KR102274589B1 - 국제전화 이상트래픽 피해 방지를 위한 시스템 및 방법 - Google Patents
국제전화 이상트래픽 피해 방지를 위한 시스템 및 방법 Download PDFInfo
- Publication number
- KR102274589B1 KR102274589B1 KR1020140140898A KR20140140898A KR102274589B1 KR 102274589 B1 KR102274589 B1 KR 102274589B1 KR 1020140140898 A KR1020140140898 A KR 1020140140898A KR 20140140898 A KR20140140898 A KR 20140140898A KR 102274589 B1 KR102274589 B1 KR 102274589B1
- Authority
- KR
- South Korea
- Prior art keywords
- abnormal traffic
- packet
- switch
- flow
- flow control
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Telephonic Communication Services (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명의 일 실시예에 의한 국제전화 이상트래픽 피해방지를 위한 방법은, 불필요한 패킷 처리에 따른 컨트롤러와 이상 트래픽 피해방지 시스템의 부하 발생을 줄이기 위해 SIP 프로토콜을 위한 기본적인 필터링 정책을 수행할 플로우 엔트리를 스위치에 설정하는 단계; 스위치로 유입되는 패킷은 스위치에 설정된 플로우 엔트리 존재 여부를 확인하고, 플로우 엔트리의 매칭 조건이 만족되는 플로우가 발생시 정해진 액션(Actions)에 따라 패킷을 처리하여, 국제호 이상 트래픽 피해방지 시스템으로 전달하는 단계; 매칭 조건(matching field)에 만족하는 트래픽이 발생시 해당 플로우는 국제전화 이상트래픽 피해방지 시스템으로 전달되며, 해당 시스템은 패킷 처리를 위해 SIP 프로토콜인지 여부를 우선 판단하는 단계; 필터링된 SIP 패킷중 국제전화 이상트래픽 여부를 탐지하고, 만약 이상 트래픽이 존재하면 발생된 이상트래픽이 블랙리스트에 존재하는지를 확인하며, 블랙리스트에 존재하는 이상 트래픽이 발생하였다면, 기존에도 발생된 이상 트래픽임을 감안하여 플로우 엔트리의 idle_timeout을 미 설정하는 단계; 및 상기 블랙리스트에 존재하지 않는 경우에는, 해당 이상 트래픽의 발생이 처음임을 감안하여 이상트래픽의 플로우 엔트리에 idle_timeout을 설정하는 단계를 포함할 수 있다.
Description
본 발명은 국제전화 이상트래픽 피해 방지를 위한 시스템 및 방법에 관한 것으로서, 더욱 자세하게는 소프트웨어 정의 네트워크(SDN, Software Defined Network)에서 인터넷전화(VoIP, Voice over Intenet Protocol)에 사용되는 SIP(Session Initiation Protocol) 프로토콜 패킷 탐지 및 국제전화의 이상트래픽 발생시 패킷 처리 방법에 관한 것이다.
최근 들어, 스위치의 트래픽 포워딩 기능과 스위치의 제어 기능을 분리하여 통신 시스템을 효율적으로 운용하는 기술에 대한 표준화가 ONF(Open Networking Foundation), IETF(Internet Engineering Task Force), ETSI ISG NFV(Network Function Virtualization) 및 ITU-T(International Telecommunications Union Telecommunication) 등을 중심으로 진행되고 있다.
특히, 소프트웨어 정의 네트워크(SDN, Software Defined Network)은 라우터나 스위치 등의 기본 네트워크 장비에 관계없이 사용자가 통제 권한을 가지며, 별도의 소프트웨어 컨트롤러가 트래픽 흐름을 제어하는 사용자 중심의 네트워크를 의미한다.
소프트웨어 정의 네트워크의 기술 중의 하나인 오픈플로우(Openflow)는 네트워크에서 오픈플로우 컨트롤러(Openflow controller)가 오픈플로우 스위치(Openflow switch)의 플로우 테이블(flow table)을 생성/변경/삭제 하는 등의 절차에 의해 스위치의 동작을 제어한다. 즉, 네트워크를 통해 데이터 패킷을 어떻게 전달 할 것이지 제어하기 위한 기능(Control Plane)을 물리적 네트워크와 분리하여 데이터 전달 기능(Data Plane)과 상호작용 하기 위한 프로토콜이다.
여기서, 플로우 테이블은 미리 결정된 매칭 조건(matching field)에 부합하는 패킷에 대한 처리 동작(액션,action)을 정의한 플로우 엔트리(flow entry)가 등록된 테이블이다. 플로우 엔트리의 액션은, 통상적으로 미리 설정된 내역에 따라 패킷을 처리하는 처리 동작으로, 패킷을 설정지역으로 전달(라우팅)할 뿐만 아니라 파기(drop)등 다양한 설정이 지정될 수 있다.
