KR102504207B1 - System and method for detecting PFCP-IN-GTP packet in 5G standalone - Google Patents

System and method for detecting PFCP-IN-GTP packet in 5G standalone Download PDF

Info

Publication number
KR102504207B1
KR102504207B1 KR1020220090812A KR20220090812A KR102504207B1 KR 102504207 B1 KR102504207 B1 KR 102504207B1 KR 1020220090812 A KR1020220090812 A KR 1020220090812A KR 20220090812 A KR20220090812 A KR 20220090812A KR 102504207 B1 KR102504207 B1 KR 102504207B1
Authority
KR
South Korea
Prior art keywords
gtp
message
request
response
message type
Prior art date
Application number
KR1020220090812A
Other languages
Korean (ko)
Inventor
김도원
박성민
조형진
박영권
김대운
권성문
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020220090812A priority Critical patent/KR102504207B1/en
Application granted granted Critical
Publication of KR102504207B1 publication Critical patent/KR102504207B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2592Translation of Internet protocol [IP] addresses using tunnelling or encapsulation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL

Abstract

The present invention relates to a 5G SA network PFCP-IN-GTP packet detection system and a method thereof and, more specifically, to a 5G SA network PFCP-IN-GTP packet detection system and a method thereof which collect and analyze GTP user data messages in a 5G standalone (SA) network to identify user equipment that causes abnormal traffic.

Description

5G SA망 PFCP-IN-GTP 패킷 탐지시스템 및 방법{System and method for detecting PFCP-IN-GTP packet in 5G standalone} 5G SA network PFCP-IN-GTP packet detection system and method {System and method for detecting PFCP-IN-GTP packet in 5G standalone}

본 발명은 5G SA망 PFCP-IN-GTP 패킷 탐지시스템 및 방법에 관한 것으로, 더욱 상세하게는 5G SA(StandAlone)망에서 GTP-U 메시지(GTP user data message)를 수집 및 분석하여 비정상 트래픽 유발 사용자장비(User Equipment)를 식별할 수 있는 5G SA망 PFCP-IN-GTP 패킷 탐지시스템 및 방법에 관한 것이다.The present invention relates to a system and method for detecting PFCP-IN-GTP packets in a 5G SA network, and more particularly, to collect and analyze GTP-U messages (GTP user data messages) in a 5G SA (StandAlone) network to detect abnormal traffic-causing users It relates to a 5G SA network PFCP-IN-GTP packet detection system and method capable of identifying user equipment.

도 1에 도시된 바와 같이, 5G SA(StandAlone)망에 접속하는 사용자장비(User Equipment)에서 발생된 User Data는 gNB(gNodeB)와 UPF(User Plane Function) 구간에서 GTP 터널링을 통해 UPF까지 전달되고, UPF에서 GTP 터널링 패킷 데이터를 제거하고 외부로 전송된다.As shown in FIG. 1, user data generated by user equipment accessing the 5G SA (StandAlone) network is transmitted to the UPF through GTP tunneling in the gNB (gNodeB) and UPF (User Plane Function) section, , the GTP tunneling packet data is removed from the UPF and transmitted to the outside.

이때, 비정상 트래픽 유발을 위해서 도 2에 도시된 바와 같이, 비정상 트래픽 유발 사용자장비는 GTP-U 메시지의 사용자 패킷 데이터 내의 PFCP 메시지의 src IP를 SMF IP로 변조하여 전송하고, 메시지를 수신한 UPF는 이를 SMF로 전송하게 되어 비정상 트래픽이 발생하게 된다.At this time, in order to induce abnormal traffic, as shown in FIG. 2, the user equipment causing abnormal traffic modulates the src IP of the PFCP message in the user packet data of the GTP-U message into the SMF IP and transmits it, and the UPF receiving the message This is transmitted to the SMF, resulting in abnormal traffic.

따라서, 상기한 바와 같이 비정상 트래픽을 유발하는 사용자 장비를 식별하여 차단할 수 있는 시스템이 필요한 상황이다.Therefore, as described above, there is a need for a system capable of identifying and blocking user equipment that causes abnormal traffic.

본 발명은 상기와 같은 필요성에 의해 창출된 것으로, 본 발명의 목적은 5G SA(StandAlone)망에서 GTP-U 메시지(GTP user data message)를 수집 및 분석하여 비정상 트래픽 유발 사용자장비(User Equipment)를 식별할 수 있는 5G SA망 PFCP-IN-GTP 패킷 탐지시스템 및 방법을 제공하는데 있다.The present invention was created due to the above necessity, and an object of the present invention is to collect and analyze GTP-U messages (GTP user data messages) in a 5G SA (StandAlone) network to prevent abnormal traffic-causing user equipment. It is to provide an identifiable 5G SA network PFCP-IN-GTP packet detection system and method.

상기와 같은 목적을 달성하기 위한 본 발명에 따른 5G SA망 PFCP-IN-GTP 패킷 탐지시스템은 사용자장비로부터 송출되는 GTP-U 메시지(GTP user data message)를 수집하는 데이터 수집부(110); 및 상기 데이터 수집부(110)가 수집한 GTP-U 메시지를 분석하여, 비정상 트래픽 유발 사용자장비(User Equipment)를 식별하는 사용자장비 식별부(120)를 포함하는 것을 특징으로 한다.The 5G SA network PFCP-IN-GTP packet detection system according to the present invention for achieving the above object includes a data collection unit 110 for collecting GTP-U messages (GTP user data messages) transmitted from user equipment; and a user equipment identification unit 120 that analyzes the GTP-U messages collected by the data collection unit 110 and identifies user equipment causing abnormal traffic.

본 발명의 바람직한 실시예에 따르면, 상기 GTP-U 메시지는, 사용자장비(User Equipment)에서 발생되는 사용자 패킷 데이터에 GTP 터널링 패킷 데이터가 결합된 것으로, gNB(gNodeB)와 UPF(User Plane Function) 사이에 송수신되는 패킷 데이터인 것을 특징으로 한다.According to a preferred embodiment of the present invention, the GTP-U message is a combination of user packet data generated by user equipment and GTP tunneling packet data, and is generated between a gNodeB (gNB) and a user plane function (UPF). Characterized in that it is packet data transmitted and received to.

본 발명의 바람직한 실시예에 따르면, 사용자장비 식별부(120)는, 상기 데이터 수집부(110)가 수집한 GTP-U 메시지의 GTP 터널링 패킷 데이터의 UDP(User Datagram Protocol) port가 2152인지를 확인하는 GTP 터널링 패킷 확인부(121); 상기 GTP 터널링 패킷 확인부(121)가 확인한 GTP 터널링 패킷 데이터의 UDP port가 2152일 경우, GTP-U 메시지의 사용자 패킷 데이터의 UDP port가 8805인지 확인하는 사용자 패킷 확인부(122); 및 상기 사용자 패킷 확인부(122)가 확인한 사용자 패킷 데이터의 UDP port가 8805일 경우, 사용자 패킷 데이터 내의 PFCP 메시지의 상위 2byte(flag/message type)를 추출 및 검사하여 비정상 트래픽 유발 사용자장비(User Equipment)인지를 판단하는 비정상 판단부(123)를 포함하는 것을 특징으로 한다.According to a preferred embodiment of the present invention, the user equipment identification unit 120 checks whether the UDP (User Datagram Protocol) port of the GTP tunneling packet data of the GTP-U message collected by the data collection unit 110 is 2152. a GTP tunneling packet confirmation unit 121 that performs; If the UDP port of the GTP tunneling packet data checked by the GTP tunneling packet checker 121 is 2152, the user packet checker 122 checks whether the UDP port of the user packet data of the GTP-U message is 8805; And if the UDP port of the user packet data checked by the user packet checker 122 is 8805, the upper 2 bytes (flag/message type) of the PFCP message in the user packet data are extracted and examined to detect abnormal traffic causing user equipment (User Equipment). ) It is characterized in that it includes an abnormal determination unit 123 for determining whether.

본 발명의 바람직한 실시예에 따르면, 상기 비정상 판단부(123)는, 상기 PFCP 메시지로부터 추출된 상위 2byte(flag/message type)가 미리 정의된 테이블에 존재할 경우, 상기 GTP-U 메시지를 송출한 사용자장비(User Equipment)를 비정상 트래픽 유발 사용자장비(User Equipment)로 판단하고 탐지정보를 관제원에게 생성 및 전달하는 것을 특징으로 한다.According to a preferred embodiment of the present invention, the abnormality determination unit 123, if the upper 2 bytes (flag/message type) extracted from the PFCP message exist in a predefined table, the user who sent the GTP-U message It is characterized in that the user equipment is determined as abnormal traffic-causing user equipment, and detection information is generated and transmitted to the controller.

본 발명의 바람직한 실시예에 따르면, 데이터 수집부(110)가 사용자장비로부터 송출되는 GTP-U 메시지(GTP user data message)를 수집하는 단계; 및 사용자장비 식별부(120)가 상기 데이터 수집부(110)가 수집한 GTP-U 메시지를 분석하여, 비정상 트래픽 유발 사용자장비(User Equipment)를 식별하는 단계를 포함하는 것을 특징으로 한다.According to a preferred embodiment of the present invention, the data collection unit 110 collects the GTP-U message transmitted from the user equipment (GTP user data message); and analyzing, by the user equipment identification unit 120, the GTP-U message collected by the data collection unit 110 to identify abnormal traffic-causing user equipment.

본 발명의 바람직한 실시예에 따르면, 상기 GTP-U 메시지는, 사용자장비(User Equipment)에서 발생되는 사용자 패킷 데이터에 GTP 터널링 패킷 데이터가 결합된 것으로, gNB(gNodeB)와 UPF(User Plane Function) 사이에 송수신되는 패킷 데이터인 것을 특징으로 한다.According to a preferred embodiment of the present invention, the GTP-U message is a combination of user packet data generated by user equipment and GTP tunneling packet data, and is generated between a gNodeB (gNB) and a user plane function (UPF). Characterized in that it is packet data transmitted and received to.

본 발명의 바람직한 실시예에 따르면, 상기 사용자장비 식별부(120)가 비정상 트래픽 유발 사용자장비(User Equipment)를 식별하는 단계는, GTP 터널링 패킷 확인부(121)가 상기 데이터 수집부(110)가 수집한 GTP-U 메시지의 GTP 터널링 패킷 데이터의 UDP(User Datagram Protocol) port가 2152인지를 확인하는 단계; 사용자 패킷 확인부(122)가 상기 GTP 터널링 패킷 확인부(121)가 확인한 GTP 터널링 패킷 데이터의 UDP port가 2152일 경우, GTP-U 메시지의 사용자 패킷 데이터의 UDP port가 8805인지 확인하는 단계; 및 비정상 판단부(123)가 상기 사용자 패킷 확인부(122)가 확인한 사용자 패킷 데이터의 UDP port가 8805일 경우, 사용자 패킷 데이터 내의 PFCP 메시지의 상위 2byte(flag/message type)를 추출 및 검사하여 비정상 트래픽 유발 사용자장비(User Equipment)인지를 판단하는 단계를 포함하는 것을 특징으로 한다.According to a preferred embodiment of the present invention, in the step of identifying the abnormal traffic-causing user equipment by the user equipment identification unit 120, the GTP tunneling packet checking unit 121 determines that the data collection unit 110 Checking whether the User Datagram Protocol (UDP) port of the GTP tunneling packet data of the collected GTP-U message is 2152; When the UDP port of the GTP tunneling packet data checked by the GTP tunneling packet checking unit 121 is 2152, the user packet checking unit 122 checks whether the UDP port of the user packet data of the GTP-U message is 8805; And if the UDP port of the user packet data checked by the user packet checker 122 is 8805, the abnormal determination unit 123 extracts and examines the upper 2 bytes (flag/message type) of the PFCP message in the user packet data to detect abnormalities. It is characterized in that it includes the step of determining whether it is a traffic generating user equipment (User Equipment).

본 발명의 바람직한 실시예에 따르면, 상기 비정상 판단부(123)는, 상기 PFCP 메시지로부터 추출된 상위 2byte(flag/message type)가 미리 정의된 테이블에 존재할 경우, 상기 GTP-U 메시지를 송출한 사용자장비(User Equipment)를 비정상 트래픽 유발 사용자장비(User Equipment)로 판단하고 탐지정보를 관제원에게 생성 및 전달하는 것을 특징으로 한다.According to a preferred embodiment of the present invention, the abnormality determination unit 123, if the upper 2 bytes (flag/message type) extracted from the PFCP message exist in a predefined table, the user who sent the GTP-U message It is characterized in that the user equipment is determined as abnormal traffic-causing user equipment, and detection information is generated and transmitted to the controller.

본 발명에 따른 5G SA망 PFCP-IN-GTP 패킷 탐지시스템 및 방법은 5G SA(StandAlone)망에서 GTP-U 메시지(GTP user data message)를 수집 및 분석하여 비정상 트래픽 유발 사용자장비(User Equipment)를 식별하여 관제원에게 알려줌으로써 비정상 트래픽 유발 공격을 방지할 수 있는 효과가 있다.5G SA network PFCP-IN-GTP packet detection system and method according to the present invention collects and analyzes GTP-U messages (GTP user data messages) in a 5G SA (StandAlone) network to detect abnormal traffic-causing user equipment By identifying and notifying the controller, there is an effect of preventing an attack that causes abnormal traffic.

도 1은 5G SA망에서 User Data 처리 흐름도
도 2는 비정상 트래픽 유발 사용자장비의 공격 예시도
도 3은 본 발명의 일실시예에 따른 5G SA망 PFCP-IN-GTP 패킷 탐지시스템의 블록구성도
도 4는 본 발명의 일실시예에 따른 사용자장비 식별부의 블록구성도
도 5는 본 발명의 일실시예에 따른 5G SA망 PFCP-IN-GTP 패킷 탐지시스템을 통한 PFCP-IN-GTP 패킷 탐지방법 순서도
도 6은 본 발명의 일실시예에 따른 사용자장비 식별부의 비정상 트래픽 유발 사용자 식별방법 순서도
도 7은 본 발명의 일실시예에 따른 GTP-U 메시지의 예시도
도 8은 본 발명의 일실시예에 따른 (flag/message type) 정의 테이블 예시도1 is a flowchart of user data processing in a 5G SA network
2 is an example of an attack by user equipment causing abnormal traffic
3 is a block diagram of a 5G SA network PFCP-IN-GTP packet detection system according to an embodiment of the present invention.
4 is a block diagram of a user equipment identification unit according to an embodiment of the present invention;
5 is a flow chart of a PFCP-IN-GTP packet detection method through a 5G SA network PFCP-IN-GTP packet detection system according to an embodiment of the present invention.
6 is a flowchart of a method for identifying a user causing abnormal traffic in a user equipment identification unit according to an embodiment of the present invention.
7 is an exemplary diagram of a GTP-U message according to an embodiment of the present invention;
8 is an exemplary view of a (flag/message type) definition table according to an embodiment of the present invention.

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예들을 상세히 설명한다. 본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 게시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예들은 본 발명의 게시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings. Advantages and features of the present invention, and methods for achieving them, will become clear with reference to the embodiments described below in detail in conjunction with the accompanying drawings. However, the present invention is not limited to the embodiments disclosed below and may be implemented in various different forms, only the present embodiments make the disclosure of the present invention complete, and the common knowledge in the art to which the present invention belongs It is provided to fully inform the holder of the scope of the invention, and the present invention is only defined by the scope of the claims. Like reference numbers designate like elements throughout the specification.

다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다. 본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 이하, 도면들을 참조하여 본 발명의 몇몇 실시예들을 설명한다.Unless otherwise defined, all terms (including technical and scientific terms) used in this specification may be used in a meaning commonly understood by those of ordinary skill in the art to which the present invention belongs. In addition, terms defined in commonly used dictionaries are not interpreted ideally or excessively unless explicitly specifically defined. Terminology used herein is for describing the embodiments and is not intended to limit the present invention. In this specification, singular forms also include plural forms unless specifically stated otherwise in a phrase. Hereinafter, some embodiments of the present invention will be described with reference to the drawings.

도 3은 본 발명의 일실시예에 따른 5G SA망 PFCP-IN-GTP 패킷 탐지시스템의 블록구성도이며, 도 4는 본 발명의 일실시예에 따른 사용자장비 식별부의 블록구성도이다. 도 3 및 4에 도시된 바와 같이, 본 발명에 따른 5G SA망 PFCP-IN-GTP 패킷 탐지시스템은 사용자장비로부터 송출되는 GTP-U 메시지(GTP user data message)를 수집하는 데이터 수집부(110) 및 상기 데이터 수집부가 수집한 GTP-U 메시지를 분석하여, 비정상 트래픽 유발 사용자장비(User Equipment)를 식별하는 사용자장비 식별부(120)를 포함하여서 구성된다.3 is a block diagram of a 5G SA network PFCP-IN-GTP packet detection system according to an embodiment of the present invention, and FIG. 4 is a block diagram of a user equipment identification unit according to an embodiment of the present invention. As shown in FIGS. 3 and 4, the 5G SA network PFCP-IN-GTP packet detection system according to the present invention includes a data collection unit 110 that collects GTP-U messages (GTP user data messages) transmitted from user equipment and a user equipment identification unit 120 that analyzes the GTP-U messages collected by the data collection unit and identifies user equipment causing abnormal traffic.

또한, 상기 사용자장비 식별부(120)는 상기 데이터 수집부(110)가 수집한 GTP-U 메시지의 GTP 터널링 패킷 데이터의 UDP(User Datagram Protocol) port가 2152인지를 확인하는 GTP 터널링 패킷 확인부(121)와 상기 GTP 터널링 패킷 확인부(121)가 확인한 GTP 터널링 패킷 데이터의 UDP port가 2152일 경우, GTP-U 메시지의 사용자 패킷 데이터의 UDP port가 8805인지 확인하는 사용자 패킷 확인부(122) 및 상기 사용자 패킷 확인부(122)가 확인한 사용자 패킷 데이터의 UDP port가 8805일 경우, 사용자 패킷 데이터 내의 PFCP 메시지의 상위 2byte(flag/message type)를 추출 및 검사하여 비정상 트래픽 유발 사용자장비(User Equipment)인지를 판단하는 비정상 판단부(123)를 더 포함하여 구성된다.In addition, the user equipment identification unit 120 is a GTP tunneling packet checking unit that checks whether the UDP (User Datagram Protocol) port of the GTP tunneling packet data of the GTP-U message collected by the data collecting unit 110 is 2152 ( 121) and the GTP tunneling packet checker 121 confirms that the UDP port of the GTP tunneling packet data is 2152, the user packet checker 122 checks whether the UDP port of the user packet data of the GTP-U message is 8805, and If the UDP port of the user packet data checked by the user packet checker 122 is 8805, the upper 2 bytes (flag/message type) of the PFCP message in the user packet data are extracted and inspected to generate abnormal traffic User Equipment It is configured to further include an abnormality determining unit 123 for determining whether or not it is normal.

각 구성요소(110 또는 120)는 적어도 하나의 프로세서를 포함할 수 있다. 적어도 하나의 프로세서는 ASIC(Application Specific Integrated Circuit), DSP(Digital Signal Processor), PLD(Programmable Logic Device), FPGA(Field Programmable Gate Array), CPU(Central Processing unit), 마이크로컨트롤러(microcontroller) 및/또는 마이크로프로세서(microprocessor) 등으로 구현될 수 있다. 각 구성요소(110 또는 120)는 메모리를 더 포함할 수 있다. 메모리는 플래시 메모리(flash memory), 하드디스크(hard disk), SSD(Solid State Disk), RAM(Random Access Memory), SRAM(Static Random Access Memory), ROM(Read Only Memory), PROM(Programmable Read Only Memory), EEPROM(Electrically Erasable and Programmable ROM), EPROM(Erasable and Programmable ROM) 및/또는 eMMC(embedded multimedia card) 등과 같은 저장매체를 포함할 수 있다.Each component 110 or 120 may include at least one processor. The at least one processor may include an Application Specific Integrated Circuit (ASIC), a Digital Signal Processor (DSP), a Programmable Logic Device (PLD), a Field Programmable Gate Array (FPGA), a Central Processing Unit (CPU), a microcontroller, and/or It may be implemented with a microprocessor or the like. Each component 110 or 120 may further include a memory. Memory includes flash memory, hard disk, solid state disk (SSD), random access memory (RAM), static random access memory (SRAM), read only memory (ROM), and programmable read only (PROM) memory. memory), electrically erasable and programmable ROM (EEPROM), erasable and programmable ROM (EPROM), and/or embedded multimedia card (eMMC).

이하에서는 상기와 같이 구성되는 5G SA망 PFCP-IN-GTP 패킷 탐지시스템을 통한 5G SA망 PFCP-IN-GTP 패킷 탐지방법에 대해서 도 5 내지 7을 통해서 상세하게 설명하도록 한다.Hereinafter, a 5G SA network PFCP-IN-GTP packet detection method through the 5G SA network PFCP-IN-GTP packet detection system configured as described above will be described in detail with reference to FIGS. 5 to 7.

도 5는 본 발명의 일실시예에 따른 5G SA망 PFCP-IN-GTP 패킷 탐지시스템의 5G SA망 PFCP-IN-GTP 패킷 탐지방법 순서도이다. 도 5에 도시된 바와 같이, 본 발명에 따른 5G SA망 PFCP-IN-GTP 패킷 탐지시스템의 5G SA망 PFCP-IN-GTP 패킷 탐지방법은 데이터 수집부(110)가 사용자장비로부터 송출되는 GTP-U 메시지(GTP user data message)를 수집하는 단계(S100)와 사용자장비 식별부(120)가 상기 데이터 수집부(110)가 수집한 GTP-U 메시지를 분석하여, 비정상 트래픽 유발 사용자장비(User Equipment)를 식별하는 단계(S200)로 이루어진다.5 is a flowchart of a 5G SA network PFCP-IN-GTP packet detection method of a 5G SA network PFCP-IN-GTP packet detection system according to an embodiment of the present invention. 5, the 5G SA network PFCP-IN-GTP packet detection method of the 5G SA network PFCP-IN-GTP packet detection system according to the present invention is Collecting a U message (GTP user data message) (S100) and the user equipment identification unit 120 analyzes the GTP-U message collected by the data collection unit 110, ) It consists of a step (S200) of identifying.

먼저, 상기 단계(S100)에서 수집되는 상기 GTP-U 메시지는, 사용자장비(User Equipment)에서 발생되는 사용자 패킷 데이터에 GTP 터널링 패킷 데이터가 결합된 것으로, gNB(gNodeB)와 UPF(User Plane Function) 사이에 송수신되는 패킷 데이터로, 이는 도 7과 같다. 도 7은 본 발명의 일실시예에 따른 GTP-U 메시지의 예시도이다.First, the GTP-U message collected in the step S100 is a combination of GTP tunneling packet data with user packet data generated from user equipment, and a gNB (gNodeB) and UPF (User Plane Function) This is packet data transmitted and received between the terminals, as shown in FIG. 7 . 7 is an exemplary diagram of a GTP-U message according to an embodiment of the present invention.

다음으로 상기 단계(S200)에 대해서 좀 더 상세하게 설명하면, 도 6과 같다. 도 6은 본 발명의 일실시예에 따른 사용자장비 식별부의 비정상 트래픽 유발 사용자 식별방법 순서도이다. 도 6에 도시된 바와 같이, 상기 단계(S200)는 먼저 GTP 터널링 패킷 확인부(121)가 상기 데이터 수집부(100)가 수집한 GTP-U 메시지의 GTP 터널링 패킷 데이터의 UDP(User Datagram Protocol) port가 2152인지를 확인하는 단계(S210)를 포함한다.Next, the step (S200) will be described in more detail as shown in FIG. 6. 6 is a flow chart of a method for identifying a user causing abnormal traffic in a user equipment identification unit according to an embodiment of the present invention. As shown in FIG. 6, in step S200, first, the GTP tunneling packet checking unit 121 transmits UDP (User Datagram Protocol) and checking whether the port is 2152 (S210).

상기 단계(S210)에서 GTP-U 메시지의 GTP 터널링 패킷 데이터의 UDP(User Datagram Protocol) port가 2152이 아닐 경우, GTP 터널링 패킷 확인부(121)는 상기 사용자장비를 정상으로 판단하고, 프로세스를 종료한다.In the step S210, if the UDP (User Datagram Protocol) port of the GTP tunneling packet data of the GTP-U message is not 2152, the GTP tunneling packet checking unit 121 determines that the user equipment is normal and terminates the process. do.

다음으로 상기 단계(S200)는 사용자 패킷 확인부(122)가 상기 GTP 터널링 패킷 확인부(121)가 확인한 GTP 터널링 패킷 데이터의 UDP port가 2152일 경우, GTP-U 메시지의 사용자 패킷 데이터의 UDP port가 8805인지 확인하는 단계(S220)를 포함한다.Next, in the step S200, if the UDP port of the GTP tunneling packet data checked by the GTP tunneling packet checking unit 121 is 2152, the user packet checking unit 122, the UDP port of the user packet data of the GTP-U message and checking whether is 8805 (S220).

상기 단계(S220)에서 GTP 터널링 패킷 데이터의 UDP port가 8805가 아닐 경우, 사용자 패킷 확인부(122)는 상기 사용자장비를 정상으로 판단하고, 프로세스를 종료한다.In the step S220, if the UDP port of the GTP tunneling packet data is not 8805, the user packet checking unit 122 determines that the user equipment is normal and ends the process.

마지막으로 상기 단계(S200)는 비정상 판단부(123)가 상기 사용자 패킷 확인부(122)가 확인한 사용자 패킷 데이터의 UDP port가 8805일 경우, 사용자 패킷 데이터 내의 PFCP 메시지의 상위 2byte(flag/message type)를 추출 및 검사하여 비정상 트래픽 유발 사용자장비(User Equipment)인지를 판단하는 단계(S230)를 포함한다.Finally, in the step S200, if the UDP port of the user packet data confirmed by the user packet checker 122 is 8805 by the abnormal determination unit 123, the upper 2 bytes of the PFCP message in the user packet data (flag/message type ) is extracted and inspected to determine whether it is an abnormal traffic-causing user equipment (S230).

상기 단계(S230)에서 상기 비정상 판단부(123)는 상기 PFCP 메시지로부터 추출된 상위 2byte(flag/message type)가 미리 정의된 테이블에 존재할 경우, 상기 GTP-U 메시지를 송출한 사용자장비(User Equipment)를 비정상 트래픽 유발 사용자장비(User Equipment)로 판단하고 탐지정보를 관제원에게 생성 및 전달하는데, 상기 미리 정의된 테이블은 도 8과 같다. 도 8은 본 발명의 일실시예에 따른 (flag/message type) 정의 테이블 예시도이다. 도 8에 도시된 바와 같이, PFCP 메시지로부터 추출된 상위 2byte(flag/message type)가 flag가 0x20 내지 0x27이고, message type(Request: 1, Response: 2)인 경우에는 Heartbeat이며, message type(Request: 3, Response: 4)인 경우에는 PFD Management이며, message type(Request: 5, Response: 6)인 경우에는 Association Setup이며, message type(Request: 7, Response: 8)인 경우에는 Association Update이며, message type(Request: 9, Response: 10)인 경우에는 Association Release이며, message type(Request: -, Response: 11)인 경우에는 Version Not Supported이며, message type(Request: 12, Response: 13)인 경우에는 Node Report이며, message type(Request: 14, Response: 15)인 경우에는 Session Set Deletion이며, message type(Request: 50, Response: 51)인 경우에는 Session Establishment이며, message type(Request: 52, Response: 53)인 경우에는 Session Modification이며, message type(Request: 54, Response: 55)인 경우에는 Session Deletion이며, message type(Request: 56, Response: 57)인 경우에는 Session Report로 비정상 트래픽에 해당한다.In the step S230, the abnormal determination unit 123, if the upper 2 bytes (flag/message type) extracted from the PFCP message exist in a predefined table, the user equipment that transmitted the GTP-U message ) is determined as abnormal traffic-causing user equipment, and detection information is generated and transmitted to a controller. The predefined table is shown in FIG. 8. 8 is an exemplary view of a (flag/message type) definition table according to an embodiment of the present invention. As shown in FIG. 8, the upper 2 bytes (flag/message type) extracted from the PFCP message are Heartbeat when the flag is 0x20 to 0x27 and the message type (Request: 1, Response: 2), and the message type (Request : 3, Response: 4), PFD Management, message type (Request: 5, Response: 6), Association Setup, message type (Request: 7, Response: 8), Association Update, In case of message type (Request: 9, Response: 10), Association Release, in case of message type (Request: -, Response: 11), Version Not Supported, in case of message type (Request: 12, Response: 13) is Node Report, message type (Request: 14, Response: 15) is Session Set Deletion, message type (Request: 50, Response: 51) is Session Establishment, message type (Request: 52, Response : 53), Session Modification, message type (Request: 54, Response: 55), Session Deletion, message type (Request: 56, Response: 57), Session Report, which corresponds to abnormal traffic. .

따라서, 상기한 바와 같이 본 발명에 따른 5G SA망 PFCP-IN-GTP 패킷 탐지시스템은 5G SA(StandAlone)망에서 사용자장비로부터 송출되는 GTP-U 메시지(GTP user data message)를 수집 및 분석하여 비정상 트래픽 유발 사용자장비(User Equipment)를 식별하여 관제원에게 알려줌으로써 비정상 트래픽 유발 공격을 방지할 수 있는 효과가 있다.Therefore, as described above, the 5G SA network PFCP-IN-GTP packet detection system according to the present invention collects and analyzes GTP-U messages (GTP user data messages) transmitted from user equipment in the 5G SA (StandAlone) network to detect abnormalities. There is an effect of preventing abnormal traffic-causing attacks by identifying traffic-causing user equipment and informing the controller.

이상 첨부된 도면을 참조하여 본 발명의 실시예들을 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적인 것이 아닌 것으로 이해해야만 한다.Although the embodiments of the present invention have been described with reference to the accompanying drawings, those skilled in the art to which the present invention pertains can be implemented in other specific forms without changing the technical spirit or essential features of the present invention. you will be able to understand Therefore, the embodiments described above should be understood as illustrative in all respects and not limiting.

100 : 5G SA망 PFCP-IN-GTP 패킷 탐지시스템
110 : 데이터 수집부
120 : 사용자장비 식별부
121 : GTP 터널링 패킷 확인부
122 : 사용자 패킷 확인부
123 : 비정상 판단부100: 5G SA network PFCP-IN-GTP packet detection system
110: data collection unit
120: user equipment identification unit
121: GTP tunneling packet verification unit
122: user packet verification unit
123: abnormal judgment unit

Claims (8)

사용자장비로부터 송출되는 GTP-U 메시지(GTP user data message)를 수집하는 데이터 수집부(110); 및
상기 데이터 수집부(110)가 수집한 GTP-U 메시지를 분석하여, 비정상 트래픽 유발 사용자장비(User Equipment)를 식별하는 사용자장비 식별부(120);
를 포함하되,
사용자장비 식별부(120)는,
상기 데이터 수집부(110)가 수집한 GTP-U 메시지의 GTP 터널링 패킷 데이터의 UDP(User Datagram Protocol) port가 2152인지를 확인하는 GTP 터널링 패킷 확인부(121);
상기 GTP 터널링 패킷 확인부(121)가 확인한 GTP 터널링 패킷 데이터의 UDP port가 2152일 경우, GTP-U 메시지의 사용자 패킷 데이터의 UDP port가 8805인지 확인하는 사용자 패킷 확인부(122); 및
상기 사용자 패킷 확인부(122)가 확인한 사용자 패킷 데이터의 UDP port가 8805일 경우, 사용자 패킷 데이터 내의 PFCP 메시지의 상위 2byte(flag/message type)를 추출 및 검사하여 비정상 트래픽 유발 사용자장비(User Equipment)인지를 판단하는 비정상 판단부(123);
를 포함하며,
상기 비정상 판단부(123)는,
상기 PFCP 메시지로부터 추출된 상위 2byte(flag/message type)가 미리 정의된 테이블에 존재할 경우, 상기 GTP-U 메시지를 송출한 사용자장비(User Equipment)를 비정상 트래픽 유발 사용자장비(User Equipment)로 판단하고 탐지정보를 관제원에게 생성 및 전달하며,
상기 미리 정의된 테이블은 flag가 0x20 내지 0x27이고, message type(Request: 1, Response: 2)인 경우에는 Heartbeat이며, message type(Request: 3, Response: 4)인 경우에는 PFD Management이며, message type(Request: 5, Response: 6)인 경우에는 Association Setup이며, message type(Request: 7, Response: 8)인 경우에는 Association Update이며, message type(Request: 9, Response: 10)인 경우에는 Association Release이며, message type(Request: -, Response: 11)인 경우에는 Version Not Supported이며, message type(Request: 12, Response: 13)인 경우에는 Node Report이며, message type(Request: 14, Response: 15)인 경우에는 Session Set Deletion이며, message type(Request: 50, Response: 51)인 경우에는 Session Establishment이며, message type(Request: 52, Response: 53)인 경우에는 Session Modification이며, message type(Request: 54, Response: 55)인 경우에는 Session Deletion이며, message type(Request: 56, Response: 57)인 경우에는 Session Report인 것을 특징으로 하는 5G SA망 PFCP-IN-GTP 패킷 탐지시스템.
a data collection unit 110 that collects GTP-U messages transmitted from user equipment; and
a user equipment identification unit 120 that analyzes the GTP-U messages collected by the data collection unit 110 and identifies user equipment causing abnormal traffic;
Including,
The user equipment identification unit 120,
a GTP tunneling packet checking unit 121 that checks whether a User Datagram Protocol (UDP) port of the GTP tunneling packet data of the GTP-U message collected by the data collecting unit 110 is 2152;
If the UDP port of the GTP tunneling packet data checked by the GTP tunneling packet checker 121 is 2152, the user packet checker 122 checks whether the UDP port of the user packet data of the GTP-U message is 8805; and
If the UDP port of the user packet data checked by the user packet checker 122 is 8805, the upper 2 bytes (flag/message type) of the PFCP message in the user packet data are extracted and inspected to generate abnormal traffic User Equipment an abnormal determination unit 123 for determining whether the recognition is abnormal;
Including,
The abnormal determination unit 123,
If the upper 2 bytes (flag/message type) extracted from the PFCP message exist in a predefined table, the user equipment that transmitted the GTP-U message is determined to be an abnormal traffic-causing user equipment, Generates and delivers detection information to the controller,
In the predefined table, the flag is 0x20 to 0x27, the message type (Request: 1, Response: 2) is Heartbeat, the message type (Request: 3, Response: 4) is PFD Management, and the message type (Request: 5, Response: 6) is Association Setup, message type (Request: 7, Response: 8) is Association Update, and message type (Request: 9, Response: 10) is Association Release , and in case of message type (Request: -, Response: 11), Version Not Supported, in case of message type (Request: 12, Response: 13), it is Node Report, and in case of message type (Request: 14, Response: 15) , Session Set Deletion, message type (Request: 50, Response: 51), Session Establishment, message type (Request: 52, Response: 53), Session Modification, message type (Request: 54 , Response: 55), Session Deletion, and message type (Request: 56, Response: 57), Session Report. PFCP-IN-GTP packet detection system for 5G SA network.
 제1항에 있어서,
상기 GTP-U 메시지는,
사용자장비(User Equipment)에서 발생되는 사용자 패킷 데이터에 GTP 터널링 패킷 데이터가 결합된 것으로, gNB(gNodeB)와 UPF(User Plane Function) 사이에 송수신되는 패킷 데이터인 것을 특징으로 하는 5G SA망 PFCP-IN-GTP 패킷 탐지시스템.
According to claim 1,
The GTP-U message,
GTP tunneling packet data is combined with user packet data generated by user equipment, and packet data transmitted and received between gNB (gNodeB) and UPF (User Plane Function) PFCP-IN of 5G SA network -GTP packet detection system.
 삭제delete 삭제delete 데이터 수집부(110)가 사용자장비로부터 송출되는 GTP-U 메시지(GTP user data message)를 수집하는 단계; 및
사용자장비 식별부(120)가 상기 데이터 수집부(110)가 수집한 GTP-U 메시지를 분석하여, 비정상 트래픽 유발 사용자장비(User Equipment)를 식별하는 단계;
를 포함하되,
상기 사용자장비 식별부(120)가 비정상 트래픽 유발 사용자장비(User Equipment)를 식별하는 단계는,
GTP 터널링 패킷 확인부(121)가 상기 데이터 수집부(110)가 수집한 GTP-U 메시지의 GTP 터널링 패킷 데이터의 UDP(User Datagram Protocol) port가 2152인지를 확인하는 단계;
사용자 패킷 확인부(122)가 상기 GTP 터널링 패킷 확인부(121)가 확인한 GTP 터널링 패킷 데이터의 UDP port가 2152일 경우, GTP-U 메시지의 사용자 패킷 데이터의 UDP port가 8805인지 확인하는 단계; 및
비정상 판단부(123)가 상기 사용자 패킷 확인부(122)가 확인한 사용자 패킷 데이터의 UDP port가 8805일 경우, 사용자 패킷 데이터 내의 PFCP 메시지의 상위 2byte(flag/message type)를 추출 및 검사하여 비정상 트래픽 유발 사용자장비(User Equipment)인지를 판단하는 단계;
를 포함하며,
상기 비정상 판단부(123)는,
상기 PFCP 메시지로부터 추출된 상위 2byte(flag/message type)가 미리 정의된 테이블에 존재할 경우, 상기 GTP-U 메시지를 송출한 사용자장비(User Equipment)를 비정상 트래픽 유발 사용자장비(User Equipment)로 판단하고 탐지정보를 관제원에게 생성 및 전달하며,
상기 미리 정의된 테이블은 flag가 0x20 내지 0x27이고, message type(Request: 1, Response: 2)인 경우에는 Heartbeat이며, message type(Request: 3, Response: 4)인 경우에는 PFD Management이며, message type(Request: 5, Response: 6)인 경우에는 Association Setup이며, message type(Request: 7, Response: 8)인 경우에는 Association Update이며, message type(Request: 9, Response: 10)인 경우에는 Association Release이며, message type(Request: -, Response: 11)인 경우에는 Version Not Supported이며, message type(Request: 12, Response: 13)인 경우에는 Node Report이며, message type(Request: 14, Response: 15)인 경우에는 Session Set Deletion이며, message type(Request: 50, Response: 51)인 경우에는 Session Establishment이며, message type(Request: 52, Response: 53)인 경우에는 Session Modification이며, message type(Request: 54, Response: 55)인 경우에는 Session Deletion이며, message type(Request: 56, Response: 57)인 경우에는 Session Report인 것을 특징으로 하는 5G SA망 PFCP-IN-GTP 패킷 탐지방법.
Collecting, by the data collecting unit 110, a GTP-U message (GTP user data message) transmitted from user equipment; and
analyzing, by the user equipment identification unit 120, the GTP-U message collected by the data collection unit 110, and identifying user equipment causing abnormal traffic;
Including,
The step of the user equipment identification unit 120 identifying abnormal traffic-causing user equipment,
checking, by the GTP tunneling packet checking unit 121, whether the UDP (User Datagram Protocol) port of the GTP tunneling packet data of the GTP-U message collected by the data collection unit 110 is 2152;
When the UDP port of the GTP tunneling packet data checked by the GTP tunneling packet checking unit 121 is 2152, the user packet checking unit 122 checks whether the UDP port of the user packet data of the GTP-U message is 8805; and
If the UDP port of the user packet data confirmed by the user packet checker 122 is 8805, the abnormality determination unit 123 extracts and inspects the upper 2 bytes (flag/message type) of the PFCP message in the user packet data to detect abnormal traffic Determining whether it is a triggering user equipment;
Including,
The abnormal determination unit 123,
If the upper 2 bytes (flag/message type) extracted from the PFCP message exist in a predefined table, the user equipment that transmitted the GTP-U message is determined to be an abnormal traffic-causing user equipment, Generates and delivers detection information to the controller,
In the predefined table, the flag is 0x20 to 0x27, the message type (Request: 1, Response: 2) is Heartbeat, the message type (Request: 3, Response: 4) is PFD Management, and the message type (Request: 5, Response: 6) is Association Setup, message type (Request: 7, Response: 8) is Association Update, and message type (Request: 9, Response: 10) is Association Release , and in case of message type (Request: -, Response: 11), Version Not Supported, in case of message type (Request: 12, Response: 13), it is Node Report, and in case of message type (Request: 14, Response: 15) , Session Set Deletion, message type (Request: 50, Response: 51), Session Establishment, message type (Request: 52, Response: 53), Session Modification, message type (Request: 54 , Response: 55), Session Deletion, and 5G SA network PFCP-IN-GTP packet detection method, characterized in that Session Report in case of message type (Request: 56, Response: 57).
 제5항에 있어서,
상기 GTP-U 메시지는,
사용자장비(User Equipment)에서 발생되는 사용자 패킷 데이터에 GTP 터널링 패킷 데이터가 결합된 것으로, gNB(gNodeB)와 UPF(User Plane Function) 사이에 송수신되는 패킷 데이터인 것을 특징으로 하는 5G SA망 PFCP-IN-GTP 패킷 탐지방법.
According to claim 5,
The GTP-U message,
GTP tunneling packet data is combined with user packet data generated by user equipment, and packet data transmitted and received between gNB (gNodeB) and UPF (User Plane Function) PFCP-IN of 5G SA network -GTP packet detection method.
 삭제delete 삭제delete
KR1020220090812A 2022-07-22 2022-07-22 System and method for detecting PFCP-IN-GTP packet in 5G standalone KR102504207B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020220090812A KR102504207B1 (en) 2022-07-22 2022-07-22 System and method for detecting PFCP-IN-GTP packet in 5G standalone

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020220090812A KR102504207B1 (en) 2022-07-22 2022-07-22 System and method for detecting PFCP-IN-GTP packet in 5G standalone

Publications (1)

Publication Number Publication Date
KR102504207B1 true KR102504207B1 (en) 2023-02-27

Family

ID=85329486

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020220090812A KR102504207B1 (en) 2022-07-22 2022-07-22 System and method for detecting PFCP-IN-GTP packet in 5G standalone

Country Status (1)

Country Link
KR (1) KR102504207B1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101162284B1 (en) * 2011-12-12 2012-07-13 한국인터넷진흥원 System and method for anomaly gtp packet intrusion prevention
KR101501670B1 (en) * 2013-12-03 2015-03-12 한국인터넷진흥원 User identification method of attack/anomaly traffic in mobile communication network
US20220131830A1 (en) * 2020-10-26 2022-04-28 Cisco Technology, Inc. Network address translation (nat) traversal and proxy between user plane function (upf) and session management function (smf)

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101162284B1 (en) * 2011-12-12 2012-07-13 한국인터넷진흥원 System and method for anomaly gtp packet intrusion prevention
KR101501670B1 (en) * 2013-12-03 2015-03-12 한국인터넷진흥원 User identification method of attack/anomaly traffic in mobile communication network
US20220131830A1 (en) * 2020-10-26 2022-04-28 Cisco Technology, Inc. Network address translation (nat) traversal and proxy between user plane function (upf) and session management function (smf)

Similar Documents

Publication Publication Date Title
CN104937886B (en) Log analysis device, information processing method
CN111935170B (en) Network abnormal flow detection method, device and equipment
CN1946077B (en) System and method for detecting abnormal traffic based on early notification
JP2006279930A (en) Method and device for detecting and blocking unauthorized access
CN111030876B (en) NB-IoT terminal fault positioning method and device based on DPI
WO2021139643A1 (en) Method and apparatus for detecting encrypted network attack traffic, and electronic device
CN101001242B (en) Method of network equipment invaded detection
CN111935172A (en) Network abnormal behavior detection method based on network topology, computer device and computer readable storage medium
CN110417717B (en) Login behavior identification method and device
CN110719302A (en) Method and device for detecting signaling storm attack of Internet of things
CN110798427A (en) Anomaly detection method, device and equipment in network security defense
CN110191004B (en) Port detection method and system
CN103281336A (en) Network intrusion detection method
CN110266726A (en) A kind of method and device identifying DDOS attack data flow
US8948019B2 (en) System and method for preventing intrusion of abnormal GTP packet
KR102504207B1 (en) System and method for detecting PFCP-IN-GTP packet in 5G standalone
KR101488271B1 (en) Apparatus and method for ids false positive detection
CN114339767A (en) Signaling detection method and device, electronic equipment and storage medium
KR20070060441A (en) Effective intrusion detection device and the method by analyzing traffic patterns
CN111565196B (en) KNXnet/IP protocol intrusion detection method, device, equipment and medium
CN113225342A (en) Communication abnormity detection method and device, electronic equipment and storage medium
KR102170743B1 (en) Apparatus and method for modeling steady-state network using unsupervised learning
KR100432168B1 (en) Multiple Intrusion Detection Objects in Security Gateway System for Network Intrusion Detection
KR100733830B1 (en) DDoS Detection and Packet Filtering Scheme
CN102104606A (en) Worm detection method of intranet host