KR20060133921A - 통신 어플라이어스들상 서비스 거부 공격들을 감소시키는시스템 및 방법 - Google Patents
통신 어플라이어스들상 서비스 거부 공격들을 감소시키는시스템 및 방법 Download PDFInfo
- Publication number
- KR20060133921A KR20060133921A KR1020060055835A KR20060055835A KR20060133921A KR 20060133921 A KR20060133921 A KR 20060133921A KR 1020060055835 A KR1020060055835 A KR 1020060055835A KR 20060055835 A KR20060055835 A KR 20060055835A KR 20060133921 A KR20060133921 A KR 20060133921A
- Authority
- KR
- South Korea
- Prior art keywords
- rule base
- communication appliance
- denial
- packet
- rate
- Prior art date
Links
- 238000004891 communication Methods 0.000 title claims abstract description 101
- 238000000034 method Methods 0.000 title claims abstract description 70
- 230000000116 mitigating effect Effects 0.000 title abstract 2
- 230000003405 preventing effect Effects 0.000 claims abstract description 11
- 238000012544 monitoring process Methods 0.000 claims abstract description 8
- 230000004044 response Effects 0.000 claims description 23
- 230000000694 effects Effects 0.000 claims description 14
- 230000000670 limiting effect Effects 0.000 claims description 9
- 230000000737 periodic effect Effects 0.000 claims description 9
- KKIMDKMETPPURN-UHFFFAOYSA-N 1-(3-(trifluoromethyl)phenyl)piperazine Chemical compound FC(F)(F)C1=CC=CC(N2CCNCC2)=C1 KKIMDKMETPPURN-UHFFFAOYSA-N 0.000 description 12
- 238000001914 filtration Methods 0.000 description 6
- 238000013461 design Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 230000011664 signaling Effects 0.000 description 4
- 238000001514 detection method Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000013519 translation Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000000593 degrading effect Effects 0.000 description 1
- 230000006866 deterioration Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000005236 sound signal Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001629 suppression Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
통신 어플라이언스로 포워드될 모든 합법적인 패키지들을 허용하는 패킷 분류 룰 베이스를 가진 통신 어플라이언스에서 서비스 거부 공격들의 효과를 방지하거나 제한하는 방법은 서비스 거부 공격을 나타내는 조건들이 존재되었는지를 결정하기 위하여 통신 어플라이언스에 인입하는 패킷들을 모니터링하는 것을 포함한다. 만약 서비스 거부 공격이 제공되면, 패킷 분류 룰 베이스의 룰 베이스 서브세트는 통신 어플라이언스의 복수의 동작 상태들 중 현재 상태에 기초하여 복수의 룰 베이스 서브세트들로부터 선택된다.
통신 어플라이언스, 합법적 패키지, 서비스 거부 공격, 룰 베이스, 패킷
Description
도 1은 본 발명을 실행할 수 있는 네트워크의 개략도.
도 2는 본 발명의 실시예에 따른 방법의 흐름도.
도 3은 IP 전화에 의해 사용된 포트들 및 프로토콜들을 기술한 테이블.
도 4는 IP 전화의 다양한 동작 상태들을 도시하는 도면.
도 5는 IP 전화의 각각의 동작 상태에 사용된 포트들 및 프로토콜들을 기술한 테이블.
도 6은 IP 전화의 각각의 동작 상태 동안 평균 패킷 진입 속도를 기술한 테이블.
*도면의 주요 부분에 대한 부호의 설명*
10 : H.323 네트워크 12a-12n : 통신 어플라이언스들
14 : 게이트웨이 16 : H.323 네트워크
18 : 게이트키퍼
본 발명은 통신 어플라이언스(appliance)에서 서비스 거부 공격들(denial-of-service attacks)을 카운터하기 위한 장치 및 방법, 특히 VoIP(Voice over Internet Protocol)를 전개하는 어플라이언스들에 관한 것이다.
VoIP는 데이터 스타일 패킷 스위치 네트워크들, 즉 인터넷을 통하여 음성 또는 말의 전송에 관한 것이다. VoIP의 장점은 콜(call)을 형성하는 사용자가 통상적으로 인터넷 액세스 요금 이상의 요금이 부담되지 않아서, VoIP가 원거리 콜들에 대해 매력적인 옵션을 형성하는 것이다. 통상적인 VoIP 전개는 미디어 게이트웨이들, 미디어 게이트웨이 제어기들, 최종 사용자 통신 장치들 및 예를들어 DNS, DHCP 및 FTP 같은 많은 다른 지원 서버들을 포함한다. 미디어 게이트웨이들, 미디어 게이트웨이 제어기들 및 VoIP 최종 장치들은 VoIP 시그널링/제어 및 미디어 패킷들을 교환한다. 많은 다른 종류의 최종 사용자 통신 어플라이언스들은 종래 전화 핸드셋들, 컨퍼런싱 유니트들, 이동 전화들, 퍼스널 디지털 어시스탄트들(PDA) 및 데스크톱 및 이동 컴퓨터들을 포함하는 VoIP를 구현한다.
서비스 거부 공격들은 실행가능한 VoIP 전개들에서 관심사가 된다. 비특정 바이러스들, 웜들 및 트로잔뿐 아니라 타켓 VoIP 서비스 거부(DoS) 공격들은 IP 최종 지점들 및/또는 미디어 서버들 및 게이트웨이들의 성능을 떨어뜨리거나 완전히 다운시킴으로써 서비스를 중단시킬 수 있다. 다량의 부당한 패킷은 이들 VoIP 인프라구조 엘리먼트들에 도달한 후, 호스트 장치가 서비스 중단으로 인해 합법적인 패킷들을 처리할 수 없게 하는 범위까지 중앙 처리 유니트들(CPU) 같은 네트워크 및/또는 호스트 리소스들 및 메모리를 소비시킨다. VoIP를 전개하는 전화들("IP-전화들") 및 다른 경량의 장치들은 특히 네트워크 및 처리기 리소스들의 본래의 불균형으로 인해 상기 공격들에 특히 민감하다. 예를들어, IP 전화에서, 네트워크 인터페이스는 통상적으로 10/100 Mbps 이더넷인 반면 CPU는 임베드 시스템들을 위한 어드밴스드 리스크 머신(ARM) 또는 밉스(Microprocessor without Interlocked Pipeline Stages: MIPS) 타입 처리기이다. 비용들을 억제하기 위하여, CPU들은 매우 낮은 마력(즉, 낮은 처리 전력)을 가진다.
현재, 방화벽들은 서버들 및 최종 지점들에 악의 패킷들이 도달하는 것을 방지하고 및/또는 비율 제한하기 위하여 네트워크 인프라구조, 대부분 네트워크의 주변(상기 기술은 주변 보호)에 사용된다. 그러나, 이것 단독으로는 VoIP 최종 지점을 중단시키기에 매우 작은 네트워크 트래픽을 가지기 때문에 VoIP상에서 DoS 공격들을 방지하기에 충분하지 않다. 네트워크의 주변부에서 매우 낮은 레벨들로 대역폭 한계들을 설정하는 것은 합법적인 트래픽이 상기 장치들에 도달하는 것을 방지한다. 그러므로, 상보적이고 실행 가능한 방법은 상기 장치 자체와 네트워크 주변부에서 불법적인 트래픽을 필터링하는 것이다. 다른 말로, 각각의 장치는 효율적인 임베드 방화벽이 DoS 공격들을 기초로 하는 범람을 복구하게 할 필요가 있다. 임의의 방화벽의 핵심은 패킷 분류 엔진이다. 패킷 분류기, 시간 및 공간 성능에 대해 두 개의 충돌하는 영역들이 있다. 대부분의 연구는 패킷 분류 문제의 시간 및 공간 복잡성 사이의 트레이드 오프를 이해하기 위하여 헌신되었다. 통상적인 패킷 분류는 패킷에서 제한된 세트의 헤더 필드들에서 수행되었다. 필드들, 연관 된 값들 및 방화벽 액션(드롭/포워드)은 룰들로서 지정되고, 분류 엔진은 입력으로서 얻는다.
패킷 분류는 라우터들, 스위치들 및 방화벽들 같은 인프라구조 엘리먼트들에 사용된 핵심 기술이다. 이들 엘리먼트들의 목표는 그들이 백플레인(backplane) 용량 까지 와이어 속도를 상승시킬 수 있을 때 보다 많은 트래픽을 처리/포워드하는 것이다. 다른 말로, 패킷 분류 효율성은 복수의 룰들을 지원할 수 있으면서, 패킷 포워딩시 병목이 발생되지 않도록 되어야 한다.