또한, 최근 초고속 인터넷의 보급 확산으로 인터넷전화 사용자가 점차 증가 하고 있다. 이에 따라, IP-PBX, CALL BOX 또는 Softphone과 같은 다양한 형태의 시스템을 통한 인터넷 전화가 널리 보급되었다. 특히 이런 시스템의 전화 장치는 대기업 뿐만 아니라 중소기업에 까지 널리 확산되어 사용되고 있다.
하지만, 접속 매체가 인터넷을 사용 하므로서 누구나 쉽게 접근할 수 있는 환경을 제공하여 세계 곳곳의 해커들의 표적이 되고 있으며, 특히 보안의식의 부족에 따른 장비 관리의 부주의 등으로 인한 시스템 해킹 사례가 증가하고 있다.
이는 언론 매체를 통해 수백 만원에서 수천 만원에 이르는 과금 피해 사례를 손쉽게 접할 수 있을 만큼 그 피해사례 및 규모가 점점 증가하고 있는 현실이다.
2013년 인터넷전화 서비스 이용약관 변경에 따라 통신사업자가 해킹등에 의한 국제전화 불법호를 확인한 경우, 이용자 보호를 위해 사전 통지가 없어도 해당호를 즉시 차단할 수 있도록 하는 '국제전화 불법호 차단' 조항이 신설되었을 뿐만 아니라 미래창조과학부는 "기업보안등급 공시제"를 2014년 하반기에 추진할 예정이다.
하지만, 이런 환경에서도 많은 기업 및 서비스 사업자들은 다양한 해킹 시도 및 해킹에 따른 이상 트래픽을 제어하고 관리하는데 한계가 있는 현실이다.
따라서, 본 발명이 이루고자 하는 기술적 과제는 소프트웨어 정의 네트워크 환경에서 인터넷 전화에 사용되는 SIP(Session Initiation Protocol) 패킷을 탐지하고 탐지된 SIP패킷중 이상 트래픽이 발생될 경우 이상 트래픽에 대한 패킷의 제어를 위한 시스템 및 제어 정책을 적용 하는 방법에 대한 것이다.
본 발명의 일 실시예에 의한 국제전화 이상트래픽 피해방지를 위한 방법은, 불필요한 패킷 처리에 따른 컨트롤러와 이상 트래픽 피해방지 시스템의 부하 발생을 줄이기 위해 SIP 프로토콜을 위한 기본적인 필터링 정책을 수행할 플로우 엔트리를 스위치에 설정하는 단계; 스위치로 유입되는 패킷은 스위치에 설정된 플로우 엔트리 존재 여부를 확인하고, 플로우 엔트리의 매칭 조건이 만족되는 플로우가 발생시 정해진 액션(Actions)에 따라 패킷을 처리하여, 국제호 이상 트래픽 피해방지 시스템으로 전달하는 단계; 매칭 조건(matching field)에 만족하는 트래픽이 발생시 해당 플로우는 국제전화 이상트래픽 피해방지 시스템으로 전달되며, 해당 시스템은 패킷 처리를 위해 SIP 프로토콜인지 여부를 우선 판단하는 단계; 필터링된 SIP 패킷중 국제전화 이상트래픽 여부를 탐지하고, 만약 이상 트래픽이 존재하면 발생된 이상트래픽이 블랙리스트에 존재하는지를 확인하며, 블랙리스트에 존재하는 이상 트래픽이 발생하였다면, 기존에도 발생된 이상 트래픽임을 감안하여 플로우 엔트리의 idle_timeout을 미 설정하는 단계; 상기 블랙리스트에 존재하지 않는 경우에는, 해당 이상 트래픽의 발생이 처음임을 감안하여 이상트래픽의 플로우 엔트리에 idle_timeout을 설정하는 단계를 포함할 수 있다.
본 발명은 종래의 문제점을 해결하기 위하여 제안된 것으로, 오픈플로우 기반의 소프트웨어 정의 네트워크 환경에서 유입된 트래픽의 SIP프로토콜을 분류 하고, 분류된 SIP 패킷중 이상 트래픽 탐지 시스템을 통해 탐지된 이상 트래픽을 처리할 수 있다.
도1은 본 발명의 일 실시 예에 따른 소프트웨어 정의 네트워크 기반의 SIP 프로토콜 필터링 방법 및 발생된 이상 트래픽 처리를 위한 시스템의 구성을 개략적으로 나타낸 구성도이다.
도2는 본 발명의 일 실시 예에 따른 소프트웨어 정의 네트워크 기반의 이상 트래픽 피해방지를 위한 이상 트래픽 관리 방법에 대한 전체 흐름도이다.
도3은 본 발명의 일 실시 예에 따른 플로우 제어를 위한 제어 정책의 흐름을 보여주는 구성도이다.
