널링 패킷 탐지 장치에 있어서,
    상기 세션 정보 분석부는,
    상기 탐지 시간 정보에 포함된 값이 5초를 초과하는 경우, 상기 비정상 데이터 패킷에 대한 탐지 정보를 생성하며,
    상기 5초는,
    공격자가 RTP 터널링 패킷을 이용해 데이터 사용에 대한 과금을 회피하기 위해 시도한 것으로 간주되는 시간인,
    4G 모바일 네트워크에서의 RTP 터널링 패킷 탐지 장치.
  2. 제 1항에 있어서,
    상기 세션 정보 저장부는, 상기 GTP-U 패킷이 SIP INVITE 메시지를 포함하고, 상기 GTP-U 패킷의 목적지 포트가 SIP 포트가 아닌 경우, 상기 세션 정보를 생성하여 저장하는, 4G 모바일 네트워크에서의 RTP 터널링 패킷 탐지 장치.
  3. 삭제
  4. 제 1항에 있어서,
    상기 탐지 정보를 저장하는 탐지 정보 저장부를 더 포함하는, 4G 모바일 네트워크에서의 RTP 터널링 패킷 탐지 장치.
  5. 제 4항에 있어서,
    상기 탐지 정보는 탐지 시간, 탐지 ID, 사용자 단말 식별 번호, 차단 여부, 목적지 IP(Internet Protocol), 목적지 포트, 출발지 IP, 출발지 포트, 및 패킷수 정보를 포함하는, 4G 모바일 네트워크에서의 RTP 터널링 패킷 탐지 장치.
  6. 제 1항에 있어서,
    상기 패킷 정보 추출부는, 상기 GTP-U 패킷의 헤더로부터 상기 제1 출발지 IP, 상기 제1 출발지 포트, 상기 제1 목적지 IP, 및 상기 제1 목적지 포트를 추출하는, 4G 모바일 네트워크에서의 RTP 터널링 패킷 탐지 장치.
  7. 세션 정보를 이용하여 비정상 데이터 패킷을 탐지하는 RTP 터널링 패킷 탐지 장치; 및
    VoLTE 제어 메시지로부터 패킷 정보를 추출하여 상기 세션 정보를 생성하는 세션 정보 수집 장치를 포함하되,
    상기 세션 정보 수집 장치는,
    상기 VoLTE 제어 메시지로부터 제1 출발지 IP, 제1 출발지 포트, 제1 목적지 IP, 및 제1 목적지 포트를 추출하는 메시지 정보 추출부와,
    상기 제1 출발지 IP, 상기 제1 출발지 포트, 상기 제1 목적지 IP, 상기 제1 목적지 포트, 및 탐지 시간 정보를 포함하는 상기 세션 정보를 생성하는 세션 정보 생성부를 포함하고,
    상기 RTP 터널링 패킷 탐지 장치는,
    제1 GTP-U 패킷이 RTP 패킷을 포함하는 경우, 상기 제1 GTP-U 패킷으로부터 제2 출발지 IP, 제2 출발지 포트, 제2 목적지 IP, 및 제2 목적지 포트를 추출하는 패킷 정보 추출부와,
    상기 제2 출발지 IP, 상기 제2 출발지 포트, 상기 제2 목적지 IP, 및 상기 제2 목적지 포트 전부가, 각각에 대응하는 상기 제1 출발지 IP, 상기 제1 출발지 포트, 상기 제1 목적지 IP, 및 상기 제1 목적지 포트와 동일한 경우, 상기 세션 정보 내의 상기 탐지 시간 정보를 업데이트하는 세션 정보 관리부와,
    상기 세션 정보 내의 상기 탐지 시간 정보를 이용하여 비정상 데이터 패킷을 탐지하는 세션 정보 분석부와,
    상기 세션 정보 분석부의 탐지 결과에 따라 상기 비정상 데이터 패킷을 처리하는 패킷 처리부를 포함하는, 4G 모바일 네트워크에서의 RTP 터널링 패킷 탐지 시스템에 있어서,
    상기 세션 정보 분석부는,
    상기 탐지 시간 정보에 포함된 값이 5초를 초과하는 경우, 상기 비정상 데이터 패킷에 대한 탐지 정보를 생성하며,
    상기 5초는,
    공격자가 RTP 터널링 패킷을 이용해 데이터 사용에 대한 과금을 회피하기 위해 시도한 것으로 간주되는 시간인,
    4G 모바일 네트워크에서의 RTP 터널링 패킷 탐지 시스템.
  8. 제 7항에 있어서,
    상기 세션 정보 생성부는, 제2 GTP-U 패킷이 SIP INVITE 메시지를 포함하고, 상기 제2 GTP-U 패킷의 목적지 포트가 SIP 포트가 아닌 경우, 상기 세션 정보를 생성하는, 4G 모바일 네트워크에서의 RTP 터널링 패킷 탐지 시스템.
  9. 삭제
  10. 제 7항에 있어서,
    상기 탐지 정보를 저장하는 탐지 정보 저장부를 더 포함하는, 4G 모바일 네트워크에서의 RTP 터널링 패킷 탐지 시스템.
  11. 제 7항에 있어서,
    상기 패킷 정보 추출부는, 상기 제1 GTP-U 패킷의 헤더로부터 상기 제2 출발지 IP, 상기 제2 출발지 포트, 상기 제2 목적지 IP, 및 상기 제2 목적지 포트를 추출하는, 4G 모바일 네트워크에서의 RTP 터널링 패킷 탐지 시스템.