따라서 패킷 분리기들의 주 설계 목적들은 필요한 메모리 공간에 대해 확장성 및 속도 트레이드 오프이다. 간단한 선형 검색이 O(n) 스토리지를 취하는 동안, 그 시간 복잡도는 O(n)이고, 이것은 복수의 룰들의 효율적인 처리에 적당하지 않다. 효율적인 패킷 분류를 위한 기술은 4개의 카테고리들: 알골; 휴리스틱; 하드웨어 보조; 및 특정 경우들로 폭넓게 나뉘어질 수 있다.
본 발명의 목적은 서비스 거부 공격들에 대해 통신 어플라이언스를 보호하기 위한 장치 및 방법을 제공하는 것이다.
통신 어플라이언스가 단위 사이클 장치이고 상기 장치가 피크 유효 로드를 처리하기 위하여 X 사이클들을 요구하고, 1-X 사이클들이 모든 도달하는 패킷들을 분류하고 필터하기 위하여 남겨지는 것이 가정된다. 만약 분류 및 필터링 메카니즘이 1-X 사이클들내에서 진입 패킷 속도 상한 한계 미만 또는 상한 한계와 동일한 패킷 속도를 올바르게 다룰 수 있다는 것을 보장하면, 통신 어플라이언스는 네트워 크 파이프의 한계까지 임의의 범람 기반인 DoS 공격을 견딜 수 있다. 그러므로, 본 발명의 다른 목적은 범람 기반인 DoS 공격을 견디기 위한 상기 조건을 충족하는 장치 기반인 효율적 방화벽을 설계하는 것이다.
상기 목적은 모든 합법 패킷들이 통신 어플라이언스에 포워딩되게 하는 패킷 분류 룰 베이스를 가진 통신 어플라이언스에서 서비스 거부 공격들의 효과를 방지하거나 제한하는 방법에 의해 충족되고, 여기서 상기 방법은 서비스 거부 공격을 나타내는 조건들이 존재하는지를 결정하기 위하여 통신 어플라이언스에 인입하는 패킷들을 모니터링하는 단계 및 서비스 거부 공격을 나타내는 조건들이 존재하는 것으로 결정될 때 통신 어플라이언스의 복수의 상태들중 현재 상태에 기초하여 복수의 룰 베이스 서브세트들로부터 패킷 분류 룰 베이스의 룰 베이스 서브세트를 선택하는 단계를 포함한다.
서비스 거부 요구를 나타내는 조건들이 존재하는지의 결정은 진입 속도가 임계 속도를 초과하는지를 결정하는 단계를 포함한다. 통신 어플라이언스는 여러가지 최대의 합법 패킷 진입 속도들을 가진 복수의 동작 상태들을 가질 수 있다. 임계 속도는 통신 어플라이언스의 현재 동작 상태에 기초하여 가변될 수 있다. 임계 속도는 추가로 수신된 트래픽이 주기적인지의 여부, 통신 어플라이언스에 의해 사용된 피쳐들, 전송기에 의해 전송된 고유의 패킷 속도, 및/또는 네트워크 잠복기 및 지터(jitter)에 따를 수 있다.
본 발명의 목적은 또한 모든 합법적인 패킷들이 통신 어플라이언스로 포워딩되게 하는 패킷 분류 룰 베이스를 가진 통신 어플라이언스에서 서비스 거부 공격들 의 효과를 방지하거나 제한하는 방법에 의해 충족되고, 상기 방법은 불필요한 응답을 포함하는 패킷을 거절하는 단계를 포함한다.
방화벽은 통신 어플라이언스내에 배열되고 상기 기술된 방법을 수행하기 위하여 구성된다. 통신 어플라이언스는 IP 전화, 컨퍼런스 유니트, 컴퓨터, 또는 VoIP 통신들을 수행할 수 있는 임의의 다른 어플라이언스일 수 있다.
본 발명의 다른 목적들 및 특징들은 첨부 도면들과 관련하여 고려된 다음 상세한 설명으로부터 명백하게 될 것이다. 그러나, 도면들이 본 발명의 제한들을 한정하는 것이 아니고 도시를 위해서만 설계되고, 이를 위해 첨부된 청구항들이 참조되는 것이 이해된다. 도면들이 반드시 비례적이지 않고 단순히 여기에 기술된 구조들 및 과정들을 개념적으로 도시하기 위하여 사용되는 것이 이해된다.
현재 VoIP 시스템들은 독점 프로토콜 또는 두 개의 표준들 H.323 및 세션 시작 프로토콜(SIP)중 하나를 사용한다. 본 발명의 실행은 예를 들어, H.323 기반 IP 전화를 사용하여 하기에 기술된다. 그러나, 하기된 일반적인 해결책은 임의의 다른 VoIP 시스템의 통신 어플라이언스들로 실행될 수 있다.
H.323 표준은 내부 원격통신 연합(원격통신 섹터)에 의해 지정된다. H.323 네트워크(10)의 예는 도 1에 도시된다. H.323 네트워크(10)는 단말기들 또는 통신 어플라이언스들(12a-12n)에 접속된다. 비록 3개의 어플라이언스들이 도 1에 도시되지만, H.323 네트워크는 하나 또는 그 이상의 어플라이언스들을 가질 수 있다. 통신 어플라이언스들(12a-12n)은 종래 전화 핸드셋트들, 컨퍼런싱 유니트들, 이동 전화들, 및 데스크톱 또는 이동 컴퓨터들("소프트폰들(softphones)")을 포함할 수 있다.
H.323 네트워크(10)는 예를들어 ISDN 또는 PSTN 같은 비 H.323 네트워크(16)에 H.323 네트워크를 접속하는 게이트웨이(14)에 접속된다. 게이트키퍼(18)는 H.323 네트워크(10)에 접속된 어플라이언스들(12a-12n)에게 어드레스 전환 및 대역폭 제어를 제공한다. 백엔드 서비스(BES)(20)는 게이트키퍼에 접속되고 접근 허가, 서비스들, 및 구성들을 포함하는 어플라이언스들(12a-121n)에 관한 데이터를 유지하는 데이터베이스를 포함한다. 다지점 화상 회의 제어 장치(MCU)(22)는 두 개 이상의 단말기들 사이의 통신을 용이하게 하는 H.323 네트워크의 선택적인 엘리먼트이다.
게이트웨이(14)는 하나 또는 그 이상의 미디어 게이트웨이들(MG)(14a) 및 미디어 게이트웨이 제어기들(MGC)(14b)로 분해될 수 있다. MGC(14b)는 MG들(14a) 및 게이트키퍼(18) 같은 다른 네트워크 부품들 사이에서 데이터를 SS7 시그널링 게이트웨이들로 시그널링하는 것을 처리한다. MG들(14a)은 오디오 신호 번역 함수에 집중한다.
방화벽(24)은 상기 어플라이언스에 대한 서비스 거부(DoS) 공격들을 방지하기 위하여 통신 어플라이언스(12a-12n)에 삽입된다. 방화벽은 또한 게이트웨이(14)에 대한 DoS 공격들을 방지하기 위하여 게이트웨이(14)에 삽입된다. 각각의 방화벽(24)은 통신 어플라이언스들에서 수신된 패킷들을 필터링하기 위하여 패킷 분류 엔진을 포함한다. 방화벽(24)은 인입 패킷이 각각의 통신 어플라이언스(12a- 12n)로 포워드되어야 하는지를 결정하기 위하여 패킷 분류 룰 베이스(26)의 룰들을 사용한다. 그래서 방화벽은 악의 패킷들이 도달하는 것을 방지하고 및/또는 악의 패킷들이 통신 어플라이언스들에 도달하는 속도를 제한한다.
하기에 보다 상세히 논의된 바와같이, 패킷 분류 룰 베이스(26)는 네트워크 관리자에 의해 관리된다. 패킷 분류 룰 베이스(26)는 도 1에 도시된 바와같이 각각의 통신 어플라이언스(12a-12n)에 직접 접속될 수 있다. 선택적으로, 중앙 패킷 분류 룰 베이스(26a)는 모든 방화벽들(24)에 의해 액세스할 수 있는 H.323 네트워크에 접속될 수 있다.
본 발명에 따른 통신 어플라이언스들에 대한 패킷들의 효율적인 필터링을 위한 전체적인 방법은 도 2에 도시된다. 상기 방법은 방화벽(24)에서 실행되는 소프트웨어일 수 있다. 게다가, 전체 방화벽(24)은 통신 어플라이언스의 처리기를 사용하여 실행되는 소프트웨어일 수 있다. 선택적으로, 방화벽(24)은 통신 어플라이언스에 접속된 자신의 처리기를 가진 독립된 하드웨어 부품을 포함할 수 있다. 본 발명에 따라, 방화벽(24)에 도달하는 각각의 패킷은 도 2에 도시된 바와같이 이벤트를 나타낸다(단계 S100). 간단한 시간 기반 또는 패킷 카운트 기반 조건은 각각의 패킷 도착시 평가된다(단계 S102). 만약 단계(S102)의 조건이 충족되면, 패킷 진입 속도는 계산된다(단계 S104). 만약 계산된 진입 속도가 미리 결정된 임계값보다 높은 것으로 결정되고 DoS 공격 검출 조건이 단계(S106)에서 충족되는 것으로 결정되면, 방화벽(24)에 의해 사용되는 룰들은 인간 조작자에 의해 관리되는 정책 룰들(107)에 따라 변화된다(단계 S108). 만약 단계(S106)에서 두 개의 조건들중 어느 하나가 충족되지 않으면, 제어 흐름은 초기 상태로 복귀한다. 일단 룰 베이스가 단계(S108)에서 변화되면, 정책 룰들에 의해 결정된 임계적 트래픽은 통신 어플라이언스에 도달하도록 허용된다. 트래픽의 나머지는 버려진다. 단계(S108)에서 룰 기반 업데이트는 각각의 패킷에 제공된 복수의 룰들을 감소시키고, 따라서 통신 어플라이언스(12)가 통신 어플라이언스의 CPU를 오버휄름되게 하지 않고 DoS 범람 공격을 견디게 한다. 이런 품질이 하락된 상태에서, 추후 패킷 도달(단계 S109)은 진입 속도를 결정하기 위하여 모니터되고(S110), DoS 침입이 종료될 때를 결정하기 위하여 모니터된다(S112). 일단 패킷 진입 속도가 설정된 임계값 이하에 속하면, 룰 베이스는 본래의 상태로 리셋되고(단계 114), 여기서 모든 합법적인 트래픽은 통신 어플라이언스에 도달된다. 그 다음 제어 흐름은 초기 상태로 복귀한다.
단계들(S102 및 S106)에서 검출 조건들의 파라미터들은 간단한 휴리스틱을 기반으로 할 수 있고, 그중 하나의 예는 H.323 기반 IP 전화의 정규 콜 상태에 대해 하기된다. H.323 기반 IP 전화의 콜 상태 동안, 실시간 전달 프로토콜(RTP), 실시간 제어 프로토콜(RTCP) 및 H.225(콜 시그널링)은 IP 전화 및 상기 IP 전화에서 수신된 서버 구성 주기적 트래픽 사이에서 히어비트(hearbeat)하고, 이중 RTP 흐름은 대부분의 대역폭을 소비한다. 패킷당 20 밀리초 오디오 페이로드를 가정하여, G.711(64kbps에서 오디오 코딩을 위한 ITU-T 권장 사항)에 대한 코덱을 사용하는 패킷들의 주기적 스트림은 초당 50 패킷들의 수신 속도를 형성한다. 이들 패킷들이 이동중 큐되는 것이 가능하므로 제한된 기간 동안 50 패킷들/초를 인위적으로 초과하도록 속도를 풀을 수 있다. 이것은 측정한 진입 속도의 입도를 결정할때 고려되어야 하고 필터링 정책이 룰 베이스를 업데이트함으로써 영향을 받을때 결정한다. 패킷이 수신되는 각각의 시간에서 진입 속도를 계산하는 것이 가능하고, 이런 계산 빈도는 CPU 이용시 큰 소비이다. 그러나, 매번 같은 수의 수신된 패킷들의 진입 속도를 계산하는 것은 어느 정도의 정확성 손실을 유발한다. VoIP 트래픽에 대한 QoS 가이드라인들은 진입 속도를 계산하기 위한 최적인 간격의 결정을 돕는다. G.711 코덱은 통상적으로 150 밀리초 지연 미만, 및 2% 손실 미만을 가진 허용 가능한 콜 품질을 유발한다. 이것은 150 밀리초 미만 지속하는 임의의 침입이 콜 품질에서 상당한 효과를 가지지 않을 것이라는 것을 의미한다. 다른 말로, 적당한 속도 모니터링 간격은 150 밀리초 미만이다. 유사하게, 일단 패킷 진입 속도가 설정된 임계값보다 높은 것으로 결정되면, 필터링 정책은 콜 품질이 저하되기 전의 효과를 가지도록 150 밀리초(공격의 시작으로부터)를 취할 수 있다. 그러므로, 합리적인 휴리스틱은 50 밀리초 마다 모니터하는 것이고 방화벽 룰 베이스가 업데이트되기 전에 임계값을 초과하는 3개의 연속적인 측정치들을 가진다.
상기 실시예에서, 도 2 방법의 단계(S102)는 패킷 진입 속도의 최종 계산후 50 밀리초가 지났는지를 결정하는 것을 포함한다. 만약 간격이 50 밀리초 미만이면, 제어는 초기 상태로 복귀한다. 상기 실시예에서, 단계(S106)는 현재 침입 속도가 임계값을 초과하는지 그리고 침입 속도가 연속적인 시간들, 즉 150 밀리초를 초과하는지를 결정한다.
본 발명은 패킷 분류 및 통신 어플라이언스들 및 분류시 필터링을 위한 설계 요구들 및 라우터들 및 스위치들 같은 큰 네트워크 엘리먼트들에서 필터링 설계 요구들 사이의 차이를 인식한다.
제 1 차이는 컴퓨터 어플라이언스가 합법적으로 작은 세트의 IP 어드레스들로 그리고 상기 IP 어드레스들로부터 트래픽을 전송 및 수신하는 것이다. 예를들어, 도 1에 도시된 H.323에서 IP 전화(12a)는 콜 동안 MGC(14b)(RAS 및 H.248 프로토콜 사용), MG(14a)(RTP 및 RTCP 프로토콜들 사용) 및 다른 IP 전화에 대한 통신 채널들을 형성한다. 컨퍼런스 및 복수의 파티 콜들을 위하여, RTP 스트림들은 게이트웨이(14)를 통하여 각각의 IP 전화의 각각의 개별 IP 어드레스로 지향되지 않는다. 전화와 통신할 수 있는 다른 통상적인 IP 어드레스들은 전화가 RTCP 데이터 및 간단한 네트워크 관리 프로토콜(SNMP) 관리자를 모니터링하기 위하여 모니터링 툴(예를들어, VMON) 같은 관리 장치들을 포함한다. 통상적으로, 12개 미만의 잘 알려진 IP 어드레스들은 항상 IP 전화(12a)와의 메시지 교환을 보증한다. 다른 한편 엔터프라이즈 라우터/스위치는 통상적으로 복수의 IP 어드레스들 및 범위들과의 메시지 교환들을 보장한다.
컴퓨터 어플라이언스 및 네트워크 엘리먼트 사이의 다른 차이는, 컴퓨터 어플라이언스가 완전히 성숙된 IP 스택을 가지면서, 컴퓨터 어플라이언스가 사용하는 복수의 프로토콜들이 네트워크 엘리먼트에 의해 사용된 프로토콜들의 양보다 작다는 것이다. 예를들어, H.323 기반 IP 전화(12a)는 RTP, RTCP, H.323 슈트, SNMP, TFTP 및 HTTP 프로토콜들을 사용한다. IP 전화(12a)는 IP 데이터그램들, 임의의 UDP 패킷들, 또는 상기 프로토콜들에 속하지 않는 TCP 패킷들을 결코 수신할 수 없 다. 도 3은 IP 전화(12a)에 의해 사용된 포트들 및 프로토콜들을 나타내는 테이블이다. 라우터들 및 스위치들은 이런 제한된 프로토콜 사용권을 가지지 않는다.
통신 어플라이언스들 및 네트워크 엘리먼트들 사이의 다른 차이는 통신 어플라이언스들이 복수의 구별되는 동작 상태들을 가진다는 것이다. 라우터들 및 스위치들 같은 네트워크 엘리먼트는 상기 구별되는 동작 상태들을 가지지 않는다. IP 전화는 예를들어 일단 도 4에 도시된 바와같이 부팅되면 4개의 구별되는 동작 상태들을 가진다. 제 1 동작 상태는 구성 데이터를 검색하기 위한 다이나믹 호스트 구성 프로토콜(DHCP)을 포함한다. 제 2 동작 상태는 가장 최근 펌웨어 및 세팅들을 업데이트하기 위한 간이 파일 전송 프로토콜(TFTP) 교환들을 사용하는 것을 포함한다. 통신 장치가 이런 상태에 있을때, 수신된 임의의 다른 통신 프로토콜 패킷들은 불법으로 간주될 수 있다. 제 3 상태는 H.323 발견 및 인식 과정을 포함한다. 이 상태에서, IP 전화(12a)는 단지 잘 공지된 특정 IP 어드레스들 및 포트들에서 MGC(14b)와 통신한다. 마지막 상태는 동작 상태이고, 상기 동작 상태는 온 후크 및 오프 후크 상태로 추가로 나뉘어질 수 있다. 각각의 상태에서 사용된 IP 어드레스들의 세트, 포트들 및 프로토콜들은 구별된다. 이런 통신 어플라이언스의 소유권은 도 2 단계(S108)에 사용된 감소된 룰 베이스들을 고안하기 위하여 사용될 수 있다.
통신 어플라이언스들의 특성 및 통신 어플라이언스에서 범람 기반 DoS 스택을 방어하기 위하여 사용될 수 있는 다른 네트워크 엘리먼트들 사이의 다른 중요한 차이는 통신 어플라이언스가 수신하는 불법적인 트래픽 속도가 통신 어플라이언스 의 네트워크 접속 용량에 비해 상당히 작은 공지된 값에 의해 상한이 정해진다는 사실이다. 우리의 IP 전화를 계속 예를들면, RTP 스트림은 정상 동작시 IP 전화에 의해 수신된 가장 빠른 속도의 패킷들이다. G.711 코덱을 사용하여, 패킷들은 패킷당 20 밀리초 오디오 페이로드를 가정하면 초당 50 프레임들의 속도로 수신된다. 따라서, 보다 높은 속도로 수신되는 패킷들은 불법인 것으로 결정될 수 있다. 몇몇 경우들에서, 네트워크 잠복기 및 지터에 의해 유도될 수 있는 특정 특성들은 허용할 수 있는 패킷 진입 속도를 결정하는데 고려될 필요가 있다.
통신 어플라이언스들 및 특히 IP 전화들 및 네트워크 엘리먼트들 사이의 상기된 차이들은 도 2에 의해 개시된 바와같은 통신 어플라이언스에서 DoS 공격들을 방지하기 위한 포괄적인 방법의 실행에 사용될 수 있다. 통신 어플라이언스가 구별되는 동작 상태들을 가진다는 사실은 패킷 분류 룰 베이스의 룰들을 룰 베이스 서브세트들로 분할 또는 분리할 수 있게 하고, 각각의 서브세트는 통신 어플라이언스의 특정 동작 상태에 적용하는 룰들을 포함한다. 룰들의 분할은 엔진이 임의의 시간에 매칭되어야 하는 룰들의 수가 상당히 감소되는 것을 의미한다. 예를들어, IP 전화가 재부팅된후, 구성 데이터 및 펌웨어 업데이트를 얻기 위하여 DHCP 및 TFTP 교환 시퀀스를 진행한다. 이 단계 동안, DHCP 및 TFTP 패킷들만이 허용되어야 한다. 다른 말로, 공지된 TFTP 서버 IP 어드레스와 함께 DHCP 및 TFTP 프로토콜과 매칭하는 두 개의 룰들은 다른 프로토콜들에 속하는 임의의 불법적인 패킷들을 버리기에 충분하여 한다. 다음 H.323 IP 전화에 지정된 동작 상태에 의한 룰 분할을 보다 상세히 기술한다. 도 5는 IP 전화의 4개의 구별되는 동작 상태들을 도시한다. 전화의 정상 동작 상태는 온 후크 및 오프 후크 상태들로 분할된다.
IP 전화가 부팅한후 네트워크 스택이 시작되면, IP 전화는 IP 어드레스(스태틱 구성 IP 어드레스들에 대해, DHCP 단계는 바이패스될 수 있다)를 가지지 않는다. 이것은 DHCP 방송 요구를 시작한다. 이런 상태에서, 도 2의 단계(S108)의 감소된 룰 베이스는 차단되어야 하는 불법 패킷으로서 DHCP 응답과 다른 임의의 패킷인 것으로 고려된다. 임의의 경우, IP 어드레스 없이, 임의의 IP 층 통신은 무의미하다. 디폴트인 거절을 가진 단일 개념 룰은 이 상태에서 작동한다. 일단 IP 전화가 DHCP 과정을 통하여 IP 어드레스를 얻으면, 업데이트된 펌웨어를 얻기위하여 TFTP 교환 상태를 시작한다. 이 상태 동안, 감소된 룰 베이스는 TFTP 교환과 관련된 메시지 및 불법 소스들로부터의 SNMP 및 ICMP 질문들을 허용한다. TFTP 서버의 IP 어드레스가 이전 DHCP 교환시 IP 전화에 공지되기 때문에, TFTP 서버는 소스 IP 어드레스만이 인입 TFTP 패킷들에 허용되어야 한다. 도 5는 단계(S108)에 의해 실행될 IP 전화의 각각의 구별되는 상태들에 관련된 다른 감소된 룰들 리스트(포트들, 프토토콜들)를 요약한 테이블을 개시한다.
도 2의 단계(S104)에서 진입 패킷 속도에 대한 임계값의 결정은 라우터들의 방화벽, 스위치들의 핵심 기능 및 통신 어플라이언스들에 삽입된 방화벽들의 핵심 기능 사이의 차이에 기초하여 할 수 있다. 전자의 주 기능은 용량 한계까지 불법 네트워크 패킷들의 작업 처리량을 최대화하면서 원하지 않는 트래픽을 차단하는 것이다. 그러나, 후자의 경우, 불법 패킷들의 차단 요구가 동일하지만, 네트워크 용량까지 작업 처리량을 최대화하는 것은 발생하지 않는데, 그 이유는 상기된 바와같 이 통신 어플라이언스가 패킷들을 수신하는 합법적인 트래픽 속도가 통신 어플라이언스에 대한 네트워크 접속 용량보다 작기 때문이다.
IP 전화를 계속 예를 들어, IP 전화가 정상 동작 동안 수신하는 대부분의 네트워크 집중 트래픽은 콜 동안 RTP 패킷들이다. 만약 G.711 코덱에 160 바이트 패킷들이 사용되면, RTP 스트림의 데이터 대역폭은 64kbps이다. 패킷당 20 밀리초 오디오를 가정하면, 이것은 이더넷 층에서 87.2 kbps로 번역한다. 이것은 IP 전화의 풀 듀플렉스 10 Mbps 이더넷 포트의 용량보다 2차 이상 작은 크기이다. 그러므로, 만약 IP 전화에서 패킷 진입 속도가 87.2 kbps 속도를 초과하면, 몇몇 패킷들은 불법이어야 한다. 다른 말로, 패킷 진입 속도 모니터링은 침입 검출을 위한 강한 방법이다.
도 6의 테이블은 다양한 동작 상태 동안 IP 전화에 의해 마주하는 예상된 평균 진입 속도를 나타낸다. 테이블에 도시된 바와같이, T각각의 동작 상태들에서, TFTP 교환을 제외하고, 예상되는 평균 최대 진입 패킷 속도는 10 Mbps의 네트워크 용량 보다 상당히 작다. 평균 최대 진입 속도를 초과하는 속도가 측정될 때, 룰 베이스는 단지 중요한 패킷들만이 통과되고 나머지 패킷들이 드롭되도록(중요 패킷들의 결정은 상기에서 상세히 논의되었다) 상기된 바와같이 감소될 수 있다. 전화의 정상 오프 훅 상태에서, 예를들어, IP 전화 및 미디어 서버 사이의 H.225 핵심은 타임아웃 및 재등록 사이클들을 피하기 위하여 중요한 것으로 고려된다. 유사하게, 전화의 온 콜 상태에서, H.225 핵심외에 RTP 및 R TCP 트래픽은 중요한 것으로 고려된다. 패킷들의 용량은 패킷 분류 속도 및 룰들의 수 사이의 트레이드 오 프를 포함하는 정책 결정이다. 복수의 룰들이 구성되면, 많은 종류의 트래픽(SNMP 얻음, H.225 및 RTP외에 ICMP도 얻음)을 허용함으로써, 패킷 처리는 더 길어질 것이다. DoS 회복력은 CPU 보틀넥이 보다 느린 트래픽 속도에서 합법적인 패킷 처리를 달성한다는 측면에서 낮아질 것이다. CPU가 높은 패킷 속도들에서 복수의 룰들을 처리하기 위한 충분한 전력을 가지지 않기 때문에, 몇몇의 불법 트래픽은 DoS 공격이 진행중인 동안 패킷 분류에 필요한 복수의 방화벽 룰들의 실질적인 감소를 수행함으로서 감소되어야 한다. DoS 공격은 예상되는 최대값을 초과하는 침입 속도에 의해 검출된다. 얼마나 많이 및 어떤 종류의 트래픽이 허용되는가는 시스템 관리자들에 의해 구성되는 정책 문제이다. 시스템 관리자들은 사업 목표들 및 이용할 수 있는 어플라이언스의 CPU 용량을 기반으로 우선권 및 양을 차례로 결정한다. 일단 정책이 지정되고, 모니터된 속도가 공지된 상한 한계를 초과하면(단계 S106), 룰들은 정책을 반영하기 위하여 업데이트된다(단계 S108). 속도 모니터링은 계속된다(S110). 일단 침입 속도가 하한 한계 이하에 속하면(단계 S112), 룰 베이스는 중요하지 않은 모든 합법 트래픽을 허용하도록, 본래 룰 베이스로 다시 업데이트된다(단계 S114).
상기된 바와같이, 비교 목적을 위한 상한 한계는 시스템 관리자들에 의해 주의깊게 결정될 필요가 있다. 이런 값을 달성하는 인자들은 트래픽이 주기적인지 비주기적인지, 침묵 억제 같은 특징들이 사용되는지의 어플라이언스 상태, 전송기에 의해 전송된 고유 패킷 속도, 및 네트워크(이동중) 잠복기 및 지터를 포함한다. 그러나 모든 최종의 이들 인자들은 컴퓨터 어플라이언스의 침입 포트에 나타나는 바와같은 트래픽 체적에 대한 결정적인 효과를 가진다. 다른 한편, 네트워크 잠복기, 지터 및 손실은 패킷들이 이동중에 RTP 같은 주기적 트래픽의 가변하는 도달 속도를 발생시키는 동안, 다양한 지점들에서 임의의 큐 및 손실을 유발할 수 있다. 이동중 실질적인 혼잡이 과도한 큐잉을 유발하는 것은 가능하다. 경로논리 조건들하에서, 이들 패킷들의 빠른 제거가 인공적으로 높은 도달 속도를 형성하는 짧은 기간내에 단부 지점에 그의 도달을 유도하는 것은 가능하다.
다음은 DoS 공격들의 효과를 감소시키는 부가적인 방법을 기술한다. 상기된 바와같이, 통신 어플라이언스(즉, 단자 또는 단부 지점)는 작은 세트의 프로토콜들에 의해 수행되는 특정 분화된 임무들을 수행한다. 메시지는 어플라이언스 및 미디어 게이트웨이 사이에서 교환하고 서버들 및 단부 지점들 그 자체는 일대일 쌍을 특징으로 하는 "요구 응답(request reply)" 형태의 메시지들을 포함한다. DoS 공격의 특정 등급은 요구가 발생되지 않을때 불필요한 응답들을 전송하는 것을 포함한다. 많은 경우들에서, 상기 응답상 통신 어플라이언스는 지정되지 않고 의존하여 실행된다. VoIP 시스템들에 대한 종래 이용은 "gratuitous address resolution protocol(ARP) 응답들"의 전송이고, 여기서 임의의 IP 어드레스에 대한 멀티미디어 액세스 컨트롤(MAC) 어드레스는 공격자중 하나로 변경된다. "ARP 응답"을 수신한후 통신 어플라이언스는 콜 하이잭킹을 유발하는 ARP 테이블들 또는 미디어 서버와 통신할 수 없는 전화를 업데이트한다.
본 발명은 메시지 쌍 형성 룰을 실행하고, 여기에서, 통신 어플라이언스는 대응하는 요구를 발행하지 않는 임의의 불필요한 응답들을 효과적으로 무시한다. 다른 예시적인 요구 응답 메시지들은 DHCP 요구 응답 및 H.323 슈트에서 게이트키퍼 요구-게이트키퍼 확인(GRQ-GCF)을 포함한다. 이 실시예에 따라, 통신 어플라이언스의 방화벽은 대답없는 요구들의 리스트를 저장한다. 이 리스트는 패킷 분류 룰 베이스의 일부로서 저장될 수 있다. 응답을 포함하는 패킷을 수신한 후, 통신 어플라이언스는 응답이 임의의 대답없는 요구들에 대응하는지를 결정한다. 만약 응답이 대답없는 요구들중 하나에 대응하면, 응답은 통신 어플라이언스로 포워딩된다. 그렇지 않으면, 응답은 버려진다.
따라서, 바람직한 실시예로 제공된 본 발명의 기본적인 신규 특징들을 기술하고 개시하는 동안, 도시된 장치, 및 동작의 형태 및 세목들의 다양한 생략 및 대체 및 변화가 본 발명의 사상에서 벗어나지 않고 당업자에 의해 이루어질 수 있다는 것이 이해될 것이다. 예를들어, 동일한 결과들을 달성하기 위한 동일한 기능 실질적으로 동일한 방식을 수행하는 엘리먼트들 및/또는 방법의 모든 결합들이 본 발명의 범위내에 있다는 것이 의도된다. 게다가, 본 발명의 임의의 개시된 형태 또는 실시예와 관련하여 도시되고 및/또는 기술된 구조들 및/또는 엘리먼트들 및/또는 방법이 일반적인 설계 선택 문제로서 임의의 다른 개시되거나 기술되거나 제안된 형태 또는 실시예에 통합될 수 있다는 것이 인식되어야 한다. 그러므로, 본 발명은 여기에 첨부된 청구항들의 범위에 지식된 것만으로 제한된다.
본 발명은 서비스 거부 공격들에 대해 통신 어플라이언스를 보호하는 효과를 제공한다.
Claims (43)
- 모든 합법적인 패킷들이 통신 어플라이언스에 포워딩되게 하는 패킷 분류 룰 베이스를 가진 상기 통신 어플라이언스에서 서비스 거부 공격들의 효과를 방지하거나 제한하는 방법에 있어서,서비스 거부 공격을 나타내는 조건들이 존재하는지 여부를 결정하기 위하여 상기 통신 어플라이언스에 인입하는 패킷들을 모니터링하는 단계; 및상기 서비스 거부 공격을 나타내는 조건들이 존재하는 것으로 결정될 때 상기 통신 어플라이언스의 복수의 동작 상태들 중 현재의 동작 상태에 기초하여 복수의 룰 베이스 서브세트들로부터 상기 패킷 분류 룰 베이스의 룰 베이스 서브세트를 선택하는 단계를 포함하는, 서비스 거부 공격 효과 방지 또는 제한 방법.
- 제 1 항에 있어서,서비스 거부 요구를 나타내는 조건들이 존재하는지를 결정하는 단계는 진입 속도가 임계 속도를 초과하는지를 결정하는 단계를 포함하는, 서비스 거부 공격 효과 방지 또는 제한 방법.
- 제 2 항에 있어서,서비스 거부 요구를 나타내는 조건들이 존재하는지를 결정하는 단계는 진입 속도가 미리 결정된 시간 기간 동안 임계 속도를 초과하는지를 결정하는 단계를 포 함하는, 서비스 거부 공격 효과 방지 또는 제한 방법.
- 제 2 항에 있어서,주기적인 간격들에서 패킷들의 진입 속도를 검사하는 단계를 더 포함하는, 서비스 거부 공격 효과 방지 또는 제한 방법.
- 제 4 항에 있어서,서비스 거부 요구를 나타내는 조건들이 존재하는지를 결정하는 상기 단계는 진입 속도가 미리 결정된 수의 연속적인 시간에서 임계 속도를 초과하는지를 결정하는 단계를 포함하는, 서비스 거부 공격 효과 방지 또는 제한 방법.
- 제 2 항에 있어서,상기 통신 어플라이언스는 복수의 동작 상태들을 가지며, 상기 임계 속도는 상기 통신 어플라이언스의 현재 동작 상태에 기초하여 가변하는, 서비스 거부 공격 효과 방지 또는 제한 방법.
- 제 6 항에 있어서,상기 임계 속도는 또한 수신된 트래픽이 주기적인지에 의존하는, 서비스 거부 공격 효과 방지 또는 제한 방법.
- 제 6 항에 있어서,상기 임계 속도는 또한 상기 통신 어플라이언스에 의해 사용된 특징들에 의존하는, 서비스 거부 공격 효과 방지 또는 제한 방법.
- 제 6 항에 있어서,상기 임계 속도는 또한 송신기에 의해 전송된 고유 패킷 속도에 의존하는, 서비스 거부 공격 효과 방지 또는 제한 방법.
- 제 6 항에 있어서,상기 임계 속도는 또한 네트워크 잠복기 및 지터에 의존하는, 서비스 거부 공격 효과 방지 또는 제한 방법.
- 제 1 항에 있어서,상기 업데이트된 패킷 분류 룰 베이스는 제 1 패킷 분류 룰 베이스보다 작은, 서비스 거부 공격 효과 방지 또는 제한 방법.
- 제 1 항에 있어서,상기 선택된 서브세트 룰 베이스는 상기 서비스 거부 공격을 나타내는 조건들이 존재하는 것으로 결정될 때, 중요 패킷들만이 상기 통신 어플라이언스에 포워딩되게 하는, 서비스 거부 공격 효과 방지 또는 제한 방법.
- 제 12 항에 있어서,상기 룰 베이스 서브세트들은 각각의 동작 상태들 동안 사용된 프로토콜들을 기반으로 중요 패킷들만이 상기 통신 어플라이언스에 포워딩되게 하는 룰들을 포함하는, 서비스 거부 공격 효과 방지 또는 제한 방법.
- 제 12 항에 있어서,상기 룰 베이스 서브세트들은 불필요한 응답들을 거절하는 룰들을 포함하는, 서비스 거부 공격 효과 방지 또는 제한 방법.
- 제 1 항에 있어서,상기 제 1 패킷 분류 룰 베이스는 불필요한 응답들을 거절하는 룰들을 포함하는, 서비스 거부 공격 효과 방지 또는 제한 방법.
- 제 1 항에 있어서,상기 통신 어플라이언스는 IP 전화를 포함하는, 서비스 거부 공격 효과 방지 또는 제한 방법.
- 제 16 항에 있어서,상기 IP 전화는 H.323 기반 IP 전화인, 서비스 거부 공격 효과 방지 또는 제 한 방법.
- 모든 합법적인 패킷들이 통신 어플라이언스에 포워딩되게 하는 패킷 분류 룰 베이스를 가진 상기 통신 어플라이언스에서 서비스 거부 공격들의 효과를 방지하거나 제한하기 위한 방법에 있어서,상기 방법은 불필요한 응답을 포함하는 패킷을 거절하는 단계를 포함하는, 서비스 거부 공격 효과 방지 또는 제한 방법.
- 제 18 항에 있어서,패킷에 수신된 응답이 상기 통신 어플라이언스에 의해 형성된 대답없는 요구에 대응하는지를 결정하는 단계를 더 포함하고, 상기 거절 단계는 상기 응답이 상기 통신 어플라이언스에 의해 형성된 대답없는 요구에 대응하지 않으면 상기 패킷을 거절하는 단계를 포함하는, 서비스 거부 공격 효과 방지 또는 제한 방법.
- 제 18 항에 있어서,서비스 거부 공격을 나타내는 조건들이 존재하는지를 결정하기 위하여 상기 통신 어플라이언스에 인입하는 패킷들을 모니터링하는 단계 및 상기 서비스 거부 공격을 나타내는 조건들이 존재하는 것으로 결정될 때 상기 통신 어플라이언스의 복수의 동작 상태들중 현재의 동작 상태에 기초하여 복수의 룰 베이스 서브세트들로부터 패킷 분류 룰 베이스의 룰 베이스 서브세트를 선택하는 단계를 더 포함하 는, 서비스 거부 공격 효과 방지 또는 제한 방법.
- 통신 어플라이언스에서 서비스 거부 공격들의 효과를 방지하거나 제한하기 위한 방법에 있어서,서비스 거부 공격을 나타내는 조건들이 존재하는지를 결정하기 위하여 상기 통신 어플라이언스에 인입하는 패킷들을 모니터링하고, 상기 서비스 거부 공격을 나타내는 조건들이 존재하는 것으로 결정될 때 통신 어플라이언스의 복수의 동작 상태들 중 현재의 동작 상태에 기초하여 패킷 분류 룰 베이스에서 복수의 룰 베이스 서브세트들로부터 룰 베이스 서브세트를 선택하도록 배열되고 구성된 방화벽을 포함하는, 서비스 거부 공격 효과 방지 또는 제한 방법.
- 제 21 항에 있어서,상기 패킷 분류 룰 베이스를 더 포함하는, 서비스 거부 공격 효과 방지 또는 제한 방법.
- 제 22 항에 있어서,상기 패킷 분류 룰 베이스는 상기 통신 어플라이언스에 배열되는, 서비스 거부 공격 효과 방지 또는 제한 방법.
- 제 22 항에 있어서,상기 패킷 분류 룰 베이스는 통신 네트워크를 통하여 상기 통신 어플라이언스에 접속되는, 서비스 거부 공격 효과 방지 또는 제한 방법.
- 제 21 항에 있어서,상기 방화벽은 패킷 진입 속도가 임계 속도를 초과하는지를 결정하기 위하여 배열되고 구성되는, 서비스 거부 공격 효과 방지 또는 제한 방법.
- 제 21 항에 있어서,상기 방화벽은 패킷 진입 속도가 미리 결정된 시간 기간 동안 임계 속도를 초과하는지를 결정하기 위하여 배열되고 구성되는, 서비스 거부 공격 효과 방지 또는 제한 방법.
- 제 21 항에 있어서,상기 방화벽은 주기적인 간격들에서 패킷 진입 속도를 검사하기 위하여 배열되고 구성되는, 서비스 거부 공격 효과 방지 또는 제한 방법.
- 제 21 항에 있어서,상기 방화벽은 미리 결정된 수의 연속적인 시간들에서 진입 속도가 임계 속도를 초과하는지를 결정하기 위하여 배열되고 구성되는, 서비스 거부 공격 효과 방지 또는 제한 방법.
- 제 25 항에 있어서,상기 임계 속도는 상기 통신 어플라이언스의 현재 동작 상태에 기초하여 가변하는, 서비스 거부 공격 효과 방지 또는 제한 방법.
- 제 29 항에 있어서,상기 임계 속도는 또한 수신된 트래픽이 주기적인지에 의존하는, 서비스 거부 공격 효과 방지 또는 제한 방법.
- 제 29 항에 있어서,상기 임계 속도는 또한 상기 통신 어플라이언스에 의해 사용된 특징들에 의존하는, 서비스 거부 공격 효과 방지 또는 제한 방법.
- 제 29 항에 있어서,상기 임계 속도는 또한 송신기에 의해 전송된 고유 패킷 속도에 의존하는, 서비스 거부 공격 효과 방지 또는 제한 방법.
- 제 29 항에 있어서,상기 임계 속도는 또한 네트워크 잠복기 및 지터에 의존하는, 서비스 거부 공격 효과 방지 또는 제한 방법.
- 제 21 항에 있어서,상기 선택된 룰 베이스 서브세트는 상기 패킷 분류 룰 베이스보다 작은, 서비스 거부 공격 효과 방지 또는 제한 방법.
- 제 21 항에 있어서,상기 선택된 서브세트 룰 베이스는 상기 서비스 거부 공격을 나타내는 조건들이 존재하는 것으로 결정될 때 중요 패킷들만이 상기 통신 어플라이언스에 포워딩되게 하는, 서비스 거부 공격 효과 방지 또는 제한 방법.
- 제 35 항에 있어서,상기 룰 베이스 서브세트들은 각각의 동작 상태들 동안 사용된 프로토콜들을 기반으로 중요 패킷들만이 상기 통신 어플라이언스에 포워딩되게 하는 룰들을 포함하는, 서비스 거부 공격 효과 방지 또는 제한 방법.
- 제 35 항에 있어서,상기 룰 베이스 서브세트들은 불필요한 응답들을 거절하는 룰들을 포함하는, 서비스 거부 공격 효과 방지 또는 제한 방법.
- 제 22 항에 있어서,제 1 패킷 분류 룰 베이스는 불필요한 응답들을 거절하는 룰들을 포함하는, 서비스 거부 공격 효과 방지 또는 제한 방법.
- 제 21 항에 있어서,상기 통신 어플라이언스는 IP 전화를 포함하는, 서비스 거부 공격 효과 방지 또는 제한 방법.
- 제 39 항에 있어서,상기 IP 전화는 H.323 기반 IP 전화인, 서비스 거부 공격 효과 방지 또는 제한 방법.
- 통신 어플라이언스에서 서비스 거부 공격들의 효과들을 방지하거나 제한하기 위한 장치에 있어서,불필요한 응답을 포함하는 패킷을 거절하기 위하여 배열되고 구성된 방화벽을 포함하는, 서비스 거부 공격 효과 방지 또는 제한 장치.
- 제 41 항에 있어서,상기 방화벽은 또한 패킷에 수신된 응답이 상기 통신 어플라이언스에 의해 형성된 대답없는 요구에 대응하는지를 결정하고, 상기 응답이 상기 통신 어플라이언스에 의해 형성된 대답없는 요구에 해당하지 않으면 상기 패킷을 거절하도록 배 열되고 구성되는, 서비스 거부 공격 효과 방지 또는 제한 장치.
- 제 41 항에 있어서,상기 방화벽은 서비스 거부 공격을 나타내는 조건들이 존재하는지를 결정하기 위하여 상기 통신 어플라이언스에 인입하는 패킷들을 모니터링하고 상기 서비스 거부 공격을 나타내는 조건들이 존재하는 것으로 결정될 때 상기 통신 어플라이언스의 복수의 동작 상태들중 현재 동작 상태에 기초하여 패킷 분류 룰 베이스의 복수의 룰 베이스 서브세트들로부터 룰 베이스 서브세트를 선택하기 위하여 배열되고 구성되는, 서비스 거부 공격 효과 방지 또는 제한 장치.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/157,880 US20060288411A1 (en) | 2005-06-21 | 2005-06-21 | System and method for mitigating denial of service attacks on communication appliances |
| US11/157,880 | 2005-06-21 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20060133921A true KR20060133921A (ko) | 2006-12-27 |
| KR100790331B1 KR100790331B1 (ko) | 2008-01-02 |
Family
ID=37036954
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020060055835A KR100790331B1 (ko) | 2005-06-21 | 2006-06-21 | 통신 어플라이어스들상 서비스 거부 공격들을 감소시키는시스템 및 방법 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20060288411A1 (ko) |
| EP (1) | EP1737189B1 (ko) |
| JP (1) | JP4638839B2 (ko) |
| KR (1) | KR100790331B1 (ko) |
| DE (1) | DE602006013752D1 (ko) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100838811B1 (ko) * | 2007-02-15 | 2008-06-19 | 한국정보보호진흥원 | 안전한 VoIP 서비스를 위한 보안 세션 제어 장치 |
Families Citing this family (60)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7684317B2 (en) * | 2001-06-14 | 2010-03-23 | Nortel Networks Limited | Protecting a network from unauthorized access |
| US20030009561A1 (en) * | 2001-06-14 | 2003-01-09 | Sollee Patrick N. | Providing telephony services to terminals behind a firewall and /or network address translator |
| CN100370757C (zh) * | 2004-07-09 | 2008-02-20 | 国际商业机器公司 | 识别网络内分布式拒绝服务攻击和防御攻击的方法和系统 |
| US8862718B2 (en) * | 2006-07-12 | 2014-10-14 | Avaya Inc. | System, method and apparatus for troubleshooting an IP network |
| US8707419B2 (en) * | 2006-06-29 | 2014-04-22 | Avaya Inc. | System, method and apparatus for protecting a network or device against high volume attacks |
| US20090094671A1 (en) * | 2004-08-13 | 2009-04-09 | Sipera Systems, Inc. | System, Method and Apparatus for Providing Security in an IP-Based End User Device |
| US7933985B2 (en) * | 2004-08-13 | 2011-04-26 | Sipera Systems, Inc. | System and method for detecting and preventing denial of service attacks in a communications system |
| US7860006B1 (en) * | 2005-04-27 | 2010-12-28 | Extreme Networks, Inc. | Integrated methods of performing network switch functions |
| JP4557815B2 (ja) * | 2005-06-13 | 2010-10-06 | 富士通株式会社 | 中継装置および中継システム |
| US7609625B2 (en) * | 2005-07-06 | 2009-10-27 | Fortinet, Inc. | Systems and methods for detecting and preventing flooding attacks in a network environment |
| WO2007019583A2 (en) * | 2005-08-09 | 2007-02-15 | Sipera Systems, Inc. | System and method for providing network level and nodal level vulnerability protection in voip networks |
| WO2007033344A2 (en) * | 2005-09-14 | 2007-03-22 | Sipera Systems, Inc. | System, method and apparatus for classifying communications in a communications system |
| US8510833B2 (en) * | 2005-10-27 | 2013-08-13 | Hewlett-Packard Development Company, L.P. | Connection-rate filtering using ARP requests |
| CN100563246C (zh) * | 2005-11-30 | 2009-11-25 | 华为技术有限公司 | 一种基于ip的语音通信边界安全控制系统及方法 |
| US8255996B2 (en) | 2005-12-30 | 2012-08-28 | Extreme Networks, Inc. | Network threat detection and mitigation |
| US7796590B1 (en) * | 2006-02-01 | 2010-09-14 | Marvell Israel (M.I.S.L.) Ltd. | Secure automatic learning in ethernet bridges |
| US8024804B2 (en) * | 2006-03-08 | 2011-09-20 | Imperva, Inc. | Correlation engine for detecting network attacks and detection method |
| WO2007117585A2 (en) | 2006-04-06 | 2007-10-18 | Smobile Systems Inc. | System and method for managing malware protection on mobile devices |
| US20070300304A1 (en) * | 2006-06-26 | 2007-12-27 | Nokia Corporation | SIP washing machine |
| US8086732B1 (en) * | 2006-06-30 | 2011-12-27 | Cisco Technology, Inc. | Method and apparatus for rate limiting client requests |
| WO2008008856A2 (en) * | 2006-07-12 | 2008-01-17 | Sipera Systems, Inc. | System, method and apparatus for securely exchanging security keys and monitoring links in an ip communications network |
| EP1947800B1 (en) * | 2007-01-19 | 2009-11-18 | Alcatel Lucent | Broadcast of service information to user equipments connected to a PSTN, using NGN infrastructure |
| US8286244B2 (en) * | 2007-01-19 | 2012-10-09 | Hewlett-Packard Development Company, L.P. | Method and system for protecting a computer network against packet floods |
| US8533821B2 (en) * | 2007-05-25 | 2013-09-10 | International Business Machines Corporation | Detecting and defending against man-in-the-middle attacks |
| EP2191612B1 (en) * | 2007-08-21 | 2018-10-31 | Nec Corporation | Method for detecting attacks to multimedia systems and multimedia system with attack detection functionality |
| US8037532B2 (en) * | 2007-12-11 | 2011-10-11 | International Business Machines Corporation | Application protection from malicious network traffic |
| EP2081356A1 (en) * | 2008-01-18 | 2009-07-22 | Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V. | Method of and telecommunication apparatus for SIP anomaly detection in IP networks |
| ATE505018T1 (de) * | 2008-03-31 | 2011-04-15 | Mitsubishi Electric Corp | Behandlung von empfangenen datennachrichten eines textbasierten protokolls |
| US8375453B2 (en) | 2008-05-21 | 2013-02-12 | At&T Intellectual Property I, Lp | Methods and apparatus to mitigate a denial-of-service attack in a voice over internet protocol network |
| US8413250B1 (en) * | 2008-06-05 | 2013-04-02 | A9.Com, Inc. | Systems and methods of classifying sessions |
| US20100269162A1 (en) | 2009-04-15 | 2010-10-21 | Jose Bravo | Website authentication |
| US8683609B2 (en) * | 2009-12-04 | 2014-03-25 | International Business Machines Corporation | Mobile phone and IP address correlation service |
| US9202049B1 (en) | 2010-06-21 | 2015-12-01 | Pulse Secure, Llc | Detecting malware on mobile devices |
| KR101107741B1 (ko) * | 2010-09-02 | 2012-01-20 | 한국인터넷진흥원 | Sip 기반 비정상 트래픽 차단 시스템 및 그 차단 방법 |
| CN102088368A (zh) * | 2010-12-17 | 2011-06-08 | 天津曙光计算机产业有限公司 | 一种通过软件管理硬件中的报文分类规则生存期的方法 |
| US8838988B2 (en) | 2011-04-12 | 2014-09-16 | International Business Machines Corporation | Verification of transactional integrity |
| WO2013039083A1 (ja) * | 2011-09-13 | 2013-03-21 | 日本電気株式会社 | 通信システム、制御装置および通信方法 |
| US10044582B2 (en) | 2012-01-28 | 2018-08-07 | A10 Networks, Inc. | Generating secure name records |
| US8726338B2 (en) | 2012-02-02 | 2014-05-13 | Juniper Networks, Inc. | Dynamic threat protection in mobile networks |
| US8917826B2 (en) | 2012-07-31 | 2014-12-23 | International Business Machines Corporation | Detecting man-in-the-middle attacks in electronic transactions using prompts |
| US9722918B2 (en) | 2013-03-15 | 2017-08-01 | A10 Networks, Inc. | System and method for customizing the identification of application or content type |
| US9838425B2 (en) | 2013-04-25 | 2017-12-05 | A10 Networks, Inc. | Systems and methods for network access control |
| US9906422B2 (en) | 2014-05-16 | 2018-02-27 | A10 Networks, Inc. | Distributed system to determine a server's health |
| US9621575B1 (en) | 2014-12-29 | 2017-04-11 | A10 Networks, Inc. | Context aware threat protection |
| US9787581B2 (en) | 2015-09-21 | 2017-10-10 | A10 Networks, Inc. | Secure data flow open information analytics |
| US10021130B2 (en) * | 2015-09-28 | 2018-07-10 | Verizon Patent And Licensing Inc. | Network state information correlation to detect anomalous conditions |
| US10834110B1 (en) * | 2015-12-18 | 2020-11-10 | F5 Networks, Inc. | Methods for preventing DDoS attack based on adaptive self learning of session and transport layers and devices thereof |
| JP6470201B2 (ja) * | 2016-02-16 | 2019-02-13 | 日本電信電話株式会社 | 攻撃検知装置、攻撃検知システムおよび攻撃検知方法 |
| US10812348B2 (en) | 2016-07-15 | 2020-10-20 | A10 Networks, Inc. | Automatic capture of network data for a detected anomaly |
| US10341118B2 (en) | 2016-08-01 | 2019-07-02 | A10 Networks, Inc. | SSL gateway with integrated hardware security module |
| CN109246136B (zh) * | 2016-08-25 | 2020-12-04 | 杭州数梦工场科技有限公司 | 一种报文控制方法和装置 |
| US10382562B2 (en) | 2016-11-04 | 2019-08-13 | A10 Networks, Inc. | Verification of server certificates using hash codes |
| US10250475B2 (en) | 2016-12-08 | 2019-04-02 | A10 Networks, Inc. | Measurement of application response delay time |
| US10397270B2 (en) | 2017-01-04 | 2019-08-27 | A10 Networks, Inc. | Dynamic session rate limiter |
| US10187377B2 (en) | 2017-02-08 | 2019-01-22 | A10 Networks, Inc. | Caching network generated security certificates |
| US11038869B1 (en) | 2017-05-12 | 2021-06-15 | F5 Networks, Inc. | Methods for managing a federated identity environment based on application availability and devices thereof |
| US11050650B1 (en) * | 2019-05-23 | 2021-06-29 | Juniper Networks, Inc. | Preventing traffic outages during address resolution protocol (ARP) storms |
| US11284330B2 (en) | 2019-06-24 | 2022-03-22 | Comcast Cable Communications, Llc | Systems, methods, and apparatuses for device routing management |
| US11349981B1 (en) | 2019-10-30 | 2022-05-31 | F5, Inc. | Methods for optimizing multimedia communication and devices thereof |
| US20230343193A1 (en) * | 2022-04-21 | 2023-10-26 | Motorola Solutions, Inc. | Generation of follow-up action based on information security risks |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6594268B1 (en) * | 1999-03-11 | 2003-07-15 | Lucent Technologies Inc. | Adaptive routing system and method for QOS packet networks |
| US6678827B1 (en) * | 1999-05-06 | 2004-01-13 | Watchguard Technologies, Inc. | Managing multiple network security devices from a manager device |
| US20020138643A1 (en) * | 2000-10-19 | 2002-09-26 | Shin Kang G. | Method and system for controlling network traffic to a network computer |
| JP4082858B2 (ja) * | 2000-10-30 | 2008-04-30 | 富士通株式会社 | ネットワークアクセス制御方法及びそれを用いたネットワークシステム及びそれを構成する装置 |
| JP4067757B2 (ja) * | 2000-10-31 | 2008-03-26 | 株式会社東芝 | プログラム配布システム |
| JP4307747B2 (ja) * | 2001-01-25 | 2009-08-05 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 接続受付システム、受付サーバ、クライアント端末、接続受付管理方法、記憶媒体、コンピュータプログラム |
| JP4330342B2 (ja) * | 2001-02-19 | 2009-09-16 | 富士通株式会社 | 通信のセキュリティを確保するためのパケットフィルタリング方法およびパケット通信システム |
| GB0113902D0 (en) * | 2001-06-07 | 2001-08-01 | Nokia Corp | Security in area networks |
| US7684317B2 (en) * | 2001-06-14 | 2010-03-23 | Nortel Networks Limited | Protecting a network from unauthorized access |
| US7047303B2 (en) * | 2001-07-26 | 2006-05-16 | International Business Machines Corporation | Apparatus and method for using a network processor to guard against a “denial-of-service” attack on a server or server cluster |
| JP4503934B2 (ja) * | 2002-09-26 | 2010-07-14 | 株式会社東芝 | サーバ計算機保護装置、サーバ計算機保護方法、サーバ計算機保護プログラム及びサーバ計算機 |
| JP2004248185A (ja) * | 2003-02-17 | 2004-09-02 | Nippon Telegr & Teleph Corp <Ntt> | ネットワークベース分散型サービス拒否攻撃防御システムおよび通信装置 |
| JP3760919B2 (ja) * | 2003-02-28 | 2006-03-29 | 日本電気株式会社 | 不正アクセス防止方法、装置、プログラム |
| JP2004341922A (ja) * | 2003-05-16 | 2004-12-02 | Canon Inc | 受信装置、設定装置、接続要求装置、方法、及び、プログラム |
| JP3704134B2 (ja) * | 2003-05-29 | 2005-10-05 | 日本電信電話株式会社 | パケット転送装置、ネットワーク制御サーバ、およびパケット通信ネットワーク |
| US7526803B2 (en) * | 2003-11-17 | 2009-04-28 | Alcatel Lucent | Detection of denial of service attacks against SIP (session initiation protocol) elements |
| US7536573B2 (en) * | 2005-07-29 | 2009-05-19 | Hewlett-Packard Development Company, L.P. | Power budgeting for computers |
-
2005
- 2005-06-21 US US11/157,880 patent/US20060288411A1/en not_active Abandoned
-
2006
- 2006-06-21 JP JP2006171389A patent/JP4638839B2/ja not_active Expired - Fee Related
- 2006-06-21 KR KR1020060055835A patent/KR100790331B1/ko not_active IP Right Cessation
- 2006-06-21 EP EP06253214A patent/EP1737189B1/en not_active Expired - Fee Related
- 2006-06-21 DE DE602006013752T patent/DE602006013752D1/de active Active
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100838811B1 (ko) * | 2007-02-15 | 2008-06-19 | 한국정보보호진흥원 | 안전한 VoIP 서비스를 위한 보안 세션 제어 장치 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1737189A3 (en) | 2007-03-21 |
| EP1737189A2 (en) | 2006-12-27 |
| DE602006013752D1 (de) | 2010-06-02 |
| US20060288411A1 (en) | 2006-12-21 |
| KR100790331B1 (ko) | 2008-01-02 |
| JP2007006490A (ja) | 2007-01-11 |
| EP1737189B1 (en) | 2010-04-21 |
| JP4638839B2 (ja) | 2011-02-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR100790331B1 (ko) | 통신 어플라이어스들상 서비스 거부 공격들을 감소시키는시스템 및 방법 | |
| Walsh et al. | Challenges in securing voice over IP | |
| JP3993092B2 (ja) | サービス拒否攻撃を防ぐための方法 | |
| US7764612B2 (en) | Controlling access to a host processor in a session border controller | |
| US8881259B2 (en) | Network security system with customizable rule-based analytics engine for identifying application layer violations | |
| US7725708B2 (en) | Methods and systems for automatic denial of service protection in an IP device | |
| US7809128B2 (en) | Methods and systems for per-session traffic rate policing in a media gateway | |
| US20070127491A1 (en) | Network node with control plane processor overload protection | |
| JP5512832B2 (ja) | Sipセッションを確立する要求を選別するための方法および装置 | |
| JP2006517066A (ja) | サービス妨害攻撃の軽減 | |
| US9491302B2 (en) | Telephone call processing method and apparatus | |
| WO2007036786A2 (en) | Application layer metrics monitoring | |
| Chen et al. | SDNShield: NFV-based defense framework against DDoS attacks on SDN control plane | |
| US8789141B2 (en) | Method and apparatus for providing security for an internet protocol service | |
| RU2576488C1 (ru) | СПОСОБ ПОСТРОЕНИЯ СЕТЕЙ ПЕРЕДАЧИ ДАННЫХ С ПОВЫШЕННЫМ УРОВНЕМ ЗАЩИТЫ ОТ DDоS-АТАК | |
| EP2141885B1 (en) | Embedded firewall at a telecommunications endpoint | |
| JP5596626B2 (ja) | DoS攻撃検出方法及びDoS攻撃検出装置 | |
| Farley et al. | Exploiting VoIP softphone vulnerabilities to disable host computers: Attacks and mitigation | |
| KR101037575B1 (ko) | VoIP 환경에서, 디도스 공격 탐지 및 탐지 효율성 측정 방법 | |
| Farley et al. | Disabling a computer by exploiting softphone vulnerabilities: threat and mitigation | |
| Reynolds | Enabling secure ip telephony in enterprise networks | |
| KR102274589B1 (ko) | 국제전화 이상트래픽 피해 방지를 위한 시스템 및 방법 | |
| Vermeiren et al. | Introducing security services in DSL access and edge networks | |
| Sun et al. | Possibilities of Voice Resource DoS Attacks Based on H. 323 Protocol in Softswitch Network | |
| Garg et al. | Reducing the recovery time of IP-Phones in an h. 323 based VoIP system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20121130 Year of fee payment: 6 |
|
| FPAY | Annual fee payment |
Payment date: 20131129 Year of fee payment: 7 |
|
| LAPS | Lapse due to unpaid annual fee |