도2는 본 발명의 일 실시 예에 따른 소프트웨어 정의 네트워크 기반의 이상 트래픽 피해방지를 위한 이상 트래픽 관리 방법에 대한 전체 흐름도이다.
도3은 본 발명의 일 실시 예에 따른 플로우 제어를 위한 제어 정책의 흐름을 보여주는 구성도이다.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
이하, 도면을 참조로 하여 본 발명의 실시예에 따른 인터넷전화의 국제전화 이상트래픽 피해 방지를 위한 시스템 및 방법에 대하여 상세히 설명한다.
도 1은 본 발명의 일 실시 예에 따른 소프트웨어 정의 네트워크 기반의 SIP (Session Initiation Protocol)을 필터링 하고 발생된 국제호 이상 트래픽 처리를 위한 시스템의 구성을 개략적으로 나타낸 구성도이다.
도 1을 참조하면, 스위치(100)는 스위치의 형태나 위치, 역할에 제한적이지 아니 하며 모든 유/무선 망에 위치한 복수의 스위치(100)를 의미한다.
이런 복수의 스위치(100)는 컨트롤러(200)와 연결되고, 컨트롤러(200)는 국제 인터넷전화 이상 트래픽을 탐지하여 제어를 수행하는 국제전화 이상 트래픽 피해방지 시스템(300)과 연결된다.
복수의 스위치(100)들은 플로우 테이블(flow table)을 가지고 있으며, 플로우 테이블에는 플로우 엔트리(flow entry)에 의해 매칭 조건(matching filed)에 부합되는 플로우를 스위치(100)가 어떻게 처리할 것인지 정의되어 있다.
이때, 스위치(100)는 인터넷전화 프로토콜로 판단되는 다수의 패킷을 국제전화 이상트래픽 피해방지 시스템(300)에 전달하면, SIP 탐지부(310)를 통해 정확한 SIP 프로토콜을 필터링한다. 이렇게 필터링된 SIP 패킷은 이상 트래픽 탐지부(320)를 통해 국제 인터넷전화 이상 트래픽 여부를 탐지하게 되고, 여기에서 탐지된 이상 트래픽은 플로우 제어부(330)를 통해 이상 트래픽 제어 정책을 생성하여 컨트롤러(200)에게 전달하게 된다.
플로우 제어 정책을 수신한 컨트롤러(200)는 복수의 스위치(100), 또는 개별 스위치(100)에게 플로우 제어를 위한 플로우 엔트리를 설정하도록 한다. 이때 복수 또는 개별 스위치(100)들에 설정된 플로우 엔트리에 의해 이상 트래픽의 플로우를 제어할 수 있게 된다.
여기서, 플로우 엔트리에는 타임아웃(Timeouts), 우선순위(Priority), 매칭 조건(Matching field) 및 액션(actions) 필드값을 포함하며, 각 필드에는 다수개의 항목들로 이루어져 있으며 상세한 내역은 아래에서 별도 설명하도록 한다.
도 2는 소프트웨어 정의 네트워크기반의 스위치에서 국제 인터넷전화 이상트래픽 탐지 시스템(300)으로 패킷을 전달하고 전달받은 패킷중 SIP 프로토콜을 필터링하여 SIP 프로토콜 중 이상 트래픽 발생 여부를 탐지하여 이상 트래픽이 발생했을시 탐지된 이상 트래픽의 차단을 요청하는 정책의 흐름을 나타내는 전체 흐름도이다.
도 2를 참조하면, 불필요한 패킷 처리에 따른 컨트롤러(200)와 이상 트래픽 피해방지 시스템(300)의 부하 발생을 줄이기 위해 SIP 프로토콜을 위한 기본적인 필터링 정책을 수행할 플로우 엔트리를 스위치(100)에 설정한다.
스위치로 유입되는 패킷은 스위치에 설정된 플로우 엔트리 존재 여부(S101)를 확인하고 플로우 엔트리의 매칭 조건이 만족되는 플로우가 발생시 정해진 액션(Actions)에 따라 패킷을 처리하며 특히, 국제호 이상 트래픽 피해방지 시스템(300)으로 전달하게 된다.
이때, 플로우 엔트리에는 타임아웃(Timeouts), 우선순위(Priority), 매칭조건(Matching field) 및 액션(actions) 등 으로 구분된다. 타임아웃은 아이들 타임아웃(idle timeout)과 하드 타임아웃(hard timeout)으로 구성되며, 매칭 조건(matching field)으로는 입력 포트(input port), 이더넷 타입(ethernet type), 소스 맥주소(src mac), 목적지 맥 주소(dst mac), 소스 ip주소(src ip), 목적지 ip 주소(dst ip), 소스 포트(src port), 목적지 포트(dst port)등 다양한 정보를 활용하여 매칭 여부를 판단 할 수 있다. 또한, 수행할 액션(actions)으로는 플로우 드랍(drop), 특정 포트로 전달(output) 뿐만 아니라 목적지 변경(modify dst ip) 등과 같이 다양한 정보를 설정 하거네 패킷을 처리 할 수 있으며, 그 설정 내역의 예시는 표 1과 같다.
표 1은 SIP 프로토콜 여부를 확인하기 위한 플로우 엔트리를 설정한 일 실시예로서 대부분의 인터넷전화 프로토콜이 호처리 서버로 접근시 목적지 포트로 “50xx” 특히 “5060”포트를 사용함을 이용하였다. 이런 점을 이용하여 표1은 입력 포트(input port) 1로 유입된 트래픽중, 이더넷 타입(ethernet type)이 IP 이고, 목적지 포트(dst port)가 5060이며, 프로토콜(protocol)이 udp일 경우 해당 패킷을 특정 출력 포트(output) 2로 전달하게 된다. 여기에서 출력 포트(output)는 매칭 조건(matching field)에 만족되는 트래픽이 발생될 때 유입되는 포트로 국제전화 이상트래픽 피해방지를 위한 시스템(300)으로 전달하게 된다.
매칭 조건(matching field)에 만족하는 트래픽이 발생시 해당 플로우는 국제전화 이상트래픽 피해방지 시스템(300)으로 전달되며, 해당 시스템은 패킷 처리를 위해 SIP 프로토콜인지 여부를 우선 판단(S103)하게 된다.
이때 SIP 프로토콜을 판단하기 위한 예시는 아래 표 2와 같다.
상기 표 2에서 인터넷 전화는 인터넷국제 표준화 기구(IETF, Internet Engineering Task Force)의 작업 문서인 RFC(Request For Comments)에 규정된 내역을 바탕으로 SIP 프로토콜은 IP 프로토콜을 사용하며, Request-Line과 Status-Line의 마지막 또는 message-header와 message-body사이에 항상 CRLF(Carriage-Return Line-Feed)가 존재한다.
그리고 Request-Line과 Status-Line의 특정 위치에 SIP Version 정보가 존재하며 또한, 주요 메소드(Method)가 Request-Line에 존재하는지 여부를 확인하여 SIP 프로토콜을 필터링할 수 있다.
이는 아래 표 3과 같이 프로그래밍하여 손쉽게 구현할 수 있으며, 이는 상기 표 2를 확인하기 위한 일 실시예이다.
필터링된 SIP 패킷중 국제전화 이상트래픽 여부를 탐지하고(S105), 만약 이상 트래픽이 존재하면, 발생된 이상트래픽이 블랙리스트에 존재하는지를 확인하여(S107) 블랙리스트에 존재하는 이상 트래픽이 발생하였다면, 기존에도 발생된 이상 트래픽임을 감안하여 플로우 엔트리의 idle_timeout을 미 설정(S109)한다.
만약, 블랙리스트에 존재하지 않는다면 해당 이상 트래픽의 발생이 처음임을 감안하여 이상트래픽의 플로우 엔트리에 idle_timeout을 설정(S111)한다.
여기에서 idle_timeout은 플로우 엔트리가 매칭 없이 유지할 수 있는 시간으로서 이렇게 idle_timeout을 설정 함으로서 최초 이상 트래픽으로 탐지된 결과가 오탐으로 인해 정상 트래픽을 장시간 차단하는 오탐율을 보완 하기 위한 방법으로 활용 될 수 있다.
이렇게 설정 플로우 엔트리는 동일 트래픽이 지속적으로 발생된 다면 이상 트래픽일 가능성이 커지며, 정상 트래픽 이라면 재 발생할 확률이 낮으므로 idle_timeout 설정 시간동안 매칭 없이 유지 되고, idle_timeout 설정 시간 이후에 해당 플로우 엔트리를 자동 삭제 하므로서 트래픽 차단을 해제 할 수 있다.
이는 국제전화 이상트래픽 탐지부(320)의 탐지 신뢰성을 높일 수 있는 안전 장치로서 사용될 수 있다. 이때 사용되는 idle_timeout의 설정값은 발생패턴을 분석하여 최적으로 값으로 설정하여 사용한다.
이렇게 idle_timeout 설정이 끝나면, 국제호 이상트래픽 피해방지 시스템(300)은 발생된 이상트래픽을 제어하기 위한 플로우 제어 정책을 생성(S113)을한다.
표 4는 이상트래픽 제어를 위한 정책으로 플로우 엔트리 설정을 위한 일 실시예이다.(idle_timeout 설정시)
표 4는 이상 트래픽 탐지 후 해당 이상 트래픽이 블랙리스트에 존재 하지 않는다면, idle_timeout 값을 설정(S111)하고 해당 플로우 엔트리는 제어를 위한 플로우 엔트리 이므로 다른 플로우 엔트리의 우선순위(priority)보다 높은 우선순위를 가져야 하며, 해당 이상 트래픽을 확인 할 수 있는 매칭 조건(matching field)값을 설정하게 된다.
상위에서 이상 트래픽을 확인하기 위한 매칭 조건(matching field)으로는 이더넷 타입(ethernet type), 소스/목적지 맥 주소, 소스/목적지 ip주소, 소스/목적지 포트 등 다양한 정보를 설정할 수 있며, 상기 [표4]에서는 입력 포트(input port)가 1이며, 이더넷 타입(ethernet type)이 0x0800, 소스 ip 어드레스(src ip)가 10.10.1.1, 목적지 포트(dst port)가 5060, 프로토콜(protocol)이 udp인 매칭 조건을 만족하면, 해당 패킷을 파기(drop)하라는 액션(actions)을 수행하게 된다. 이때 idle_timeout은 300초로 5분동안 동안 매칭 조건에 대한 플로우 매칭이 존재 하지 않는다면, 해당 플로우 제어 엔트리는 자동 삭제되며, 매칭을 위한 처리 우선 순위는 다른 플로우 엔트리보다 최상위의 우선순위를 같는다. 상기 우선 순위는 우선순위(priority)변수를 uint16_t 로 설정했을 때 설정 가능한 최고값이다.
또한 발생된 이상 트래픽을 처리하기 위한 방법으로도 [표4]에 작성된 구분의 액션(action) 설정내역과 같이 해당 플로우를 드랍(drop)하는 등 [표4]와 같은 다양한 액션으로 패킷을 처리 할 수 있다.
이때 국제전화 이상 트래픽 피해방지 시스템(300)은 이상 트래픽 제어를 위한 플로우 제어 정책을 해당 트래픽이 발생된 스위치를 관리하는 컨트롤러에 전달(S115 또는 S117)하게 된다. 하지만, 동일한 이상 트래픽이라 하더라도 다수의 주변 스위치에서 이상 트래픽이 발생 될수 있음을 감안하여 해당 이상 트래픽 제어를 위한 플로우 제어 정책은 해당 스위치를 관할 하는 컨트롤러(컨트롤러A)에게만 보낼 수 도 있으며(S115), 주변의 다수개의 컨트롤러(컨트롤러B, 컨트롤러C) 또는 특정 컨트롤러들에게 보낼 수도 있다(S117).
이렇게 이상트래픽 탐지 시스템으로부터 전송받은 플로우 제어 정책은 각각의 컨트롤러에서 이상 트래픽이 발생된 스위치에만 제어 정책용 플로우 엔트리를 설정할 수도 있으며(S119), 또는 다수개의 스위치에 설정(S121)할 수도 있다.
이는 이상 트래픽이 다수의 스위치에서 발생 할 수 있어 이상 트래픽 제어 신뢰도를 증가 시킬수 있을 뿐만 아니라 다수개의 스위치에 제어 정책을 일괄 적용 하므로서 이상트래픽 피해방지 시스템(300)이나 컨트롤러의 탐지 및 제어 관리의 부하를 경감시킬 수 있다. 또한, 불필요한 스위치에 제어 정책을 설정하므로서 스위치의 처리 성능 저하를 효과적으로 관리 할 수 있게 된다.
이로서 이상 트래픽은 스위치에 설정된 제어용 플로우 엔트리에 의해 해당 플로우는 제어되게 된다(S123).
상기 표 5는 플로우 제어 정책 생성(S113) 이후 플로우 제어 요청(S115, S117)방법에 관한 내역으로서 플로우 제어 정책을 전송한 컨트롤러나 스위치의 대상을 선정하는 방법이다. 이는 스위치나 컨트롤러를 유형별로 그룹을 설정해 두고 정책 적용이 필요한 대상 스위치나 컨트롤러에게 손쉽게 (1:1), (1:n) 및 (1:모두) 방식으로 플로우 제어 정책 전송을 지원 하므로서 이상 트래픽 발생의 전달을 효과적이면서도 원천적으로 차단 할 수 있다.
표 5에서 플로우 제어 정책을 수신할 제어 대상으로 스위치인지 컨트롤러인지, 그룹의 유형으로서 서비스 지역(서울, 부산, 대전….), 가입자 유형별(기업, 홈, 행정….)로 사전에 설정된 다양한 그룹 형태별로 일괄 적용 할 수 있다. 상기에서 설정된 그룹은 일 실시예로서 운용자나 사업자의 요구사항에 따라 다양한 그룹의 유형으로 적용 할 수 있다.
상기 표 6은 표 5를 구현하기 위한 그룹의 설정 예시로서, 제어대상 및 서비스 사업자 및 운용자의 설정별 유형 구분에 따라 단일개에서 발생된 이상 트래픽을 가지고 다수개의 스위치 또는 컨트롤러를 동시에 제어 하므로서 이상 트래픽을 네트워크에서 원천적으로 차단할 수 있는 특징을 가질 수 있다.