  12. 제 7항에 있어서,
    상기 VoLTE 제어 메시지는 SIP INVITE 메시지를 포함하는, 4G 모바일 네트워크에서의 RTP 터널링 패킷 탐지 시스템.
  13. 제 8항에 있어서,
    상기 제1 및 제2 GTP-U 패킷은 eNodeB와 S-GW간 생성되는 S1-U 터널을 통해 전송되는, 4G 모바일 네트워크에서의 RTP 터널링 패킷 탐지 시스템.
  14. SIP INVITE 메시지를 수신하고, 상기 SIP INVITE 메시지의 목적지 포트가 SIP 포트인지 판단하는 단계;
    상기 SIP INVITE 메시지의 목적지 포트가 SIP 포트가 아닌 경우, 상기 SIP INVITE 메시지로부터 제1 출발지 IP, 제1 출발지 포트, 제1 목적지 IP, 및 제1 목적지 포트를 추출하는 단계;
    상기 제1 출발지 IP, 상기 제1 출발지 포트, 상기 제1 목적지 IP, 상기 제1 목적지 포트, 및 탐지 시간 정보를 포함하는 세션 정보를 생성하는 단계;
    GTP-U 패킷이 RTP 패킷을 포함하는 경우, 상기 GTP-U 패킷으로부터 제2 출발지 IP, 제2 출발지 포트, 제2 목적지 IP, 및 제2 목적지 포트를 추출하는 단계;
    상기 제2 출발지 IP, 상기 제2 출발지 포트, 상기 제2 목적지 IP, 및 상기 제2 목적지 포트 전부가 상기 세션 정보 내의 상기 제1 출발지 IP, 상기 제1 출발지 포트, 상기 제1 목적지 IP, 및 상기 제1 목적지 포트와 동일한지 판단하는 단계;
    상기 제2 출발지 IP, 상기 제2 출발지 포트, 상기 제2 목적지 IP, 및 상기 제2 목적지 포트 전부가 상기 제1 출발지 IP, 상기 제1 출발지 포트, 상기 제1 목적지 IP, 및 상기 제1 목적지 포트와 동일한 경우, 상기 탐지 시간 정보를 업데이트하는 단계; 및
    상기 탐지 시간 정보를 확인하여 비정상 데이터 패킷을 탐지하는 단계를 포함하는, 4G 모바일 네트워크에서의 RTP 터널링 패킷 탐지 방법에 있어서,
    상기 비정상 데이터 패킷을 탐지하는 단계는,
    상기 탐지 시간 정보에 포함된 값이 5초를 초과하는 경우, 상기 비정상 데이터 패킷으로 탐지하며,
    상기 5초는,
    공격자가 RTP 터널링 패킷을 이용해 데이터 사용에 대한 과금을 회피하기 위해 시도한 것으로 간주되는 시간인,
    4G 모바일 네트워크에서의 RTP 터널링 패킷 탐지 방법.
  15. 삭제
  16. 제 14항에 있어서,
    상기 비정상 데이터 패킷에 대한 탐지 정보를 생성하고 저장하는 단계를 더 포함하는, 4G 모바일 네트워크에서의 RTP 터널링 패킷 탐지 방법.
  17. 제 16항에 있어서,
    상기 탐지 정보를 생성한 후, 상기 세션 정보를 삭제하는 단계를 더 포함하는, 4G 모바일 네트워크에서의 RTP 터널링 패킷 탐지 방법.
  18. 제 14항에 있어서,
    탐지 정책에 따라 상기 비정상 데이터 패킷을 처리하는 단계를 더 포함하는, 4G 모바일 네트워크에서의 RTP 터널링 패킷 탐지 방법.
  19. 제 14항에 있어서,
    상기 제2 출발지 IP, 상기 제2 출발지 포트, 상기 제2 목적지 IP, 및 상기 제2 목적지 포트는 상기 GTP-U 패킷의 헤더로부터 추출되는, 4G 모바일 네트워크에서의 RTP 터널링 패킷 탐지 방법.
KR1020150187502A 2015-12-28 2015-12-28 4g 모바일 네트워크에서의 rtp 터널링 패킷 탐지 장치, 시스템 및 방법 KR101785680B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150187502A KR101785680B1 (ko) 2015-12-28 2015-12-28 4g 모바일 네트워크에서의 rtp 터널링 패킷 탐지 장치, 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150187502A KR101785680B1 (ko) 2015-12-28 2015-12-28 4g 모바일 네트워크에서의 rtp 터널링 패킷 탐지 장치, 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20170077539A KR20170077539A (ko) 2017-07-06
KR101785680B1 true KR101785680B1 (ko) 2017-10-16

Family

ID=59354175

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150187502A KR101785680B1 (ko) 2015-12-28 2015-12-28 4g 모바일 네트워크에서의 rtp 터널링 패킷 탐지 장치, 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR101785680B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102170743B1 (ko) * 2019-12-26 2020-10-27 국방과학연구소 비지도 학습 기법을 이용한 네트워크 정상상태 모델링 방법 및 장치

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101534160B1 (ko) * 2015-01-16 2015-07-24 한국인터넷진흥원 4G 모바일 네트워크에서의 VoLTE 세션 관리 장치 및 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101534160B1 (ko) * 2015-01-16 2015-07-24 한국인터넷진흥원 4G 모바일 네트워크에서의 VoLTE 세션 관리 장치 및 방법

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
논문(Jonghwan Hyun, A VoLTE Traffic Classification Method in LTE Network, Network Operations and Management Symposium (APNOMS),17-19 Sept. 2014)*

Also Published As

Publication number Publication date
KR20170077539A (ko) 2017-07-06

Similar Documents

Publication Publication Date Title
US8165574B2 (en) Method and apparatus for providing circuit switched domain services over a packet switched network
KR101211742B1 (ko) 통신 시스템, 모바일 프로토콜 패킷 관리 방법 및 서빙 게이트웨이
US11297061B2 (en) Methods and nodes for handling overload
KR101414231B1 (ko) 비정상 호 탐지 장치 및 방법
US10320851B2 (en) Methods and devices for detecting and correlating data packet flows in a lawful interception system
KR101228089B1 (ko) Ip 스푸핑 탐지 장치
KR101388627B1 (ko) 4g 이동통신망에서의 비정상 트래픽 차단 장치
KR101538309B1 (ko) 4G 모바일 네트워크에서의 비정상 VoLTE 등록 메시지 탐지 장치, 시스템 및 방법
CN111278080A (zh) 在5g网络中路由移动数据业务的方法和系统
US10341906B2 (en) System and method for circuit switched fallback in IMS centralized services
KR101388628B1 (ko) 4g 이동통신망에서의 비정상 트래픽 차단 방법
CN107548077B (zh) 一种位置信息获取方法、设备及系统
CN106162733B (zh) 一种异常流量抑制方法及装置
KR101785680B1 (ko) 4g 모바일 네트워크에서의 rtp 터널링 패킷 탐지 장치, 시스템 및 방법
US8036111B2 (en) Connection set-up in a communication system
KR20150066239A (ko) 4g 모바일 네트워크에서의 비정상 sdp 메시지 탐지 장치 및 방법
KR101711074B1 (ko) 4g 모바일 네트워크에서의 sip 터널링 패킷 탐지 장치, 시스템 및 방법
US20160080429A1 (en) Routing of Sessions to Other Communication Networks
KR101534160B1 (ko) 4G 모바일 네트워크에서의 VoLTE 세션 관리 장치 및 방법
KR101499022B1 (ko) 4g 모바일 네트워크에서의 비정상 mms 메시지 탐지 장치 및 방법
KR101534161B1 (ko) 4g 모바일 네트워크에서의 사용자 세션 관리 장치 및 방법
KR20140091900A (ko) 네트워크 품질 분석 장치 및 방법
CN109428870B (zh) 基于物联网的网络攻击处理方法、装置及系统
CN108540428B (zh) 业务处理方法、设备及系统
KR101541119B1 (ko) 4G 모바일 네트워크에서의 비정상 VoLTE 등록해제 메시지 탐지 장치, 시스템 및 방법

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
FPAY Annual fee payment

Payment date: 20200213

Year of fee payment: 4