KR20100025801A - Spf system for blocking spam and method of querying in voip - Google Patents

Spf system for blocking spam and method of querying in voip Download PDF

Info

Publication number
KR20100025801A
KR20100025801A KR1020080084501A KR20080084501A KR20100025801A KR 20100025801 A KR20100025801 A KR 20100025801A KR 1020080084501 A KR1020080084501 A KR 1020080084501A KR 20080084501 A KR20080084501 A KR 20080084501A KR 20100025801 A KR20100025801 A KR 20100025801A
Authority
KR
South Korea
Prior art keywords
sender
policy framework
query
spf
invite message
Prior art date
Application number
KR1020080084501A
Other languages
Korean (ko)
Other versions
KR101004376B1 (en
Inventor
정종일
이태진
윤석웅
김중만
원용근
정현철
원유재
Original Assignee
한국정보보호진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국정보보호진흥원 filed Critical 한국정보보호진흥원
Priority to KR1020080084501A priority Critical patent/KR101004376B1/en
Publication of KR20100025801A publication Critical patent/KR20100025801A/en
Application granted granted Critical
Publication of KR101004376B1 publication Critical patent/KR101004376B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/50Business processes related to the communications industry
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/308Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M15/00Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
    • H04M15/56Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP for VoIP communications

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Primary Health Care (AREA)
  • Strategic Management (AREA)
  • Tourism & Hospitality (AREA)
  • Physics & Mathematics (AREA)
  • Human Resources & Organizations (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Marketing (AREA)
  • Technology Law (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Economics (AREA)
  • Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

PURPOSE: An SPF spam blocking system and an SPF query method in a VoIP method using an SPF query/analysis are provided to accurately analyze a spammer through the SPF query/analysis in an SPF spam blocking system. CONSTITUTION: A caller information extractor(410) extracts sending domain information from the invite message received a message from originator. A domain identifying unit(420) uses the IP address and via field of the calling domain and decides the originator belongs to the same domain. An SPF(Sender Policy Framework) query/analysis device(430) questions to a DNS(Domain Name Service) server in the originator policy framework. According to the spam blocking device is result, the invite message is secluded.

Description

VoIP 환경에서 SPF 스팸 차단 시스템 및 SPF 질의 방법{SPF System for Blocking Spam and Method of Querying in VoIP}SPF System for Blocking Spam and Method of Querying in VoIP}

본 발명은 음성패킷 망(voice over internet protocol; 이하 VoIP 라 한다)에서의 발신자 정책 프레임워크(Sender Policy Framework; 이하 SPF 라 한다) 스팸 차단 시스템 및 SPF 질의 방법에 관한 것으로서, 더욱 상세하게는, 각 도메인이 발신 도메인 측에 SPF 질의를 하여 효과적으로 스팸을 차단하는 시스템 및 그 방법에 관한 것이다.The present invention relates to a sender policy framework (hereinafter referred to as SPF) spam blocking system and an SPF query method in a voice over internet protocol (hereinafter referred to as VoIP). The present invention relates to a system and a method for effectively blocking spam by making an SPF query to a sending domain.

종래의 스팸대응 기술에 있어서, 이메일스팸에 대한 스팸대응 기술은 이메일스팸이 텍스트 기반이므로 컨텐츠 필터링 등을 통해 스팸 수신 전에 차단이 가능하다. In the conventional spam response technology, the spam response technology for email spam can be blocked before receiving spam through content filtering because email spam is text-based.

그러나 VoIP 스팸의 경우는, 전화서비스 특성상 불특정 다수로부터 수신되는 호를 사전에 필터링하기 어려우며, 이메일스팸이 익명성 취약성을 갖는 것처럼 VoIP 스팸에서도 발신자 신분조작이 가능하다는 프로토콜 자체의 취약성이 있다.However, in case of VoIP spam, it is difficult to pre-filter calls received from an unspecified number due to the characteristics of telephone service, and there is a vulnerability in the protocol itself that email sender identity can be manipulated in VoIP spam as email spam has anonymity vulnerability.

또한, VoIP 환경은 인터넷 이용이 가능한 환경이라면 스팸 발송이 가능하고, IP 주소 같은 논리적인 주소만으로는 지정학적 주소를 찾기 어려우므로, 스패머에 대한 실시간 추적이 실질적으로 불가능하다는 문제점도 있다.In addition, the VoIP environment may send spam when the Internet is available, and since it is difficult to find a geopolitical address only by a logical address such as an IP address, there is a problem that real-time tracking of spammers is practically impossible.

본 발명은 상기와 같은 종래 기술을 극복하기 위하여 제안된 것으로서, VoIP 환경에서 수신 도메인 뿐만 아니라 발신 도메인에서도 SPF 질의/분석이 적용가능하며, SPF 질의/분석을 통하여 스패머를 정확히 분류하는 스팸 차단 시스템 및 그에 사용되는 SPF 질의 방법을 제공하고자 한다.The present invention has been proposed to overcome the prior art as described above, SPF query / analysis can be applied not only in the receiving domain but also in the source domain in the VoIP environment, spam blocking system for accurately classifying spammers through SPF query / analysis and We want to provide an SPF query method used for it.

상기 과제를 해결하기 위한 본 발명의 일 실시예에 따른 SPF 스팸 차단 시스템은 발신자로부터 수신한 인바이트 메시지로부터 발신 도메인의 정보를 추출하는 발신자 정보 추출 장치; 상기 발신 도메인의 정보를 이용하여 발신자가 수신자와 동일한 도메인에 속하는지를 판단하는 도메인 식별 장치; DNS 서버로 SPF 질의를 하고 그 결과를 분석하는 SPF 질의/분석 장치; 및 상기 SPF 질의/분석 장치에서 분석한 결과에 따라 인바이트 메시지를 차단하는 스팸 차단 장치를 포함하고, 상기 SPF 질의/분석 장치는 IP 주소 및 Via 필드를 이용하여 SPF 질의 및 분석을 한다.SPF spam blocking system according to an embodiment of the present invention for solving the above problems is a caller information extraction device for extracting the information of the originating domain from the invite message received from the sender; A domain identification device for determining whether the sender belongs to the same domain as the receiver by using the information of the originating domain; An SPF query / analysis apparatus for making an SPF query to a DNS server and analyzing the results; And a spam blocking device that blocks the invite message according to the result analyzed by the SPF query / analysis apparatus, wherein the SPF query / analysis apparatus performs SPF query and analysis using an IP address and a Via field.

상기 목적을 달성하기 위한 본 발명의 일 실시예에 따른 SPF 질의 방법은 발신자로부터 인바이트 메시지를 수신하고 발신 도메인의 정보를 추출하는 단계; 상기 발신 도메인의 정보를 이용하여 발신자가 수신자와 동일한 도메인에 속하는지를 판단하는 단계; 발신자 및 수신자가 동일한 도메인에 속하지 않으면 DNS 서버로 SPF 질의 및 분석을 하는 단계; 및 상기 SPF 질의 및 분석을 하는 단계에서 분석한 결과에 따라 인바이트 메시지를 차단하는 단계를 포함하고, 상기 SPF 질의 및 분석 을 하는 단계는 IP 주소 및 Via 필드를 이용하여 SPF 질의 및 분석을 한다.SPF query method according to an embodiment of the present invention for achieving the above object comprises the steps of receiving an invite message from the sender and extracting information of the originating domain; Determining whether the sender belongs to the same domain as the receiver by using the information of the calling domain; If the sender and the receiver do not belong to the same domain, performing an SPF query and analysis with a DNS server; And blocking the invite message according to the result of the analysis in the step of performing the SPF query and analysis, wherein the step of performing the SPF query and analysis performs the SPF query and analysis using the IP address and the Via field.

본 발명에 따른 VoIP 환경에서 스팸 차단을 위한 SPF 시스템 및 SPF 질의 방법은, 발신 도메인 정보의 위/변조 여부를 확인하기 위하여 필요한 네트워크 트래픽 및 연산 리소스를 줄일 수 있는 효과가 있다. 또한 발신 도메인 정보의 위/변조 여부를 확인하기 위한 작업을 수신도메인에만 부담시키는 것이 아니라, 모든 수신자 측에 부담 및 적용하여 기술의 적용범위를 넓힌 효과가 있다.In the VoIP environment according to the present invention, the SPF system and the SPF query method for blocking spam have an effect of reducing network traffic and computational resources necessary for checking whether or not forgery / falsification of originating domain information. In addition, the task of checking whether the originating domain information is forged / falsified is not only burdened with the receiving domain, but it is burdened and applied to all receivers, thereby extending the scope of application of the technology.

도 1은 본 발명에 따른 발신 경로 인증 과정을 예시한 도면이다.1 is a diagram illustrating an outgoing path authentication process according to the present invention.

VoIP 인증은 단일 도메인 안에서만 유효한 정책이다. 따라서, 중간 경로 상에서 발신자 정보를 포함한 발신호의 정보가 조작될 수 있으므로, 발신도메인의 경로를 인증하기 위한 기술이 요구된다. VoIP 서비스에서는 SPF 질의/확인 과정이 주로 인바운드(inbound) 도메인에서 이루어지지만, 본 발명에서는 인바운드 및 아웃바운드(outbound) 도메인에서도 이루어진다.VoIP authentication is only valid within a single domain. Therefore, since the information of the outgoing call including the sender information can be manipulated on the intermediate route, a technique for authenticating the route of the calling domain is required. In the VoIP service, the SPF query / verification process is mainly performed in the inbound domain, but in the present invention, the SPF query / verification is also performed in the inbound and outbound domains.

SIP_Proxy_Out 서버(21)는 도 2에 도시된 SPF 레코드를 DNS_O 서버(22)로 발행한다.The SIP_Proxy_Out server 21 issues the SPF record shown in FIG. 2 to the DNS_O server 22.

SIP_Proxy_Out 서버(21)는 Via 도메인으로 도 3에 도시된 바와 같은 인바이트 메시지를 전달(S2)하며, Via 도메인에 속한 SIP_Proxy_Via 서버(31)의 발신자 정보 추출 장치는 상기 인바이트 메시지의 Via 필드를 파싱(parsing)하여 발신도메인의 정보를 얻는다. Via 필드는 RFC3261 에서는 필수(mandatory) 헤더로 되어 있 으므로, SIP_Proxy_Out 서버(21)등의 발신자는 반드시 자신의 도메인 정보를 Via 필드에 삽입한다. 또한, SIP_Proxy_Via 서버(31)의 발신자 정보 추출 장치는 IP 헤더의 소스 IP 주소를 파싱하여 발신자(여기선 아웃바운드 도메인)의 주소를 얻는다. The SIP_Proxy_Out server 21 forwards the invite message as shown in FIG. 3 to the Via domain (S2), and the caller information extraction device of the SIP_Proxy_Via server 31 belonging to the Via domain parses the Via field of the invite message. Parsing to get information of the originating domain. Since the Via field is a mandatory header in RFC3261, callers such as the SIP_Proxy_Out server 21 always insert their domain information into the Via field. In addition, the sender information extracting apparatus of the SIP_Proxy_Via server 31 parses the source IP address of the IP header to obtain the address of the sender (here outbound domain).

상기 과정을 통해 파싱된 인바이트 메시지의 URI와 발신 주소를 비교하기 위해서는 DNS 서버로부터 발신 URI에 대한 SPF 레코드를 얻어야 한다. 따라서 DNS 서버에 인바이트 메시지의 발신 URI를 질의/분석하고 정상적인 발신자인지 유무를 결정한다.In order to compare the URI and the originating address of the byte message parsed through the above process, the SPF record for the originating URI must be obtained from the DNS server. Therefore, DNS server queries / analyzes the origin URI of the invite message and determines whether or not it is a normal sender.

여기서 Via 필드를 사용하는 이유는, IP 주소와 From 필드를 발신자 인증에 사용하는 경우를 검토하면 알 수 있다. SIP_Proxy_Via 서버(31)는 DNS_O 서버(22)측으로 인바이트 메시지에 기록된 발신자(여기에선 SIP_Proxy_Out 서버)의 IP 주소 "10.1.1.1" 및 From 헤더인 "<sip:abc@outbound.org>" 가 유효한 발신자의 IP 주소 및 From 헤더인지를 질의를 한다. 이에 DNS_O 서버(22)는 SPF 레코드에서 상기의 IP 주소 및 From 헤더가 일치하므로, 유효한 발신자임을 확인하고 "pass"로 응답한다. 한편, SIP_Proxy_Via 서버(31)는 IP 헤더의 IP 주소를 자신의 IP 주소로 기록한 후, 인바이트 메시지를 인바운드 도메인(400)으로 전달한다(S5).The reason why the Via field is used can be seen by examining the case where the IP address and the From field are used for caller authentication. The SIP_Proxy_Via server 31 has the IP address "10.1.1.1" of the sender (here SIP_Proxy_Out server) recorded in the byte message on the DNS_O server 22 side and the From header "<sip: abc@outbound.org>" valid. Inquire about the sender's IP address and the From header. In response, the DNS_O server 22 confirms that the IP address and the From header are identical in the SPF record, and thus responds with "pass". Meanwhile, the SIP_Proxy_Via server 31 records the IP address of the IP header as its IP address, and then transfers the invite message to the inbound domain 400 (S5).

인바운드 도메인의 SIP_Proxy_In(41) 서버는 DNS_Via 서버(32)로 전달받은 인바이트 메시지의 IP 주소 "10.1.2.1" 및 From 헤더인 "<sip:abc@outbound.org>" 가 유효한 발신자의 IP 주소 및 From 헤더인지를 확인하는 SPF 질의를 한다. The SIP_Proxy_In (41) server of the inbound domain is assigned the IP address of the valid sender's IP address "10.1.2.1" and the From header "<sip: abc@outbound.org>" Run an SPF query to see if it is a From header.

SPF 질의는, 프록시 서버가 인바이트 메시지의 Via 필드에 저장된 도메인 이 름과 IP 필드의 주소 값이 위에서 언급한 SIP_Proxy_Out 서버가 발행해놓은 SPF 레코드와 일치하는 지를 판단하는 명령어를 도메인 서버 측으로 보내는 것을 말한다. 도메인 서버는 SPF 질의에 대하여 Via 필드에 저장된 도메인 이름과 IP 필드의 주소 값이 일치하는 지를 판단하여 프록시 서버 측으로 응답 메시지를 보낸다.The SPF query means that the proxy server sends a command to the domain server to determine whether the domain name stored in the Via field of the byte message and the IP address address match the SPF record issued by the SIP_Proxy_Out server mentioned above. The domain server determines whether the domain name stored in the Via field and the address value of the IP field match with the SPF query, and sends a response message to the proxy server.

IP 필드는 인바이트 메시지가 전달될 때마다, 전달자(발신자)의 IP 주소로 교체 된다. 따라서, DNS_Via 서버(32)는 SPF 레코드에 저장된 발신자의 IP 주소와 From 헤더가 다름을 판단하고 "fail"을 응답한다. 이처럼 IP 주소 및 From 필드를 이용하면, 인바이트가 다른 도메인으로 전달되는 경우에 유효한 발신자인지를 정확히 판단할 수 없다.The IP field is replaced with the IP address of the sender (sender) each time an invite message is delivered. Therefore, DNS_Via server 32 determines that the sender's IP address and the From header are different from those stored in the SPF record, and responds with "fail". Using the IP address and the From field, it is impossible to determine whether the sender is a valid sender when the bytes are transferred to another domain.

한편, From 헤더 대신에 Via 필드를 사용하여 SPF 질의를 하는 경우를 살펴본다. 위에서 설명한 S5의 과정부터만 설명하도록 한다. SIP_Proxy_Via 서버(31)는 SIP_Proxy_In 서버(41)로 인바이트 메시지를 전달한다(S5). Via 필드에는 전달자(발신자)인 SIP_Proxy_Via 가 기록되어 있다. 인바이트 메시지를 전달받은 SIP_Proxy_In 서버(41)는 DNS_Via 서버(32)에게 전달받은 인바이트 메시지의 IP 주소 "10.1.2.1" 및 Via 필드인 "SIP_Proxy_Via" 가 유효한 발신자의 IP 주소 및 Via 필드인지를 확인하는 SPF 질의를 한다. DNS_Via 서버(32)는 SPF 레코드에 저장된 인바이트 메시지의 IP 주소와 Via 필드가 일치하므로, SIP_Proxy_In 서버(410)로 "pass"를 응답한다. 이처럼 IP 주소 및 Via 필드를 이용하면, 인바이트가 다른 도메인으로 전달되는 경우에도 유효한 발신자인지를 정확히 판단할 수 있다.On the other hand, let's take a look at the case of SPF query using Via field instead of From header. Only the process of S5 described above will be described. The SIP_Proxy_Via server 31 transmits an invite message to the SIP_Proxy_In server 41 (S5). In the Via field, the sender (sender) SIP_Proxy_Via is recorded. The SIP_Proxy_In server 41 receiving the byte message checks whether the IP address "10.1.2.1" and the Via field "SIP_Proxy_Via" of the byte message received from the DNS_Via server 32 are valid sender's IP address and Via field. Do an SPF query. The DNS_Via server 32 responds with "pass" to the SIP_Proxy_In server 410 because the IP address and Via field of the byte message stored in the SPF record match. By using the IP address and the Via field, it is possible to accurately determine whether the sender is a valid sender even when the bytes are transferred to another domain.

SIP 기반의 SPF에서 아웃바운드 도메인을 검증하기 위해 SPF 질의/분석 과정 을 거쳐 그 결과 값을 기반으로 인바이트 메시지의 처리 여부가 결정된다. 그러나, 통과(pass)를 제외한 나머지의 경우, 호를 바로 차단하기 보다는 다른 스팸 차단 솔루션과 연동하여 처리하는 것이 바람직하다.In order to verify outbound domains in SIP-based SPF, whether or not to process the invite message is determined based on the result of SPF query / analysis. However, in all other cases except pass, it is desirable to process in conjunction with other spam blocking solutions rather than blocking the call immediately.

SPF 질의의 결과 값은 하기의 표 1과 같이 정리될 수 있다. The result value of the SPF query can be arranged as shown in Table 1 below.

구분division 설명Explanation 논(none)Non 발신도메인이 SPF 레코드를 설치하지 않았거나, 제공된 발신자 정보에서 해당 도메인의 정보를 구할 수 없어 SPF 확인 장치가 발신 도메인의 위조 여부를 판정할 수 없음을 나타낸다. The originating domain does not have an SPF record installed, or the domain information cannot be obtained from the provided sender information, indicating that the SPF verification apparatus cannot determine whether the originating domain is forged. 중립(neutral)Neutral 아웃바운드 호서버에서 발신하는 호에 대해 위조 여부를 판단하기를 원하지 않음을 나타낸다. "중립" 으로 판정된 호의 처리는 "논" 판정과 동일하게 취급되며 이 옵션은 SPF 시험 운영 등의 과정에서 사용된다. Indicates that the outbound call server does not want to determine whether the call originated from a forgery. The treatment of a call that is determined to be "neutral" is treated the same as a "non" decision and this option is used during the SPF test run and so forth. 통과(pass)Pass 적법한 메시지라고 판단하고 메시지를 다음 홉(hop)으로 포워딩 시킨다. It determines that the message is legitimate and forwards the message to the next hop. 실패(fail)Fail 적법하지 않은 메시지라고 판단하여, 메시지를 다음 홉으로 포워딩 시키지 않고 다른 스팸 차단 솔루션과 연동시킨다. It determines that the message is not legitimate and works with other spam blocking solutions without forwarding the message to the next hop. 일시오류 (Temperror)Temperror DNS 질의과정 중 일시적인 오류이므로, 다시 한번 DNS 질의/분석을 거친다. As this is a temporary error during the DNS query process, the DNS query / analysis is once again performed. 부족 (Softfail)Tribal (Softfail) "실패"와 마찬가지로 아웃바운드 호서버가 적법하지 않다고 판단하고 다른 스팸 차단 솔루션과 연동시킨다. As with "failure," the outbound call server determines that it is not legitimate and links it with other spam blocking solutions. 영구오류 (Permerror)Permerror DNS의 질의/분석 과정 중 회복 불가능한 오류가 발생하였을 때 나타나는 결과 값이므로 더 이상 질의/분석 과정을 수행하지 않고, 다른 스팸 차단 솔루션과 연동시킨다. This is a result value when an unrecoverable error occurs during the query / analysis process of DNS. Therefore, the query / analysis process is not performed any more, and it is linked with other spam blocking solutions.

SIP 기반의 SPF는 이메일 기반의 SPF와 달리 SPF 처리 결과 값을 헤더 정보에 나중에 처리하는 것이 아니라 인바이트 메시지를 수신했을 때 "통과"로 판명되지 못한 호에 대해 가상의 스팸 차단 솔루션을 구동한다. 스팸 정보 장치는 실제 스팸 차단을 하기 위한 솔루션을 설계하는 것이 아니라, 단지 SPF 결과 값을 추후에 다른 스팸 차단 솔루션과 연동이 가능하도록 하고 그 결과 값을 로그 파일 형태로 기록한다. SIP-based SPFs, unlike email-based SPFs, do not process the SPF processing result values later in the header information, but instead drive virtual spam blocking solutions for calls that do not turn out to be "passed" when an incoming message is received. The spam information device does not design a solution for the actual spam blocking, but merely allows the SPF result value to be linked with other spam blocking solutions in the future and records the result in a log file.

도 2는 SPF 레코드 발행의 예를 도시한 도면이고, 도 3은 인바이트 메시지의 예를 나타낸 도면이다.2 is a diagram illustrating an example of issuing an SPF record, and FIG. 3 is a diagram illustrating an example of an invite message.

도 4는 본 발명에 따른 SPF 시스템을 나타낸 도면이다. 본 발명의 SPF 스팸 차단 시스템(400)은 발신자로부터 수신한 인바이트 메시지로부터 발신자의 정보를 추출하는 발신자 정보 추출 장치(410); 상기 발신자의 정보를 이용하여 발신자가 수신자와 동일한 도메인에 속하는지를 판단하는 도메인 식별 장치(420); DNS 서버로 SPF 질의를 하고 그 결과를 분석하는 SPF 질의/분석 장치(430); 및 상기 SPF 질의/분석 장치에서 분석한 결과에 따라 인바이트 메시지를 차단하는 스팸 차단 장치(440)를 포함할 수 있다. 이 SPF 스팸 차단 시스템은 위에서 설명한 발신자 인증을 수행하기 위한 시스템으로서, 각 프록시 서버에 포함될 수 있다.4 is a diagram illustrating an SPF system according to the present invention. SPF spam blocking system 400 of the present invention comprises a caller information extraction device 410 for extracting the sender information from the invite message received from the sender; A domain identification device (420) for determining whether the sender belongs to the same domain as the receiver by using the sender's information; An SPF query / analysis apparatus 430 for making an SPF query to a DNS server and analyzing the result; And a spam blocking device 440 blocking the invite message according to the result analyzed by the SPF query / analysis apparatus. This SPF spam blocking system is a system for performing the sender authentication described above, and may be included in each proxy server.

위에서 설명한 바와 같이, SPF 스팸 차단 시스템(400)은 발신 도메인 정보의 위/변조 여부를 확인하기 위하여 IP 주소 및 Via 필드를 이용하여 SPF 질의를 한다. Via 필드를 발신 도메인 정보 검증에 사용하는 이유는, Via 필드를 교체하는 것은 간단한 과정에 의해 가능하고, Via 필드는 RFC 3261 규격에서 필수적인 헤더이며, Via 필드를 분석하면 인바이트 메시지가 전달된 경로를 확인할 수 있기 때문이다.As described above, the SPF spam blocking system 400 makes an SPF query using the IP address and the Via field to confirm whether the originating domain information is forged or forged. The reason why the Via field is used for verifying outgoing domain information is that replacing the Via field is a simple process, the Via field is an essential header in the RFC 3261 specification. Because you can check.

스팸 차단 장치(440)는 SPF 질의의 결과가 불일치 하는 경우에, 해당 인바이트 메시지를 차단할 수 있다. 물론, 차단하지 않고 다른 스팸 솔루션과 연동하기 위하여 결과를 스팸 정보 장치에 저장할 수 있다.The spam blocking device 440 may block the invite message when the result of the SPF query is inconsistent. Of course, the results can be stored in the spam information device in order to interoperate with other spam solutions without blocking.

SPF 스팸 차단 시스템(400)은 발신자 및 수신자가 동일한 도메인에 속하는 인바이트 메시지에 대해 프록시 인증을 하는 인증 장치를 더 포함할 수 있다. 프록시 인증을 하고 나면, 해당 호는 목적지 프록시 서버로 전달이 된다.The SPF spam blocking system 400 may further include an authentication device for proxy authentication of the invite message between the sender and the receiver belonging to the same domain. After proxy authentication, the call is forwarded to the destination proxy server.

SPF 스팸 차단 시스템(400)은 SPF 질의/응답 장치에서 분석된 결과를 로그 파일 형태로 저장하는 스팸 정보 장치를 더 포함할 수 있다. 위에서 언급한바와 같이, SIP 기반의 SPF는 이메일 기반의 SPF와 달리 SPF 처리 결과 값을 헤더 정보에 나중에 처리하는 것이 아니라 인바이트 메시지를 수신했을 때 "통과"로 판명되지 못한 호에 대해 SPF 결과 값을 추후에 다른 스팸 차단 솔루션과 연동이 가능하도록 그 결과 값을 로그 파일 형태로 기록할 수 있다.The SPF spam blocking system 400 may further include a spam information device that stores the result analyzed by the SPF query / response device in the form of a log file. As mentioned above, SIP-based SPFs, unlike email-based SPFs, do not process SPF processing result values later in the header information, but rather SPF result values for calls that do not turn out to be "passed" when an incoming message is received. The result can be recorded in the form of a log file so that it can be linked with other anti-spam solutions later.

SPF 스팸 차단 시스템(400)의 SPF 질의/분석 장치(430)는 상기 인바이트 메시지로부터 발신자의 IP 주소 및 Via 필드를 파싱하는 파싱부; DNS 서버에게 SPF 질의를 하고 그에 대응하는 응답메시지를 수신하는 SPF 질의/응답부; 및 상기 SPF 질의/응답부가 수신한 응답메시지를 분석하는 분석부를 포함할 수 있다.The SPF query / analysis apparatus 430 of the SPF spam blocking system 400 includes: a parser for parsing a sender's IP address and a Via field from the invite message; An SPF query / response unit for making an SPF query to a DNS server and receiving a corresponding response message; And it may include an analysis unit for analyzing the response message received by the SPF query / response unit.

SPF 질의는 DNS 서버에게 인바이트 메시지의 IP 주소 및 Via 필드가 SPF 레코드에 일치하는지를 확인하는 것을 의미한다. 종래의 이메일 기반의 서비스에서는, 인바이트 메시지에 Via 필드가 존재하지 않으므로 위에서 설명한바와 같이 메시지가 다른 도메인으로 전달된 경우에 SPF 질의의 응답은 "fail"이다. 따라서, 본 발명에서는 VoIP 환경에서의 Via 필드를 이용하여 SPF 질의/분석을 한다.SPF query means to check the DNS server to see if the IP address and Via field of the byte message match the SPF record. In the conventional email-based service, since the Via field does not exist in the invite message, the response of the SPF query is "fail" when the message is delivered to another domain as described above. Therefore, in the present invention, the SPF query / analysis is performed using the Via field in the VoIP environment.

도 5는 본 발명에 따른 SPF 질의 방법의 과정을 나타낸 순서도이다. 본 발명에 따른 SPF 질의 방법은 발신자로부터 인바이트 메시지를 수신하고 발신자의 정보를 추출하는 단계(S510); 발신자가 수신자와 동일한 도메인에 속하는지를 판단하는 단계(S520); DNS 서버로 SPF 질의 및 분석을 하는 단계(S530); 및 상기 SPF 질의 및 분석을 하는 단계에서 분석한 결과에 따라 인바이트 메시지를 차단하는 단계(S540)를 포함할 수 있다. SPF 질의 및 분석을 하는 단계는 위에서 언급한 대로 인바이트 메시지의 IP 주소 및 Via 필드를 이용한다.5 is a flow chart showing the process of the SPF query method according to the present invention. SPF query method according to the present invention comprises the steps of receiving an invite message from the sender and extracting the sender's information (S510); Determining whether the sender belongs to the same domain as the receiver (S520); Performing a SPF query and analysis with a DNS server (S530); And blocking the invite message according to the result of the analysis in the step of performing the SPF query and analysis (S540). The steps for querying and analyzing the SPF use the IP address and Via fields of the invite message as mentioned above.

발신자와 수신자가 동일한 도메인에 속하면, 동일한 도메인 내의 메시지지이기 때문에 SPF 시스템은 발신자 검증을 프록시 인증으로 대신한다. 반면에 발신자가 수신자와 동일한 도메인에 속하지 않으면, 타 도메인에서 메시지가 전달된 것이므로 SPF 질의/분석 과정을 통하여 발신자가 메시지를 위/변조 했는지를 판단한다.If the sender and receiver belong to the same domain, the SPF system replaces the sender verification with proxy authentication because it is a message paper in the same domain. On the other hand, if the sender does not belong to the same domain as the receiver, the message is delivered from another domain, so the SPF query / analyze process determines whether the sender has forged / modulated the message.

표 2 및 표 3은 SPF 스팸 차단 시스템의 실험예를 나타낸 표이다. 실험에서, 28개의 정상적인 발신자와 2개의 스패머가 호를 발신하였다. 28개의 정상적인 발신자는 각각 100개의 호를 발신한다. 2개의 스패머는 인바이트 메시지를 위조하여 각각 100개의 스팸 호를 발신한다. 표 2 및 표 3은 SPF 질의를 하는 경우와 하지 않는 경우의 특징들을 비교하여 나타낸다. SPF 질의를 하지 않은 경우에는 스팸 호의 절반을 정상적인 호로 판단한다. 그에 반하여, SPF 질의를 하는 경우에는 스팸 호를 정확히 분류해낸다. 표 2및 표 3에 나타난 바와 같이 SPF 질의를 스팸 차단 시스템에 적용하면 스팸 차단의 능력이 향상되는 것을 알 수 있다.Tables 2 and 3 are tables showing experimental examples of the SPF spam blocking system. In the experiment, 28 normal callers and 2 spammers made the call. 28 normal callers each make 100 calls. Two spammers fake 100-byte messages and each send 100 spam calls. Tables 2 and 3 compare and compare the features of the SPF query with and without. If no SPF query is made, half of the spam calls are considered normal. In contrast, SPF queries correctly classify spam calls. As shown in Table 2 and Table 3, applying the SPF query to the spam blocking system shows that the spam blocking ability is improved.

특성characteristic SPF 질의하지 않은 경우If you did not query the SPF SPF 질의한 경우If you query SPF 정상적인 호Normal arc 2,8002,800 2,8002,800 스팸 호Spam issue 100100 200200 정상적인 호로 잘못 판단한 경우Misjudged by a normal call 00 00 스팸 호로 잘못 판단한 경우Incorrectly determined to be spam 100100 00 스팸 호의 수(실제)Spam Call Count (Actual) 200200 200200 정상적인 호의 수(실제)Normal number of arcs (actual) 2,8002,800 2,8002,800

특성characteristic SPF 질의하지 않은 경우If you did not query the SPF SPF 질의한 경우If you query SPF 오류 포지티브율Error positive rate 0%0% 0%0% 오류 네거티브율Error negative rate 50%50% 0%0% 에러율Error rate 3%3% 0%0% 정확도accuracy 97%97% 100%100% 리콜Recall 50%50% 100%100% 정밀도Precision 100%100% 100%100%

이상에서 설명한 본 발명은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 변경 및 변형이 가능하므로 전술한 실시예 및 첨부된 도면에 한정되는 것은 아니다.The present invention described above is limited to the above-described embodiments and the accompanying drawings as various changes and modifications can be made within the scope without departing from the technical spirit of the present invention for those skilled in the art. It doesn't happen.

도 1은 본 발명의 일 실시예에 따른 SPF 스팸 차단 시스템을 나타낸 도면이다.1 is a diagram showing an SPF spam blocking system according to an embodiment of the present invention.

도 2는 본 발명의 일 실시예에 따른 SPF 레코드를 나타낸 도면이다.2 illustrates an SPF record according to an embodiment of the present invention.

도 3은 본 발명의 일 실시예에 따른 인바이트 메시지를 나타낸 도면이다.3 is a diagram illustrating an invite message according to an exemplary embodiment of the present invention.

도 4는 본 발명의 일 실시예에 따른 SPF 스팸 차단 시스템의 구성을 나타낸 도면이다.4 is a diagram illustrating a configuration of an SPF spam blocking system according to an embodiment of the present invention.

도 5는 본 발명의 일 실시예에 따른 SPF 질의 방법을 나타낸 도면이다.5 illustrates an SPF query method according to an embodiment of the present invention.

Claims (10)

발신자로부터 수신한 인바이트 메시지로부터 발신 도메인의 정보를 추출하는 발신자 정보 추출 장치;A sender information extraction device for extracting information of the originating domain from the invite message received from the sender; 상기 발신 도메인의 정보를 이용하여 발신자가 수신자와 동일한 도메인에 속하는지를 판단하는 도메인 식별 장치;A domain identification device for determining whether the sender belongs to the same domain as the receiver by using the information of the originating domain; DNS 서버로 발신자 정책 프레임워크 질의를 하고 그 결과를 분석하는 발신자 정책 프레임워크 질의/분석 장치; 및A sender policy framework query / analysis apparatus for making a sender policy framework query to a DNS server and analyzing the result; And 상기 발신자 정책 프레임워크 질의/분석 장치에서 분석한 결과에 따라 인바이트 메시지를 차단하는 스팸 차단 장치를 포함하고,And a spam blocking device to block an invite message according to a result analyzed by the sender policy framework query / analysis device. 상기 발신자 정책 프레임워크 질의/분석 장치는 IP 주소 및 Via 필드를 이용하여 발신자 정책 프레임워크 질의 및 분석을 하는 것을 특징으로 하는 발신자 정책 프레임워크 스팸 차단 시스템.And the sender policy framework query / analysis apparatus performs a caller policy framework query and analysis using an IP address and a Via field. 제1항에 있어서,The method of claim 1, 발신자 및 수신자가 동일한 도메인에 속하면 인바이트 메시지에 프록시 인증을 하는 인증 장치를 더 포함하는 것을 특징으로 하는 발신자 정책 프레임워크 스팸 차단 시스템.The sender policy framework spam blocking system further comprises an authentication device for proxy authentication to the invite message if the sender and the receiver belong to the same domain. 제1항에 있어서,The method of claim 1, 상기 발신자 정책 프레임워크 질의/분석 장치에서 분석된 결과를 로그 파일 형태로 저장하는 스팸 정보 장치를 더 포함하는 것을 특징으로 하는 발신자 정책 프레임워크 스팸 차단 시스템.Sender policy framework spam blocking system further comprises a spam information device for storing the results analyzed by the sender policy framework query / analysis device in the form of a log file. 제1항에 있어서,The method of claim 1, 상기 발신자 정책 프레임워크 질의/분석 장치는,The sender policy framework query / analysis device, 상기 인바이트 메시지로부터 발신 도메인의 IP 주소 및 Via 필드를 파싱하는 파싱부;A parsing unit for parsing an IP address and a Via field of an originating domain from the invite message; DNS 서버에게 발신자 정책 프레임워크 질의를 하고 그에 대응하는 응답메시지를 수신하는 발신자 정책 프레임워크 질의/응답부; 및A sender policy framework query / responder that queries the DNS server for a sender policy framework and receives a corresponding response message; And 상기 발신자 정책 프레임워크 질의/응답부가 수신한 응답메시지를 분석하는 분석부를 포함하고,An analysis unit for analyzing a response message received by the sender policy framework query / response unit; 상기 발신자 정책 프레임워크 질의는 DNS 서버에게 인바이트 메시지의 IP 주소 및 Via 필드가 발신자 정책 프레임워크 레코드에 일치하는지를 확인하는 것을 특징으로 하는 발신자 정책 프레임워크 스팸 차단 시스템.And the sender policy framework query verifies the DNS server whether the IP address and Via field of the invite message match the sender policy framework record. 제4항에 있어서,The method of claim 4, wherein 상기 스팸 차단 장치는,The spam blocking device, 상기 인바이트 메시지 및 발신자 정책 프레임워크 레코드의 IP 주소 및 Via 필드가 일치하지 않으면, 상기 인바이트 메시지를 차단하는 것을 특징으로 하는 발 신자 정책 프레임워크 스팸 차단 시스템.And if the IP address and the Via field of the invite message and the sender policy framework record do not match, blocking the invite message. 발신자로부터 인바이트 메시지를 수신하고 발신 도메인의 정보를 추출하는 단계;Receiving an invite message from the sender and extracting information of the originating domain; 상기 발신 도메인의 정보를 이용하여 발신자가 수신자와 동일한 도메인에 속하는지를 판단하는 단계;Determining whether the sender belongs to the same domain as the receiver by using the information of the calling domain; 상기 판단하는 단계에서 발신자가 수신자와 동일한 도메인에 속하지 않는 것으로 판단되면 DNS 서버로 발신자 정책 프레임워크 질의 및 분석을 하는 단계; 및If it is determined in the determining step that the sender does not belong to the same domain as the receiver, performing a query and analysis of the sender policy framework to a DNS server; And 상기 발신자 정책 프레임워크 질의 및 분석을 하는 단계에서 분석한 결과에 따라 인바이트 메시지를 차단하는 단계를 포함하고,Blocking the invite message according to the result of the analysis in the step of querying and analyzing the sender policy framework; 상기 발신자 정책 프레임워크 질의 및 분석을 하는 단계는 IP 주소 및 Via 필드를 이용하여 발신자 정책 프레임워크 질의 및 분석을 하는 것을 특징으로 하는 발신자 정책 프레임워크 질의 방법.The step of querying and analyzing the sender policy framework comprises: calling and analyzing the sender policy framework using an IP address and a Via field. 제6항에 있어서,The method of claim 6, 상기 판단하는 단계에서 발신자가 수신자와 동일한 도메인에 속하는 것으로 판단되면 프록시 인증을 하는 단계를 더 포함하는 것을 특징으로 하는 발신자 정책 프레임워크 질의 방법.And if the sender is determined to belong to the same domain as the receiver, performing the proxy authentication. 제6항에 있어서,The method of claim 6, 상기 발신자 정책 프레임워크 질의 및 분석을 하는 단계에서 분석한 결과를 로그 파일 형태로 저장하는 단계를 더 포함하는 것을 특징으로 하는 발신자 정책 프레임워크 질의 방법.And storing the results of the analysis in the form of a log file in the step of querying and analyzing the sender policy framework. 제6항에 있어서,The method of claim 6, 상기 발신자 정책 프레임워크 질의 및 분석을 하는 단계는,The querying and analyzing the sender policy framework may include: DNS 서버에게 발신자 정책 프레임워크 질의하는 단계;Querying the DNS server for the sender policy framework; 상기 DNS 서버로부터 발신자 정책 프레임워크 질의의 응답을 수신하는 단계; 및Receiving a response of a sender policy framework query from the DNS server; And 상기 발신자 정책 프레임워크 질의 및 응답의 결과를 분석하는 단계를 포함하고,Analyzing the results of the sender policy framework query and response, 상기 발신자 정책 프레임워크 질의는 DNS 서버에게 인바이트 메시지의 IP 주소 및 Via 필드가 발신자 정책 프레임워크 레코드에 일치하는지를 확인하는 것을 특징으로 하는 발신자 정책 프레임워크 질의 방법.And the calling party policy framework query checks the DNS server whether the IP address and the Via field of the invite message match the calling party policy framework record. 제9항에 있어서,The method of claim 9, 상기 인바이트 메시지를 차단하는 단계는,Blocking the invite message, 상기 인바이트 메시지 및 발신자 정책 프레임워크 레코드의 IP 주소 및 Via 필드가 일치하지 않으면 상기 인바이트 메시지를 차단하는 것을 특징으로 하는 발신자 정책 프레임워크 질의 방법.And if the IP address and the Via field of the invite message and the sender policy framework record do not match, block the invite message.
KR1020080084501A 2008-08-28 2008-08-28 SPF System for Blocking Spam and Method of Querying in VoIP KR101004376B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080084501A KR101004376B1 (en) 2008-08-28 2008-08-28 SPF System for Blocking Spam and Method of Querying in VoIP

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080084501A KR101004376B1 (en) 2008-08-28 2008-08-28 SPF System for Blocking Spam and Method of Querying in VoIP

Publications (2)

Publication Number Publication Date
KR20100025801A true KR20100025801A (en) 2010-03-10
KR101004376B1 KR101004376B1 (en) 2010-12-28

Family

ID=42177225

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080084501A KR101004376B1 (en) 2008-08-28 2008-08-28 SPF System for Blocking Spam and Method of Querying in VoIP

Country Status (1)

Country Link
KR (1) KR101004376B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160020293A (en) * 2014-08-13 2016-02-23 에스케이텔레콤 주식회사 Method and apparatus for processing call
KR102562346B1 (en) * 2023-02-24 2023-08-01 주식회사 리얼시큐 Mail system for classifing normal mail among mails from unknown sources and methods accordingly

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101388628B1 (en) 2013-11-07 2014-04-24 한국인터넷진흥원 Method for blocking abnormal traffic in 4g mobile network

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9160755B2 (en) 2004-12-21 2015-10-13 Mcafee, Inc. Trusted communication network

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160020293A (en) * 2014-08-13 2016-02-23 에스케이텔레콤 주식회사 Method and apparatus for processing call
KR102562346B1 (en) * 2023-02-24 2023-08-01 주식회사 리얼시큐 Mail system for classifing normal mail among mails from unknown sources and methods accordingly

Also Published As

Publication number Publication date
KR101004376B1 (en) 2010-12-28

Similar Documents

Publication Publication Date Title
US20080292077A1 (en) Detection of spam/telemarketing phone campaigns with impersonated caller identities in converged networks
US8464329B2 (en) System and method for providing security for SIP-based communications
US8522344B2 (en) Theft of service architectural integrity validation tools for session initiation protocol (SIP)-based systems
JP5225468B2 (en) Attack detection support method in distributed system
EP2449744B1 (en) Restriction of communication in voip address discovery system
EP2661024A2 (en) Extensions to SIP signalling to indicate spam
US20090265456A1 (en) Method and system to manage multimedia sessions, allowing control over the set-up of communication channels
CN102037701A (en) Method and system for verifying the identity of a communication partner
JP4692776B2 (en) Method for protecting SIP-based applications
Song et al. iVisher: Real‐time detection of caller ID spoofing
US8351579B2 (en) System and method for securely authenticating and lawfully intercepting data in telecommunication networks using biometrics
Gritzalis et al. SPIDER: A platform for managing SIP-based Spam over Internet Telephony (SPIT)
Azad et al. Multistage spit detection in transit voip
EP2597839A1 (en) Transparen Bridge Device for protecting network services
Marias et al. SIP vulnerabilities and anti-SPIT mechanisms assessment
KR101004376B1 (en) SPF System for Blocking Spam and Method of Querying in VoIP
US8693376B2 (en) Monitoring in a telecommunication network
US9191423B2 (en) Caller-ID for redirected calls from SIP-PBX
Zhang et al. Blocking attacks on SIP VoIP proxies caused by external processing
EP2301232B1 (en) Lawful interception of bearer traffic
CN113839905B (en) Certificate writing and certificate feedback method, accounting node and identity authentication system
Shan et al. Research on security mechanisms of SIP-based VoIP system
US20090103458A1 (en) Avoidance of incorrect classification of desired messages as spam-over-internet-telephony messages
KR101287588B1 (en) Security System of the SIP base VoIP service
WO2008040539A1 (en) A method for establishing a connection oriented communication after screening the call for desired characteristics

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20131114

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20141204

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee