KR20060051727A - 침입 감지 방법 - Google Patents

침입 감지 방법 Download PDF

Info

Publication number
KR20060051727A
KR20060051727A KR1020050090327A KR20050090327A KR20060051727A KR 20060051727 A KR20060051727 A KR 20060051727A KR 1020050090327 A KR1020050090327 A KR 1020050090327A KR 20050090327 A KR20050090327 A KR 20050090327A KR 20060051727 A KR20060051727 A KR 20060051727A
Authority
KR
South Korea
Prior art keywords
protocol
message
way
voip
session
Prior art date
Application number
KR1020050090327A
Other languages
English (en)
Other versions
KR100822553B1 (ko
Inventor
사친 가르그
나브좃 신그
티모시 코치 트사이
유-성 우
사우라브 백치
Original Assignee
아바야 테크놀러지 엘엘씨
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 아바야 테크놀러지 엘엘씨 filed Critical 아바야 테크놀러지 엘엘씨
Publication of KR20060051727A publication Critical patent/KR20060051727A/ko
Application granted granted Critical
Publication of KR100822553B1 publication Critical patent/KR100822553B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Telephonic Communication Services (AREA)

Abstract

2개 이상의 프로토콜의 메시지를 사용한 침입을 검출하는 방법이 개시된다. 이러한 침입은 2개 이상의 프로토콜이 VoIP가 아닌 일부 서비스를 지원하는 시스템에서는 물론 VoIP 시스템에서 발생할 수 있다. 본 발명의 실시예에서, 상태 기반 IDS는 크로스 프로토콜 사전 상태를 가진 규칙을 사용할 수 있다. 실시예는 이러한 규칙을 사용해서 호출 하이재킹, BYE 공격 등과 같은 다양한 VoIP 기반 침입 시도를 인식할 수 있다. 또한, 실시예는 이러한 규칙을 사용해서 2개 이상의 프로토콜이 VoIP가 아닌 서비스를 지원하는 다른 종류의 침입 시도를 인식할 수 있다. 이 실시예는 크로스 프로토콜 사전 조건을 가진 규칙을 사용할 수 있는 상태 기반 방화벽도 포함한다.

Description

침입 감지 방법{STATEFUL AND CROSS-PROTOCOL INTRUSION DETECTION FOR VOICE OVER IP}
도 1은 종래의 기술에 따른 원격 통신 시스템의 개략도,
도 2는 종래의 기술에 따른, 도 1에 도시된 바와 같은 내부 네트워크(101)의 구성 요소를 도시하는 개략도,
도 3은 본 발명의 실시예에 따른 내부 네트워크의 구성 요소의 개략도,
도 4는 본 발명의 실시예에 따른, 도 3에 도시된 바와 같은 IDS(302)의 논리 아키텍처를 도시하는 도면,
도 5는 본 발명의 실시예에 따른, IDS(302)의 사일런트 태스크의 흐름도를 도시하는 도면,
도 6은 본 발명의 실시예에 따른, 도 3에 도시된 바와 같은 방화벽(303)의 논리 아키텍처를 도시하는 도면,
도 7은 본 발명의 실시예에 따른, 방화벽(303)의 사일런트 태스크의 흐름도를 도시하는 도면,
도 8은 본 발명의 제 2 실시예에 따른 도 3에 도시된 바와 같은 내부 네트워크(301)의 구성 요소의 개략도.
도면의 주요 부분에 대한 부호의 설명
100 : 원격 통신 시스템 101 : 내부 네트워크
302 : IDS 203 : 방화벽
204-1 내지 204-N : 컴퓨터 시스템
410 : 메시지 프로세서 420 : 상태 생성기
430 : 이벤트 생성기 440 : 규칙 일치 엔진
415 : 트레일 히스토리 425 : 트레일 상태
435 : 이벤트 히스토리 445 : 규칙 근거
407, 413, 417, 422, 423, 427, 432, 433, 437, 442, 443, 447 : 이벤트
본 발명은 일반적으로 원격 통신에 관한 것이고, 더 상세하게는 네트워크 보안에 관한 것이다.
침입이란 비인가 사용자(예컨대, "해커" 등)가 컴퓨터 시스템에 침입하거나 이를 도용(예컨대, 보안 데이터의 절취 등)하려는 것이다. IDS(Intrusion Detection System)은 컴퓨터 시스템으로 들어오는 메시지 및 컴퓨터 시스템으로부터 나가는 메시지(예컨대, 패킷 등)를 모니터하고, 이들 메시지에 기초해서 침입이 시도되었는지 판정한다. IDS는 불규칙하거나 의심스러운 메시지의 시퀀스가 발생 할 때 혹은 메시지의 시퀀스가 알려진 "침입 신호"에 일치할 때 침입 시도가 계속되는 것으로 판정할 수 있다.
도 1은 종래의 기술에 따른 원격 통신 시스템(100)을 개략적으로 도시한다. 도 1에 도시된 바와 같이, 원격 통신 시스템(100)은 내부 네트워크(101:예컨대 거대 도시 통신망, 거주지 근거리 통신망 등)를 포함하며, 이는 외부 네트워크(예컨대, 인터넷 등)를 통해서 메시지를 수신하고, 외부 네트워크를 통해서 외부 데이터 처리 시스템으로 메시지를 전송한다.
도 2는 종래의 기술에 따른 내부 네트워크(101)의 구성 요소를 도시하는 개략도이다. 도 2에 도시된 바와 같이, 내부 네트워크(101)는 도시된 바와 같이 서로 접속된 IDS(202), 방화벽(203) 및 컴퓨터 시스템(204-1 내지 204-N:N은 양의 정수임)을 포함한다.
각각의 컴퓨터 시스템(204-n:n∈1, 2, K, N)은 개인용 컴퓨터, 서버, 랩톱 컴퓨터, 무선 LAN 통신 성능을 가진 PDA 등이 될 수 있다.
컴퓨터 시스템(204-n:n∈1, 2, K, N)으로 전송되는 입수 메시지는 우선 방화벽을 지나며, 이 방화벽은 메시지를 검지하여, 메시지가 목적지에 도달하지 못하게 차단하고, 설정된 규칙에 기초해서 메시지를 통과시킨다. 이 규칙의 예로는, 도메인 badguys.com으로부터 오는 모든 메시지는 차단, 특정 프로토콜 타입을 제외하고는 모든 메시지를 차단 등을 들 수 있다.
방화벽(203)이 입수 메시지의 통과를 허용하면, 후속해서 IDS(202)가 메시지를 수신해서 검사한다. IDS(202)는 방화벽(203) 통과가 허용된 하나 이상의 메시 지를 포함하는 침입 시도를 검출함으로써 추가 보안층을 제공한다. 예컨대, 방화벽(203)은 내부 네트워크(101)의 웹 서버로의 외부 액세스를 포트(80)로 제한하지만, IDS가 없다면, 웹 서버 소프트웨어(예컨대, ColdFusion, Apache 등)의 버그로 인해 합법적인 트래픽 처리 포트(80)를 통해서 웹 서버 자체를 공격할 수도 있을 것이다. 유사하게, 방화벽(203)이 내부 네트워크(101) 주위에서 "펜스"의 역할을 한다. 펜스는 보안을 제공하지만, 누군가가 침입하려하는 것을(예컨대, 지하 터널을 파거나 해서) 검출하는 성능은 갖고 있지 않다. 그러나, IDS(202)은 방화벽(203)이 검출할 수 없는 일부 침입 시도를 인식할 수 있다.
VoIP(Voice over Internet Protocol) 시스템은 회선 교환 교환망(예컨대, 공중 전화 교환망 등) 대신에 패킷 교환 IP 데이터 네트워크를 통해서 음성 트래픽을 전송한다. 전형적으로, VoIP 시스템은 2개의 주 프로토콜 H323 및 SIP(Session Initiation Protocol)에 기초한다. 두가지 타입의 시스템에서, 호출하는 그리고 호출받는 원격 통신 단말기(예컨대, 하드폰(hardphones), 소프트폰(softphones) )VoIP 사용자의 에이전트는 실시간 전송 프로토콜(RTP)에 따라서 인코딩된 음성 신호를 포함하는 패킷을 송수신한다. 또한, VoIP 게이트웨이는 IP 기반 네트워크와 비 IP 기반 네트워크 사이에서(예컨대, PSTN 전화기와 IP 전화기 사이 등) 투명하게 트래픽을 변환하기 위해서 MGCP(Gateway Contorl Protocol) 또는 MEGACO/H.248과 같은 매체 관리 프로토콜을 사용할 수 있다.
VoIP의 가장 큰 장점은 음성 네트워크와 데이터 네트워크의 통합(convergence)을 가능하게 한다는 점이다. 그러나, 데이터 네트워크로 음성 트래 픽을 이동(migration)시킴으로써 음성 네트워크는 프라이버시, 서비스 품질 및 정확한 과금을 손상시키는 침입 또는 다른 공격(예컨대, 서비스 거부(denial of service) 공격, 인증 공격 등)에 쉽게 노출된다. 또한, VoIP 시스템의 특성으로 인해서, 종래 IDS 중 일부는 VoIP 패킷을 사용하는 침입에 대해서 부적절한 보안을 제공한다(즉, VoIP 기반 침입).
VoIP 기반 침입과 같은 특성을 보이는 다른 종류의 침입 시도는 물론 VoIP 기반 침입 시도를 검출할 수 있는 IDS가 요구된다.
본 발명은 VoIP 트래픽의 특정한 특성이 일부 IDS가 VoIP 기반 침입 시도를 인식하는 것을 곤란하게 할 수 있다는 연구에 기초하고 있다. 특히, 실시예는 (i) VoIP가 복수의 프로토콜(예컨대, SIP, RTP 등)에 의해 지원되는 서비스이고, (ii) 이들 프로토콜 중 2개 이상을 통해서 전송되는 특정 메시지 시퀀스를 통해서 데이터 처리 시스템을 공격할 수 있다는 점에 기초하고 있다.
예컨대, 이른바 호출 하이재킹(call hijacking)이 VoIP 기반 침입의 한 타입이다. 호출 하이재킹에서, 공격자는 SIP REINVITE 메시지를 호출된 단말기의 VoIP 사용자 에이전트에 전송한다. 전형적으로 REINVITE 메시지는 호출 이동(예컨대, 유선 전화로부터 무선 전화로의 호출 등)을 위해 전송된다. 그러나, 제 3 자인 공격자에 의해 전송된 악의적인 REINVITE 메시지는 호출된 단말기에 전송된 RTP 트래픽을 일부 다른 단말기에게 재전송할 수 있다.
VoIP 기반 침입의 다른 예는 이른바 BYE 공격으로, 그 목적은 호출을 조기에 종료시켜 버리는 것이다. BYE 공격에서, 공격자는 가짜 SIP BYE 메시지를 현재 VoIP 호출에 계약된 사용자 에이전트 A에 전송한다. 사용자 에이전트 A는 BYE 메시지를 수신했을 때, 멀리 떨어진 곳의 사용자 에이전트(사용자 에이전트 B)가 호출을 종료시키기를 원하는 것으로 결론짓는다. 결과적으로, 사용자 에이전트 A는 외부로 나가는 RTP 메시지 스트림을 즉시 정지시키고, 사용자 에이전트 B는 제 3 자 BYE 메시지를 인식하지 않고, RTP 메시지를 사용자 에이전트 A에 계속해서 전송한다.
이들 모든 예에서, 침입은 2개의 애플리케이션 계층 프로토콜 SIP 및 RTP의 메시지에 기초하고 있다. 이러한 침입은 IDS 시스템 규칙 근거(즉, 2개 이상의 프로토콜을 커버하는 사전 조건을 가진 규칙)에 적절한 크로스 프로토콜(cross-protocol) 규칙을 포함시킴으로써 본 발명의 실시예에서 방지될 수 있다. 당업자가 이해하는 바와 같이, 위에 설명된 예시적인 VoIP 기반 침입이 SIP 및 RTP를 포함하지만, 일부 VoIP 기반 침입은 다른 프로토콜 조합에 기초할 수 있다. 예컨대, 일부 순간적인 메시징 공격은 SIP와 IP 메시지의 조합에 기초할 수 있다.
당업자에게 자명한 바와 같이, 본 발명의 예시적인 예는 크로스 프로토콜 규칙이 VoIP 프로토콜이 아닌 서비스에 기초한 침입으로부터 보호하는 데 사용될 수 있다. 또한, 위에 설명된 바와 같이, 크로스 프로토콜 침입(VoIP 기반이거나 혹은 VoIP 기반이 아님)이 애플리케이션 계층 프로토콜(예컨대, SIP, RTP 등)은 물론 서브 애플리케이션 계층 프로토콜(예컨대 인터넷 프로토콜, 등)을 사용할 수 있다.
크로스 프로토콜 규칙을 허용하는 것에 더해서, 실시예의 침입 검출 시스템은 상태 기반(stateful)이다(즉, 특정 세션의 프로토콜의 상태에 기초한 사전 조건을 가진 규칙을 허용한다). 알려진 바와 같이, 세션 중 임의의 특정 시간의 프로토콜의 상태는 세션의 종래의 이벤트에 기초할 수 있다(예컨대, 메시지, 타임아웃 등). 또한, 크로스 프로토콜 침입은 몇가지 방식으로 서로 관련되는 2개 이상의 세션을 포함하는 것이 전형적이다(예컨대, 같은 트랜잭션에 속하는 SIP 세션 및 RTP 세션 등).
본 발명의 실시예에서, IDS와 같은 방화벽이 상태 기반이고, 크로스 프로토콜 규칙을 사용할 수 있다. 그러나 당업자에게 알려진 바와 같이, 본 발명의 일부 실시예에서 방화벽은 상태 기반이 아닐 수도 있고, 혹은 IDS와 같은 크로스 프로토콜 규칙을 사용할 수 없을 수도 있다.
실시예는 (i) 제 1 세션의 제 1 프로토콜의 상태 및 (ii) 제 2 세션의 제 2 프로토콜의 상태에 기초해서 데이터 처리 시스템에서 신호를 생성하는 단계를 포함할 수 있으며, 여기서 제 1 프로토콜은 제 2 프로토콜과는 다르다.
도 3은 본 발명의 실시예에 따른 내부 네트워크(301)의 구성 요소의 개략도를 도시한다. 도 3에 도시된 바와 같이, 내부 네트워크(301)는 IDS(302), 방화벽(303) 및 컴퓨터 시스템(204-1 내지 204-N: 여기서 N은 양의 정보)을 포함하며, 이들은 도시된 바와 같이 서로 접속되어 있다.
컴퓨터 시스템(204-1 내지 204-N)은 본 발명의 실시예에 따라 종래의 기술에서 변하지 않고 유지된다. 따라서, 본 발명의 실시예를 이루거나 사용하기 위해서 어떤 컴퓨터 시스템(204)에서도 소프트웨어, 하드웨어 등에 어떤 변화도 요구되지 않는다.
본 발명의 실시예에 따라서, IDS(302)는 내부 네트워크를 어떤 침입 시도로부터도 보호할 수 있다. 특히, 이하 설명되며, 도 4 및 도 5에 도시되어 있는 바와 같이 IDS(302)는 상태 기반 크로스 프로토콜 침입 신호를 그 규칙 근거로 저장할 수 있으며, 하나 이상의 이들 신호와 일치하는 침입 시도를 인식할 수 있다.
방화벽(303)은 본 발명의 실시예에 따라서, 선택된 입수 메시지가 내부 네트워크(301)로 더 들어가는 것을 방지할 수 있다. 도 6 및 도 7을 참조로 이하 설명되는 바와 같이, 방화벽(303)은 그 규칙을 기반으로 상태 기반 크로스 프로토콜 규칙을 저장할 수 있고, 하나 이상의 이들 규칙에 기초해서 입수 메시지를 차단할 수 있다.
알려진 바와 같이, 일부 실시예에서, IDS(302) 및 방화벽(303) 중 하나 또는 이들 모두는 내부 네트워크(301)로부터 나가는 메시지도 검시할 수 있다. 일부 실시예에서, 나가는 메시지(예컨대, FTP 세션을 개방하는 메시지 등)는 차단될 수 있으며 혹은 나가는 메시지에 기초해서 침입 경고가 생성될 수 있다(예컨대, 스프푸된(spoofed) 나가는 VoIP 메시지 등).
당업자는 더 이해하겠지만, 일부 실시예에서 IDS(302)는 프로세서 및 메모리를 포함하는 하드웨어 기반 "장치"가 될 수 있으며, 일부 다른 실시예에서 IDS(302)는 서버, 개인용 컴퓨터 등에서 구동하는 프로그램이 될 수 있다. 유사하게, 일부 실시예에서 방화벽(303)은 프로세서 및 메모리를 포함하는 장치가 될 수도 있지만, 다른 실시예에서, 방화벽(303)은 서버, 개인용 컴퓨터 등에서 구동하는 프로그램이 될 수 있다. 당업자는 더 이해하겠지만, 일부 실시예에서 IDS(302) 및 방화벽(303)은 하나의 하드웨어 장치가 될 수도 있고, 하나의 플랫폼에서 구동하는 프로그램이 될 수도 있다.
도 4는 본 발명의 실시예에 따른, IDS(302)의 논리 아키텍처를 도시하고 있다. 도 4에 도시된 바와 같이, IDS(302)는 메시지 프로세서(410), 상태 생성기(420), 이벤트 생성기(430) 및 규칙 일치 엔진(440)과 같은 4개의 프로그램 모듈과, 트레일 히스토리(415), 트레일 상태(425), 이벤트 히스토리(435) 및 규칙 근거(445)와 같은 4개의 데이터를 포함한다. IDS(302)에 입수 메시지가 도달할 때 발생하는 제어 이벤트 및 데이터플로우 이벤트의 시퀀스는 도 4에서 이벤트(407, 413, 417, 422, 423, 427, 432, 433, 437, 442, 443 및 447)로 표시된다.
IDS(302)에 도달하는 입수 메시지(데이터플로우 이벤트(407))는 메시지 프로세서(410)에 의해 수신된다. 메시지 프로세서(410)는
(i) 적절한 프로토콜(예컨대, 인터넷 프로토콜, 등)에 따라서 분할 및 조립될 수 있고,
(ii) 프로토콜 디코딩할 수 있고,
(iii) 트레일 히스토리(415)에 풋프린트(즉, 메시지에 관한 정보)를 저장할 수 있다(데이터플로우 이벤트(413)).
트레일 히스토리(415)는 풋프린트를 특정 세션/프로토콜 조합(예컨대, 제 1 SIP 트레일, 제 2 SIP 트레일, 제 1 RTP 트레일 등)을 나타내는 트레일로 조직할 수 있다.
제어는 상태 생성기(420)로 넘어간다(제어 이벤트(417)). 상태 생성기(420)는 갱신된 트레일 히스토리(415)를 판독해서(데이터플로우 이벤트(422)), 하나 이상의 트레일 상태를 생성하고(예컨대 현재의 트레일 상태를 갱신, 새롭게 생성된 트레일의 상태를 초기화하는 등), 이에 따라서 트레일 상태(425)의 정보를 갱신한다(데이터플로우 이벤트(423)).
제어는 이벤트 생성기(430)로 넘어간다(제어 이벤트(427)). 이벤트 생성기(430)는 갱신된 트레일 상태(425)를 판독하고(데이터플로우 이벤트(432)), 이 정보에 기초해서 하나 이상의 이벤트를 생성한다. 이벤트는 풋프린트의 정보를 상관시키고, 이 정보를 하나의 기술적 개체(descriptive entity)로 집중시키는 추상적인 층이다. 이벤트의 장점은 (i) 규칙 일치 처리(이하 설명됨)의 일부 세부 사항을 가리며, (ii) 이들이 각각의 입수 풋프린트 시점이 아닌 원하는 시점에 규칙 일치를 트리거할 수 있어서 성능을 개선할 수 있다는 점이다. 이에 따라, 이벤트 생성기는 이벤트 히스토리(435)를 갱신하고(데이터플로우 이벤트(423)), 제어는 규칙 일치 엔진(440)으로 넘어간다(제어 이벤트:437).
규칙 일치 엔진(440)은 갱신된 이벤트 히스토리(435:데이터플로우 이벤트(442)) 및 규칙 근거(445:데이터플로우 이벤트(443))를 로딩하고, 하나 이상의 이벤트를 규칙 근거(445)의 규칙에 일치시키는 시도를 한다. 예컨대, 규칙 근거 (445)는 다음 규칙을 포함할 수 있다.
IF 사용자 에이전트 A로부터의 RTP 메시지가 사용자 에이전트 A로부터의 SIP BYE 메시지 이후에 수신되면,
THEN 호출 하이잭킹 침입 경고를 생성한다.
당업자에게 알려진 바와 같이, 규칙 근거의 규칙 및 이러한 규칙에 대한 일치 정보(예컨대, 논리적 술어, 기호 표현 등)를 나타내는 방법은 여러가지가 있다. 규칙 일치 엔진(440)이 일치 규칙을 찾으면, 이벤트(447)로서 도 4에 나타난 출력 신호에 나타난 바와 같이 규칙은 "파이어(fire)"된다(예컨대, 침입 경고가 생성되거나, 입수 메시지가 차단되거나, 새로운 규칙이 규칙 근거(445)에 추가되는 등). 이벤트(447)에서 일치 규칙이 발견되지 않으면, 입수 메시지는 내부 네트워크(301)의 적절한 목적지 컴퓨터 시스템(204)으로 출력된다(위에 설명된 바와 같이, 일부 실시예에서 IDS(302)에 의해 수신된 메시지는 내부 네트워크(301)로부터 나가는 메시지가 될 수도 있으며, 이 경우 메시지는 이벤트(447)에서 방화벽(303)으로 통과된다).
당업자에게 알려진 바와 같이, IDS(302)의 일부 실시예에서, 실시예의 규칙 근거 시스템 대신 다른 지식 표현(knowledge representation) 방법이 사용될 수 있다. 예컨대, 일부 일시예는 결정 트리, 베이즈 추론 네트워크(Bayesian inference network), 신경 네트워크(neural network) 등을 사용할 수 있다. 당업자가 이해하 는 바와 같이, 본 발명의 일부 실시예에서, IDS(302)는 하나의 이벤트가 아닌 이벤트들의 몇가지 조합, 트레일 상태 및 개개의 풋프린트에 기초해서 규칙을 사용할 수 있다. 당업자가 이 명세서를 읽음으로써 어떻게 이러한 실시예를 만들어서 사용하는지 알 것이다.
도 5는 IDS(302)의 사일런트 태스크를 흐름도의 형태로 도시하는 도면이다.
태스크(510)에서, 프로토콜 P에 따른 메시지 M가 알려진 방식으로 수신된다.
태스크(520)에서는 (i) 메시지 M가 속하는 세션과 (ii) 프로토콜 P의 조합에 대응하는 트레일 히스토리(415)에 트레일이 이미 존재하고 있는지 점검한다. 존재한다면, 수행은 태스크(540)로 넘어가고, 존재하지 않으면, 수행은 태스크(530)로 넘어간다.
태스트(530)에서, 위의 (i)와 (ii)의 조합에 대응하는 새로운 트레일이 트레일 히스토리(415)에서 생성된다.
태스크(540)에서, 메시지 M에 관한 정보(예컨대, 메시지의 송신자, 메시지의 목적지, 메시지의 타입, 메시지의 컨텐츠 등)는 알려진 방식으로 트레일 히스토리(415)의 적절한 트레일 내의 풋프린트에 저장된다.
태스크(550)에서, 트레일 히스토리(415)의 각각의 트레일의 갱신 상태가, 기존의 방식으로(예컨대, 상태 전이도(a state transition diagram)를 통해서) 트레일 히스토리(415)의 이전 상태 및 태스크(540)의 추가된 풋프린트에 기초해서 생성된다.
태스크(560)에서, 이벤트 E는 트레일 히스토리(415)의 갱신된 트레일 상태에 기초해서 생성되고, 이벤트 히스토리(435)에 저장된다. 당업자가 이해하는 바와 같이, 태스크(560)는 상태 전이도와 출력 이벤트의 관련 아크 등과 같은 다양한 방법으로 수행될 수 있다.
태스크(570)에서, 규칙 근거(445)의 규칙의 침입 신호가 새롭게 생성된 이벤트 E를 포함하는 이벤트 히스토리(435)의 이벤트에 일치하는지 판정한다. 일치하면, 수행은 태스크(580)로 가고, 일치하지 않으면 수행은 태스크(595)로 간다.
태스크(580)에서, 태스크(570)에서 규칙에 일치됨에 따라서 경고가 발행되거나 액션이 수행되고, 혹은 둘 다 수행된다.
태스크(590)는 메시지 M가 차단되었는지 체크한다(즉, IDS(320)로부터 나가는 것이 차단됨). 차단되었다면, 수행은 태스크(510)로 가고, 차단되지 않았다면 태스크(595)로 간다.
태스크(595)에서, 메시지 M가 기존의 방식으로 IDS(302)로부터 출력된다. 태스크(595) 이후에, 수행은 태스크(510)로 돌아간다.
도 6은 본 발명의 실시예에 따른 방화벽(303)의 논리 아키텍쳐를 도시하는 도면이다. 도 6에 도시된 바와 같이 방화벽(303)은 메시지 프로세서(610), 상태 생성기(620) 및 규칙 일치 엔진(630)과 같은 3개의 프로그램 모듈 및 트레일 히스토리(615), 트레일 상태(625) 및 규칙 근거(645)의 3개의 데이터를 포함한다. 입수 메시지가 방화벽(303)에 도달했을 때의 제어 이벤트 및 데이터플로우 이벤트의 시퀀스가 이벤트(607, 613, 617, 622, 623, 627, 642, 643, 647)로 나타나 있다.
방화벽(303)에 도달한 입수 메시지(데이터플로우 이벤트(607))는 메시지 프 로세서(610)에 의해 수신된다. 메시지 프로세서(610)는
(i) 적절한 프로토콜(예컨대, 인터넷 프로토콜)에 따라서 분할 및 조립될 수 있고,
(ii) 프로토콜 디코딩할 수 있으며,
(iii) 트레일 히스토리(615)에 메시지의 풋프린트를 저장할 수 있다(데이터플로우 이벤트(613)).
제어는 상태 생성기(620)로 넘어간다(제어 이벤트(617)). 상태 생성기(620)는 갱신된 트레일 히스토리(615)를 판독해서(데이터플로우 이벤트(622)), 하나 이상의 트레일 상태를 생성하고, 이에 따라서 트레일 상태(625)의 정보를 갱신한다(데이터플로우 이벤트(623)).
제어는 규칙 일치 엔진(640)으로 넘어간다(제어 이벤트(627)). 규칙 일치 엔진(640)은 트레일 상태(625)(데이터플로우 이벤트(642)) 및 규칙 근거(645)(데이터플로우 이벤트(643))를 로딩하고, 규칙 근거(645)의 규칙에 대해서 하나 이상의 이벤트를 일치시킨다. 당업자에게 알려진 바와 같이, 규칙 근거의 규칙 및 이러한 규칙에 대한 일치 정보(예컨대, 논리적 술어, 기호 표현 등)를 나타내는 방법은 여러가지가 있다. 규칙 일치 엔진(640)이 일치 규칙을 찾으면, 이벤트(647)로서 도 6에 나타난 출력 신호에 나타난 바와 같이 규칙은 "파이어"된다(예컨대, 침입 경고가 생성되거나, 입수 메시지가 차단되거나, 새로운 규칙이 규칙 근거(645)에 추가되는 등). 이벤트(647)에서 일치 규칙이 발견되지 않으면, 입수 메시지는 IDS(302)로 출력된다(위에 설명된 바와 같이, 일부 실시예에서 방화벽(303)에 수신 된 메시지는 사실상, IDS(302)가 시험 이후에 방화벽(303)으로 전송한, 내부 네트워크(301)로부터 나가는 메시지가 될 수 있다. 이 경우, 메시지는 외부 네트워크를 통해서 목적지로 전송된다).
당업자에게 알려진 바와 같이, 방화벽(303)의 일부 실시예에서 실시예의 규칙 근거 시스템 대신 다른 지식 표현 방법이 사용될 수 있다. 예컨대, 일부 일시예는 결정 트리, 베이즈 추론 네트워크, 신경 네트워크 등을 사용할 수 있다. 당업자가 이해하는 바와 같이, 본 발명의 일부 실시예에서 방화벽(303)은 IDS(302)의 실시예에서와 같이, 트레일 상태 대신에 혹은 이와 조합해서 이벤트에 기초한 규칙을 사용할 수 있다. 당업자가 이 명세서를 읽음으로써 어떻게 이러한 실시예를 만들어서 사용하는지 알 것이다.
도 7은 본 발명의 실시예에 따른 방화벽(303)의 사일런트 태스크의 플로우 차트를 도시한다.
태스크(710)에서, 프로토콜 P에 따른 메시지 M가 알려진 방식으로 수신된다.
태스크(720)에서는 (i) 메시지 M가 속하는 세션과 (ii) 프로토콜 P의 조합에 대응하는 트레일 히스토리(615)에 트레일이 이미 존재하고 있는지 점검한다. 존재한다면, 수행은 태스크(740)로 넘어가고, 존재하지 않으면, 수행은 태스크(730)로 넘어간다.
태스트(730)에서, 위의 (i)와 (ii)의 조합에 대응하는 새로운 트레일이 트레일 히스토리(615)에서 생성된다.
태스크(740)에서, 메시지 M에 관한 정보(예컨대, 메시지의 송신자, 메시지의 목적지, 메시지의 타입, 메시지의 컨텐츠 등)는 알려진 방식으로 트레일 히스토리(615)의 적절한 트레일 내의 풋프린트에 저장된다.
태스크(750)에서, 트레일 히스토리(615)의 각각의 트레일의 갱신 상태가, 알려진 방식으로(예컨대, 상태 전이도를 통해서) 트레일 히스토리(615)의 이전 상태 및 태스크(740)의 추가된 풋프린트에 기초해서 생성된다.
태스크(770)에서, 트레일 상태 및 규칙 근거(645)에 기초해서 메시지 M가 방화벽(303)을 통과하도록 허용되었는지 체크한다. 허용되었다면, 수행은 태스크(780)로 넘어가고, 허용되지 않았다면 수행은 태스크(795)로 넘어간다.
태스크(780)에서, 메시지 M가 차단되었다는 표시가 알려진 방식으로 로그된다. 태스크(780) 이후에, 수행은 태스크(710)로 넘어간다.
태스크(795)에서, 메시지 M가 알려진 방식으로 방화벽(303)으로부터 출력된다. 태스크(795) 이후에, 수행은 태스크(710)로 돌아간다.
도 8은 내부 네트워크(301)의 구성 요소를 도시하는 개략도이다. 본 발명의 제 2 실시예에 따라서, 이 제 2 실시예에서는, IDS(302)의 기능이 메시지 프로세서(801), IDS(802) 및 메시지 프로세서(804-1 내지 804-N)로 분배된다.
IDS(802)의 논리 아키텍처는 메시지 프로세서(410)가 없다는 점을 제외하고는 IDS(302)의 논리 아키텍처(즉, 도 4)와 유사하다. 메시지 프로세서(410)의 기능은 메시지 프로세서(801) 및 메시지 프로세서(804-1 내지 804-N)에 의해 대신 수행된다. 메시지 프로세서(801) 및 메시지 프로세서(804-1 내지 804-N:즉, 풋프린트)의 출력이 IDS(802)로 전송되어서 IDS(302)의 나머지 기능을 수행한다(즉, 상태 생성기(420), 이벤트 생성기(430) 및 규칙 일치 엔진(440)).
제 2 실시예의 장점은 내부 네트워크(301)를 통한 메시지 처리를 분배함으로써, 내부 통신(예컨대 2개의 컴퓨터 시스템(204-i와 204-j 사이의 VoIP 등)에 대한 공격을 검출할 수 있다는 점이다. 그러나, 제 2 실시예의 단점은 분배된 아키텍쳐를 이용하고 유지할 때의 추가적인 복잡성이다. 또한, 제 2 실시예의 메시지 프로세서의 증식은 하드웨어 비용을 더 증가시킬 수 있다. 제 2 실시예의 메시지 프로세서(801), IDS(802) 및 메시지 프로세서(804-1 내지 804-N)를 만들고 사용하는 방법에 당업자에게는 분명할 것이다.
위에 설명된 실시예는 단지 본 발명을 예시하는 것으로, 본 발명의 범주를 벗어남없이 위에 설명된 실시예의 많은 수정이 당업자에 의해 개정될 수 있다는 것이 이해될 것이다. 예컨대, 이 명세서에서, 본 발명의 실시예의 완전한 설명 및 이해를 제공하기 위해 다수의 세부 사항이 제공되었다. 그러나, 당업자는 본 발명이 이들 세부 사항 중 몇가지를 사용하지 않고 혹은 다른 방법, 재료 및 구성 요소를 사용해서 구현될 수 있다.
또한, 일부 예에서, 기존의 구조, 재료 또는 동작은 실시예의 측면들을 불분명하게 하지 않기 위해 도시되거나 상세하게 설명되지 않았다. 도면에 도시된 다양한 실시예는 예시적인 것으로 반드시 실측은 아니라는 것을 이해할 것이다. 명세서 전체에서 "일 실시예" 또는 "일부 실시예"를 참조한다는 것은 그 실시예와 관련된 특정 특성, 구조, 재료 또는 특성이 본 발명의 적어도 하나의 실시예에 포함된다는 것을 의미하지만, 모든 실시예에 필수적인 것은 아니다. 결과적으로, 명세 서 곳곳의 구문 "일 실시예에서" 또는 "일부 실시예에서"가 반드시 모두 같은 실시예를 나타내는 것은 아니다. 또한, 특정 특성, 구조, 재료 또는 특성은 하나 이상의 실시예에서 임의의 적절한 방식으로 조합될 수 있다. 따라서 이러한 수정이 다음 청구항 및 그 동등물의 범주 내에 포함되도록 했다.
본 발명을 통해서, 2개 이상의 프로토콜의 메시지를 사용한 침입을 검출할 수 있다.

Claims (20)

  1. (i) 제 1 세션 내의 제 1 프로토콜의 상태와,
    (ii) 제 2 세션 내의 제 2 프로토콜의 상태
    에 기초해서 데이터 처리 시스템에서 신호를 생성하는 단계를 포함하되,
    상기 제 1 프로토콜과 상기 제 2 프로토콜은 서로 다른
    방법.
  2. 제 1 항에 있어서,
    상기 신호는 잠재적인 침입을 나타내는
    방법.
  3. 제 1 항에 있어서,
    상기 신호는 상기 데이터 처리 시스템에서 후속해서 수신된 메시지가 그 목적지에 도달하는 것이 차단되어야 된다는 것을 나타내는
    방법.
  4. 제 1 항에 있어서,
    상기 제 1 프로토콜 및 제 2 프로토콜은 애플리케이션 계층 프로토콜인
    방법.
  5. 제 1 항에 있어서,
    상기 제 1 프로토콜 및 상기 제 2 프로토콜은 서비스를 지원하는
    방법.
  6. 제 5 항에 있어서,
    상기 서비스는 VoIP(Voice over Internet Protocol)인
    방법.
  7. 제 1 항에 있어서,
    상기 제 1 세션 및 상기 제 2 세션은 하나의 호출에 속하는
    방법.
  8. (a) 제 1 프로토콜에 따른 메시지를 데이터 처리 시스템에서 수신하는 단계와,
    (b) (i) 상기 메시지와,
    (ii) 한 세션의 제 2 프로토콜의 상태
    에 기초해서 상기 데이터 처리 시스템에서 신호를 생성하는 단계
    를 포함하는 방법으로서,
    상기 제 1 프로토콜은 상기 제 2 프로토콜과는 다른
    방법.
  9. 제 8 항에 있어서,
    상기 신호는 잠재적인 침입을 나타내는
    방법.
  10. 제 8 항에 있어서,
    상기 신호는
    (i) 상기 메시지가 그 목적지에 도달하는 것이 차단되어야 한다는 것과,
    (ii) 상기 데이터 처리 시스템에서 후속해서 수신된 메시지가 그 목적지에 도달하는 것이 차단되어야 된다는 것
    중 적어도 하나를 나타내는
    방법.
  11. 제 8 항에 있어서,
    상기 제 1 프로토콜 및 상기 제 2 프로토콜은 애플리케이션 계층 프로토콜인
    방법.
  12. 제 8 항에 있어서,
    상기 제 1 프로토콜 및 상기 제 2 프로토콜은 서비스를 지원하는
    방법.
  13. 제 12 항에 있어서,
    상기 서비스는 VoIP인
    방법.
  14. (a) (i) 제 1 프로토콜에 따른 제 1 메시지와,
    (ii) 상기 제 1 프로토콜과는 다른 제 2 프로토콜에 따른 제 2 메시지를 데이터 처리 시스템에서 수신하는 단계와,
    (b) 상기 제 1 메시지와 상기 제 2 메시지에 기초해서 상기 데이터 처리 시스템에서 신호를 생성하는 단계
    를 포함하는
    방법.
  15. 제 14 항에 있어서,
    상기 신호는 잠재적인 침입을 나타내는
    방법.
  16. 제 14 항에 있어서,
    상기 신호는
    (i) 상기 제 1 메시지가 그 목적지에 도달하는 것이 차단되어야 한다는 것과,
    (ii) 상기 제 2 메시지가 그 목적지에 도달하는 것이 차단되어야 한다는 것 과,
    (iii) 상기 데이터 처리 시스템에서 후속해서 수신된 메시지가 그 목적지에 도달하는 것이 차단되어야 된다는 것
    중 적어도 하나를 나타내는
    방법.
  17. 제 14 항에 있어서,
    상기 제 1 프로토콜 및 제 2 프로토콜은 애플리케이션 계층 프로토콜인
    방법.
  18. 제 14 항에 있어서,
    상기 제 1 프로토콜 및 상기 제 2 프로토콜은 서비스를 지원하는
    방법.
  19. 제 18 항에 있어서,
    상기 서비스는 VoIP인
    방법.
  20. 제 18 항에 있어서,
    상기 1 메시지는 제 1 세션에 속하고, 상기 제 2 메시지는 제 2 세션에 속하며, 상기 1 세션 및 상기 제 2 세션은 하나의 트랜잭션에 속하는
    방법.
KR1020050090327A 2004-09-30 2005-09-28 침입 검출 방법 KR100822553B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/955,594 US7451486B2 (en) 2004-09-30 2004-09-30 Stateful and cross-protocol intrusion detection for voice over IP
US10/955,594 2004-09-30

Publications (2)

Publication Number Publication Date
KR20060051727A true KR20060051727A (ko) 2006-05-19
KR100822553B1 KR100822553B1 (ko) 2008-04-17

Family

ID=35601916

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050090327A KR100822553B1 (ko) 2004-09-30 2005-09-28 침입 검출 방법

Country Status (4)

Country Link
US (2) US7451486B2 (ko)
EP (1) EP1646202A3 (ko)
JP (1) JP2006120138A (ko)
KR (1) KR100822553B1 (ko)

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7058796B2 (en) * 2002-05-20 2006-06-06 Airdefense, Inc. Method and system for actively defending a wireless LAN against attacks
US20050015626A1 (en) * 2003-07-15 2005-01-20 Chasin C. Scott System and method for identifying and filtering junk e-mail messages or spam based on URL content
US7680890B1 (en) 2004-06-22 2010-03-16 Wei Lin Fuzzy logic voting method and system for classifying e-mail using inputs from multiple spam classifiers
US8484295B2 (en) * 2004-12-21 2013-07-09 Mcafee, Inc. Subscriber reputation filtering method for analyzing subscriber activity and detecting account misuse
US7953814B1 (en) 2005-02-28 2011-05-31 Mcafee, Inc. Stopping and remediating outbound messaging abuse
US7451486B2 (en) * 2004-09-30 2008-11-11 Avaya Inc. Stateful and cross-protocol intrusion detection for voice over IP
US9160755B2 (en) 2004-12-21 2015-10-13 Mcafee, Inc. Trusted communication network
US8738708B2 (en) 2004-12-21 2014-05-27 Mcafee, Inc. Bounce management in a trusted communication network
US9015472B1 (en) 2005-03-10 2015-04-21 Mcafee, Inc. Marking electronic messages to indicate human origination
US8107625B2 (en) * 2005-03-31 2012-01-31 Avaya Inc. IP phone intruder security monitoring system
US8281392B2 (en) 2006-08-11 2012-10-02 Airdefense, Inc. Methods and systems for wired equivalent privacy and Wi-Fi protected access protection
US8484733B2 (en) 2006-11-28 2013-07-09 Cisco Technology, Inc. Messaging security device
US8689334B2 (en) * 2007-02-28 2014-04-01 Alcatel Lucent Security protection for a customer programmable platform
US9736172B2 (en) * 2007-09-12 2017-08-15 Avaya Inc. Signature-free intrusion detection
US9100417B2 (en) * 2007-09-12 2015-08-04 Avaya Inc. Multi-node and multi-call state machine profiling for detecting SPIT
US9178898B2 (en) * 2007-09-12 2015-11-03 Avaya Inc. Distributed stateful intrusion detection for voice over IP
US9438641B2 (en) * 2007-09-12 2016-09-06 Avaya Inc. State machine profiling for voice over IP calls
US10354229B2 (en) 2008-08-04 2019-07-16 Mcafee, Llc Method and system for centralized contact management
KR101107742B1 (ko) * 2008-12-16 2012-01-20 한국인터넷진흥원 에스아이피(sip) 기반 서비스의 보호를 위한 sip 침입 탐지 및 대응 시스템
JP4775451B2 (ja) * 2009-02-04 2011-09-21 ブラザー工業株式会社 電話サーバ、及びコンピュータプログラム
CN102812431A (zh) 2010-03-22 2012-12-05 Lrdc系统有限公司 用于识别与保护一组源数据的完整性的方法

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6279113B1 (en) * 1998-03-16 2001-08-21 Internet Tools, Inc. Dynamic signature inspection-based network intrusion detection
US6711127B1 (en) * 1998-07-31 2004-03-23 General Dynamics Government Systems Corporation System for intrusion detection and vulnerability analysis in a telecommunications signaling network
US6370648B1 (en) * 1998-12-08 2002-04-09 Visa International Service Association Computer network intrusion detection
US6609205B1 (en) * 1999-03-18 2003-08-19 Cisco Technology, Inc. Network intrusion detection signature analysis using decision graphs
US6539030B1 (en) * 2000-02-07 2003-03-25 Qualcomm Incorporated Method and apparatus for providing configurable layers and protocols in a communications system
JP4099930B2 (ja) * 2000-06-02 2008-06-11 株式会社日立製作所 ルータ装置及びvpn識別情報の設定方法
US8996698B1 (en) * 2000-11-03 2015-03-31 Truphone Limited Cooperative network for mobile internet access
KR100441409B1 (ko) * 2001-11-12 2004-07-23 주식회사 안철수연구소 바이러스 탐지 엔진을 갖는 침입 탐지 시스템
US8370936B2 (en) 2002-02-08 2013-02-05 Juniper Networks, Inc. Multi-method gateway-based network security systems and methods
US8561167B2 (en) * 2002-03-08 2013-10-15 Mcafee, Inc. Web reputation scoring
US6944670B2 (en) * 2002-03-13 2005-09-13 Commatch Ltd. Method and apparatus for multiple processing of a plurality of communication protocols on a single processing machine
US7587762B2 (en) * 2002-08-09 2009-09-08 Netscout Systems, Inc. Intrusion detection system and network flow director method
CN100389400C (zh) 2002-09-06 2008-05-21 美国凹凸微系有限公司 虚拟专用网(vpn)和防火墙的集成系统
US20040086093A1 (en) * 2002-10-29 2004-05-06 Schranz Paul Steven VoIP security monitoring & alarm system
US20040165709A1 (en) * 2003-02-24 2004-08-26 Pence Robert Leslie Stealth interception of calls within a VoIP network
US7715434B2 (en) * 2003-07-30 2010-05-11 Michael Andrew Fischer Managing an access point in the presence of separate protocols that share the same communications channel
US7830861B2 (en) * 2003-10-16 2010-11-09 At&T Intellectual Property Ii, L.P. Method and apparatus for functional architecture of voice-over-IP SIP network border element
US7451486B2 (en) * 2004-09-30 2008-11-11 Avaya Inc. Stateful and cross-protocol intrusion detection for voice over IP
KR100624483B1 (ko) * 2004-10-06 2006-09-18 삼성전자주식회사 네트워크에서의 차등 침입탐지 장치 및 방법

Also Published As

Publication number Publication date
US7814547B2 (en) 2010-10-12
US7451486B2 (en) 2008-11-11
EP1646202A3 (en) 2012-04-04
EP1646202A2 (en) 2006-04-12
US20080313737A1 (en) 2008-12-18
US20060075497A1 (en) 2006-04-06
JP2006120138A (ja) 2006-05-11
KR100822553B1 (ko) 2008-04-17

Similar Documents

Publication Publication Date Title
KR100822553B1 (ko) 침입 검출 방법
WO2022040347A1 (en) System and method for monitoring and securing communications networks and associated devices
KR101277913B1 (ko) 침입 검출 방법
KR101458215B1 (ko) 침입 검출 방법
Hussain et al. A comprehensive study of flooding attack consequences and countermeasures in session initiation protocol (sip)
EP2597839A1 (en) Transparen Bridge Device for protecting network services
Nassar et al. VoIP honeypot architecture
EP2141885B1 (en) Embedded firewall at a telecommunications endpoint
Pelaez et al. Misuse patterns in VoIP
Satapathy et al. A comprehensive survey of security issues and defense framework for VoIP Cloud
Berger et al. Internet security meets the IP multimedia subsystem: an overview
Shoket et al. Secure VOIP LTE network for secure transmission using PLRT (Packet Level Restraining Technique) under DDOS Attack
KR101095878B1 (ko) 은닉마르코프모델을 이용한 에스아이피 프로토콜 서비스 거부 공격 탐지 및 차단 시스템 및 방법
Ghafarian et al. An empirical study of security of VoIP system
Hosseinpour et al. Modeling SIP normal traffic to detect and prevent SIP-VoIP flooding attacks using fuzzy logic
Hofbauer et al. CDRAS: An approach to dealing with Man-in-the-Middle attacks in the context of Voice over IP
Matejka et al. VoIP protection techniques
KR20100027829A (ko) 가상 프록시 서버를 이용한 에스아이피 공격탐지 시스템 및방법
Chander et al. Detection of DDoS Attack Using Traceback Technique
Raad et al. Secure VoIP architecture based on honeypot technology
Yan et al. Vulnerability analysis of service architecture in NGN
VOIP VoIP Honeypot Architecture
Keromytis A Comprehensive Survey of Voice over IP Security Research
Baatarjav Santi Phithakkitnukoon, Ram Dantu, and
Pelaez¹ et al. Attack Patterns in VoIP

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130321

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20140320

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20160304

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20180329

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20190328

Year of fee payment: 12