상기 표 7은 부산 지역(서비스 지역)에 위치한 홈 가입자(가입자 유형)로 분류된 스위치(제어대상)들에게 플로우 제어 정책을 적용 하라는 메시지의 예시이다.
이와 같은 정책 적용은 컨트롤러 및 스위치의 부하를 줄일 수 있을 뿐만 아니라 향후 운용상 설정된 수많은 플로우 엔트리의 오버플로우(overflow) 문제도 일정 부분 감소시킬 수 있다.
도 3은 표 7과 같은 일 실시예에 따른 플로우 제어 정책의 흐름을 보여 주는 구성도로서 부산에 위치한 홈 가입자에게만 플로우 제어 정책을 적용 할 수 있는 일 실시예이다.
이때, 컨트롤러는 스위치의 카운트(count) 필드값을 주기적으로 확인하여 매칭 조건이 일정 시간 이내에 임계치 이상 매칭이 발생될 경우(S125) 해당 플로우 정보를 국제 인터넷전화 이상 트래픽 피해 방지 시스템(300)의 이상트래픽 블랙리스트에 추가하여 관리하게 된다.
상위의 해당 플로우 정보를 구분할 수 있는 필드값으로서 소스 ip주소, 목적지 ip주소, 소스 포트, 목적지 포트 및 프로토콜 등 다향한 필드값으로 이상트래픽을 구분할 수 있는 고유의 값으로 설정할 수 있다.
100: 스위치 200: 컨트롤러
300: 국제전화 이상트래픽 피해방지 시스템 310: SIP 탐지부
320: 이상트래픽 탐지부 330: 플로우 제어부
300: 국제전화 이상트래픽 피해방지 시스템 310: SIP 탐지부
320: 이상트래픽 탐지부 330: 플로우 제어부
Claims (16)
- 적어도 하나의 스위치와, 상기 적어도 하나의 스위치를 제어하는 적어도 하나의 컨트롤러 및, 이상 트래픽 피해 방지 시스템을 포함하는 소프트웨어 정의 네트워크에서의 이상 트래픽 피해 방지 방법으로서,
상기 이상 트래픽 피해 방지 시스템이, 어느 한 스위치로부터 패킷을 수신하는 단계;
상기 이상 트래픽 피해 방지 시스템이, 상기 수신된 패킷을 분석하여 이상 트래픽인 것을 확인하는 단계; 및
상기 이상 트래픽 피해 방지 시스템이, 상기 어느 한 스위치를 제어하는 컨트롤러로 하여금 플로우 제어 정책에 따라 상기 어느 한 스위치에 플로우 엔트리를 설정하도록, 우선순위가 가장 높은 플로우 제어 정책을 생성하여 상기 어느 한 스위치를 제어하는 컨트롤러로 전송하는 단계를 포함하고,
상기 전송하는 단계는,
상기 이상 트래픽 피해 방지 시스템이, 상기 수신된 패킷이 블랙리스트의 패킷이 아닌 경우 상기 플로우 제어 정책에 아이들 타임아웃을 설정하는 단계;를 포함하고,
상기 아이들 타임아웃은, 해당 아이들 타임아웃의 시간 동안 상기 플로우 엔트리에 대응하는 패킷이 발생하지 않을 경우 해당 플로우 엔트리를 자동 삭제하도록 하는 시간인, 이상 트래픽 피해 방지 방법. - 제 1 항에 있어서,
상기 확인하는 단계는,
상기 이상 트래픽 피해 방지 시스템이, 상기 수신된 패킷을 분석하여 해당 패킷이 SIP 프로토콜의 패킷인지 확인하고, SIP 프로토콜의 패킷인 경우에만 이상 트래픽인지 확인하는, 이상 트래픽 피해 방지 방법. - 제 1 항에 있어서,
상기 전송하는 단계는,
상기 이상 트래픽 피해 방지 시스템이, 상기 수신된 패킷이 상기 블랙리스트의 패킷인지 확인하고, 상기 블랙리스트의 패킷인 경우 상기 플로우 제어 정책에 아이들 타임아웃을 설정하지 않는 단계;를 더 포함하는, 이상 트래픽 피해 방지 방법. - 제 3 항에 있어서,
상기 이상 트래픽 피해 방지 시스템이, 상기 어느 한 스위치를 제어하는 컨트롤러로부터 상기 플로우 엔트리의 매칭 조건과 패킷과의 매칭이 임계치 이상 발생할 경우 해당 패킷의 플로우 정보를 수신하고 그 플로우 정보를 상기 블랙리스트에 추가하는 단계를 더 포함하는, 이상 트래픽 피해 방지 방법. - 제 1 항에 있어서,
상기 이상 트래픽 피해 방지 시스템이, 상기 어느 한 스위치를 제어하는 컨트롤러 이외 추가적으로 다른 컨트롤러에도 상기 플로우 제어 정책을 전송하는 단계를 더 포함하는, 이상 트래픽 피해 방지 방법. - 제 5 항에 있어서,
상기 이상 트래픽 피해 방지 시스템은, 상기 플로우 제어 정책에 제어 대상, 서비스 지역 및 가입자 유형에 관한 정보 중 적어도 하나를 설정하는, 이상 트래픽 피해 방지 방법. - 제 6 항에 있어서,
상기 제어 대상에 관한 정보는, 컨트롤러에 연결된 모든 스위치를 제어 대상으로 설정하는 정보 또는 컨트롤러에 연결된 스위치 중 특정 스위치를 제어 대상으로 설정하는 정보 중 하나를 포함하는, 이상 트래픽 피해 방지 방법. - 제 1 항 내지 제 7 항 중 어느 한 항에 있어서,
상기 플로우 제어 정책은,
타임아웃, 우선순위, 매칭 조건 및 수행할 액션에 관한 정보를 포함하는, 이상 트래픽 피해 방지 방법. - 적어도 하나의 스위치와, 상기 적어도 하나의 스위치를 제어하는 적어도 하나의 컨트롤러와 연결되는 소프트웨어 정의 네트워크의 이상 트래픽 피해 방지 시스템으로서,
어느 한 스위치로부터 전송된 패킷을 수신하고, 그 수신된 패킷을 분석하여 이상 트래픽인 것을 확인하는 이상 트래픽 탐지부; 및
상기 어느 한 스위치를 제어하는 컨트롤러로 하여금 플로우 제어 정책에 따라 상기 어느 한 스위치에 플로우 엔트리를 설정하도록, 우선순위가 가장 높은 플로우 제어 정책을 생성하여 상기 어느 한 스위치를 제어하는 컨트롤러로 전송하는 플로우 제어부를 포함하고,
상기 플로우 제어부는,
상기 수신된 패킷이 블랙리스트의 패킷이 아닌 경우 상기 플로우 제어 정책에 아이들 타임아웃을 설정하고,
상기 아이들 타임아웃은, 해당 아이들 타임아웃의 시간 동안 상기 플로우 엔트리에 대응하는 패킷이 발생하지 않을 경우 해당 플로우 엔트리를 자동 삭제하도록 하는 시간인, 이상 트래픽 피해 방지 시스템. - 제 9 항에 있어서,
상기 어느 한 스위치로부터 상기 패킷을 수신하고 그 수신된 패킷을 분석하여 해당 패킷이 SIP 프로토콜의 패킷인 경우 상기 이상 트래픽 탐지부로 전달하는 SIP 탐지부를 더 포함하는, 이상 트래픽 피해 방지 시스템. - 제 9 항에 있어서,
상기 플로우 제어부는,
상기 수신된 패킷이 상기 블랙리스트의 패킷인지 확인하고, 상기 블랙리스트의 패킷인 경우 상기 플로우 제어 정책에 아이들 타임아웃을 설정하지 않는, 이상 트래픽 피해 방지 시스템. - 제 11 항에 있어서,
상기 이상 트래픽 탐지부는,
상기 어느 한 스위치를 제어하는 컨트롤러로부터 상기 플로우 엔트리의 매칭 조건과 패킷과의 매칭이 임계치 이상 발생할 경우 해당 패킷의 플로우 정보를 수신하고 그 플로우 정보를 상기 블랙리스트에 추가하는, 이상 트래픽 피해 방지 시스템. - 제 9 항에 있어서,
상기 플로우 제어부는,
상기 어느 한 스위치를 제어하는 컨트롤러 이외 추가적으로 다른 컨트롤러에도 상기 플로우 제어 정책을 전송하는, 이상 트래픽 피해 방지 시스템. - 제 13 항에 있어서,
상기 플로우 제어부는,
상기 플로우 제어 정책에 제어 대상, 서비스 지역 및 가입자 유형에 관한 정보 중 적어도 하나를 설정하는, 이상 트래픽 피해 방지 시스템. - 제 14 항에 있어서,
상기 제어 대상에 관한 정보는, 컨트롤러에 연결된 모든 스위치를 제어 대상으로 설정하는 정보 또는 컨트롤러에 연결된 스위치 중 특정 스위치를 제어 대상으로 설정하는 정보 중 하나를 포함하는, 이상 트래픽 피해 방지 시스템. - 제 9 항 내지 제 15 항 중 어느 한 항에 있어서,
상기 플로우 제어 정책은,
타임아웃, 우선순위, 매칭 조건 및 수행할 액션에 관한 정보를 포함하는, 이상 트래픽 피해 방지 시스템.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020140140898A KR102274589B1 (ko) | 2014-10-17 | 2014-10-17 | 국제전화 이상트래픽 피해 방지를 위한 시스템 및 방법 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020140140898A KR102274589B1 (ko) | 2014-10-17 | 2014-10-17 | 국제전화 이상트래픽 피해 방지를 위한 시스템 및 방법 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20160045411A KR20160045411A (ko) | 2016-04-27 |
KR102274589B1 true KR102274589B1 (ko) | 2021-07-06 |
Family
ID=55914693
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020140140898A KR102274589B1 (ko) | 2014-10-17 | 2014-10-17 | 국제전화 이상트래픽 피해 방지를 위한 시스템 및 방법 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102274589B1 (ko) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101107741B1 (ko) * | 2010-09-02 | 2012-01-20 | 한국인터넷진흥원 | Sip 기반 비정상 트래픽 차단 시스템 및 그 차단 방법 |
WO2013150925A1 (ja) | 2012-04-03 | 2013-10-10 | 日本電気株式会社 | ネットワークシステム、コントローラ、及びパケット認証方法 |
KR101438212B1 (ko) * | 2014-02-25 | 2014-09-04 | 주식회사 나임네트웍스 | 소프트웨어 정의 네트워크 심층패킷분석 방법 및 이를 이용하는 소프트웨어 정의 네트워크 시스템 |
US20140301226A1 (en) * | 2013-04-09 | 2014-10-09 | Electronics And Telecommunications Research Institute | Apparatus and method for network monitoring and packet inspection |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20140122171A (ko) * | 2013-04-09 | 2014-10-17 | 한국전자통신연구원 | 네트워크 모니터링 및 패킷 검사 장치 및 방법 |
-
2014
- 2014-10-17 KR KR1020140140898A patent/KR102274589B1/ko active IP Right Grant
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101107741B1 (ko) * | 2010-09-02 | 2012-01-20 | 한국인터넷진흥원 | Sip 기반 비정상 트래픽 차단 시스템 및 그 차단 방법 |
WO2013150925A1 (ja) | 2012-04-03 | 2013-10-10 | 日本電気株式会社 | ネットワークシステム、コントローラ、及びパケット認証方法 |
US20140301226A1 (en) * | 2013-04-09 | 2014-10-09 | Electronics And Telecommunications Research Institute | Apparatus and method for network monitoring and packet inspection |
KR101438212B1 (ko) * | 2014-02-25 | 2014-09-04 | 주식회사 나임네트웍스 | 소프트웨어 정의 네트워크 심층패킷분석 방법 및 이를 이용하는 소프트웨어 정의 네트워크 시스템 |
Also Published As
Publication number | Publication date |
---|---|
KR20160045411A (ko) | 2016-04-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10931696B2 (en) | Communications methods and apparatus for dynamic detection and/or mitigation of threats and/or anomalies | |
AU2015255980B2 (en) | System and methods for reducing impact of malicious activity on operations of a wide area network | |
CN101399749B (zh) | 一种报文过滤的方法、系统和设备 | |
EP1737189B1 (en) | Apparatus and method for mitigating denial of service attacks on communication appliances | |
US8102879B2 (en) | Application layer metrics monitoring | |
US20110225281A1 (en) | Systems, methods, and computer readable media for policy enforcement correlation | |
US10986018B2 (en) | Reducing traffic overload in software defined network | |
US12021836B2 (en) | Dynamic filter generation and distribution within computer networks | |
WO2017143897A1 (zh) | 一种攻击处理方法、设备及系统 | |
CN101227287B (zh) | 一种数据报文处理方法及数据报文处理装置 | |
WO2021135382A1 (zh) | 一种网络安全防护方法及防护设备 | |
JP2013070325A (ja) | 通信システム、通信装置、サーバ、通信方法 | |
US20110078283A1 (en) | Service providing system, filtering device, filtering method and method of confirming message | |
US8646081B1 (en) | Method and system to detect a security event in a packet flow and block the packet flow at an egress point in a communication network | |
KR102274589B1 (ko) | 국제전화 이상트래픽 피해 방지를 위한 시스템 및 방법 | |
US9154583B2 (en) | Methods and devices for implementing network policy mechanisms | |
KR101466895B1 (ko) | VoIP 불법 검출 방법, 이를 수행하는 VoIP 불법 검출 장치 및 이를 저장하는 기록매체 | |
KR101800861B1 (ko) | Ⅴoip 보안 시스템 및 보안 처리 방법 | |
KR101854996B1 (ko) | 악성 애플리케이션을 방지할 수 있는 소프트웨어 정의 네트워크 및 이에 포함되는 판단 장치 | |
CN111327604B (zh) | 数据处理系统及其方法 | |
KR102048862B1 (ko) | 네트워크 장치의 혼잡 제어 방법 및 장치 | |
JP2018037961A (ja) | フロー解析装置、トラフィック解析システム、及びフロー解析方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |