KR20100073527A - Detection and block system for hacking attack of internet telephone using the sip-based and method thereof - Google Patents
Detection and block system for hacking attack of internet telephone using the sip-based and method thereof Download PDFInfo
- Publication number
- KR20100073527A KR20100073527A KR1020080132229A KR20080132229A KR20100073527A KR 20100073527 A KR20100073527 A KR 20100073527A KR 1020080132229 A KR1020080132229 A KR 1020080132229A KR 20080132229 A KR20080132229 A KR 20080132229A KR 20100073527 A KR20100073527 A KR 20100073527A
- Authority
- KR
- South Korea
- Prior art keywords
- sip
- attack
- rtp
- detection
- blocking
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1101—Session protocols
- H04L65/1104—Session initiation protocol [SIP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/60—Network streaming of media packets
- H04L65/65—Network streaming protocols, e.g. real-time transport protocol [RTP] or real-time control protocol [RTCP]
Abstract
Description
본 발명은 SIP 시그널링 공격 대응 모듈과, RTP 미디어 공격 대응 모듈과, SIP 시그널링/미디어 공격 대응 정책 관리 모듈 및 IP/Port 필터링 모듈의 구성을 통해 인터넷전화의 대표적인 신호 제어 프로토콜인 SIP 프로토콜을 이용하여 해킹 공격을 탐지하고 차단할 수 있으며, 응용계층(SIP:호 설정 제어 메시지 전송 프로토콜, RTP: 실시간 미디어 데이터 전송 프로토콜)간 프로토콜의 연관성 분석 탐지 기능과, 응용계층 프로토콜의 Deep Packet 헤더 분석 기능과, 호 설정 상태 분석 기능을 갖고 있음으로써, 응용계층(SIP, RTP)에 특화된 공격을 탐지하고 차단할 수 있는 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템과 그 방법에 관한 기술이다.The present invention hacks using the SIP protocol which is a representative signal control protocol of Internet telephony through the configuration of the SIP signaling attack response module, the RTP media attack response module, the SIP signaling / media attack response policy management module, and the IP / Port filtering module. Detect and block attacks, detect protocol association between application layers (SIP: call setup control message transfer protocol, RTP: real-time media data transfer protocol), detect deep packet headers of application layer protocols, and call setup It is a technology related to SIP protocol based internet phone hacking attack detection and blocking system and method that can detect and block attacks specific to application layer (SIP, RTP) by having status analysis function.
인터넷 전화 등 SIP(Session Initation Protocol) 기반의 응용서비스는 호 설정을 위한 시그널링 경로와 음성 데이터 전송되는 미디어 경로가 다르게 전송되고, 사용자간 미디어 채널을 오픈하기 위해 IP/Port 등의 호 설정 주소 정보가 SIP 시그널링 메시지에 내포되어 전송되며, SIP 프로토콜 구조가 INVITE/BYE/CANCEL 등의 다양한 SIP 설정 메소드를 사용하는 SIP 기반의 응용서비스에 특화된 특성을 가지고 있으나, 기존의 보안 장비들은 이러한 특성들을 반영하여 응용계층(SIP, RTP)을 이용한 다양한 해킹 공격에 대응하는데 한계가 있다.In SIP (Session Initation Protocol) based application services such as Internet telephony, signaling paths for call setup and media paths for transmitting voice data are transmitted differently, and call setup address information such as IP / Port is needed to open media channels between users. It is embedded in the SIP signaling message and transmitted, and the SIP protocol structure has characteristics specific to SIP-based application services using various SIP configuration methods such as INVITE / BYE / CANCEL, but existing security devices reflect these characteristics. There is a limit in responding to various hacking attacks using layers (SIP, RTP).
종래의 방화벽은 SIP 시그널링 포트를 반드시 오픈해야 하는 한계가 있고, IPS, IDS 기술의 경우도 응용계층(SIP, RTP) 프로토콜 헤더 필드를 정교하게 분석하지 않으며, SIP 시그널링 패킷과, RTP 미디어 패킷과, 크로스 프로토콜 연관 분석 탐지 및 호 설정 상태 기반의 Statefull Inspection 탐지 기능을 제공하지 않아 응용계층(SIP, RTP)에 특화된 공격을 탐지하고 대응하는데 한계가 있다.The conventional firewall has a limitation in that the SIP signaling port must be opened, and even in the case of IPS and IDS technologies, the SIP layer does not analyze the application layer (SIP, RTP) protocol header fields in detail, SIP signaling packets, RTP media packets, There is a limitation in detecting and responding to attacks specific to application layer (SIP, RTP) because it does not provide cross-protocol association analysis detection and call establishment state-based statefull inspection detection.
그러므로 인터넷전화의 대표적인 신호 제어 프로토콜인 SIP 프로토콜을 이용하여 해킹 공격을 탐지하고 차단할 수 있으며, 응용계층(SIP, RTP)간 프로토콜의 연관성 분석 탐지 기능과, 응용계층 프로토콜의 Deep Packet 헤더 분석 기능과, 호 설정 상태 분석 기능을 갖고 있음으로써, 응용계층(SIP, RTP)에 특화된 공격을 탐지하고 차단할 수 있는 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템과 방법의 개발이 절실히 요구되고 있는 실정이다.Therefore, it is possible to detect and block hacking attacks by using SIP protocol, which is a representative signal control protocol of Internet telephony. By having a call setup status analysis function, there is an urgent need to develop a SIP protocol-based internet phone hacking attack detection and blocking system and method that can detect and block attacks specific to the application layer (SIP, RTP).
이에 본 발명은 상기 문제점들을 해결하기 위하여 착상된 것으로서, SIP 시그널링 공격 대응 모듈과, RTP 미디어 공격 대응 모듈과, SIP 시그널링/미디어 공격 대응 정책 관리 모듈 및 IP/Port 필터링 모듈의 구성을 통해 인터넷전화의 대표적인 신호 제어 프로토콜인 SIP 프로토콜을 이용하여 해킹 공격을 탐지하고 차단할 수 있는 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템과 그 방법을 제공하는데 그 목적이 있다.Accordingly, the present invention has been conceived to solve the above problems, the Internet signaling through the configuration of the SIP signaling attack response module, RTP media attack response module, SIP signaling / media attack response policy management module and IP / Port filtering module The purpose of the present invention is to provide a SIP protocol-based internet phone hacking attack detection and blocking system and a method for detecting and blocking hacking attacks using the SIP protocol, a representative signal control protocol.
본 발명의 다른 목적은 응용계층(SIP, RTP)간 프로토콜의 연관성 분석 탐지 기능과, 응용계층 프로토콜의 Deep Packet 헤더 분석 기능과, 호 설정 상태 분석 기능을 갖고 있음으로써, 응용계층(SIP, RTP)에 특화된 공격을 탐지하고 차단할 수 있는 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템과 그 방법을 제공하는데 있다.Another object of the present invention is to detect the correlation analysis of the protocol between the application layer (SIP, RTP), Deep Packet header analysis function of the application layer protocol, and call setup state analysis function, so that the application layer (SIP, RTP) The present invention provides a SIP protocol based internet phone hacking attack detection and blocking system and method for detecting and blocking specialized attacks.
상기 목적을 달성하기 위한 본 발명의 바람직한 일실시예에 따른 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템은 SIP 메소드 플루딩(Flooding) 공격과, SIP BYE/Cancel 공격인 SIP 호 제어 메시지를 이용한 공격을 탐지하고 차단하는 SIP 시그널링 공격 대응 모듈과; RTP Insertion 공격인 RTP 미디어 데이터 기반의 공격을 탐지하고 차단하는 RTP 미디어 공격 대응 모듈과; 상기 SIP 시그널링 공격 대응 모듈 및 RTP 미디어 공격 대응 모듈과 연결되며, 응용계 층(SIP, RTP) 기반의 공격을 탐지하고 차단하는 정책과 보안 정책을 관리하는 SIP 시그널링/미디어 공격 대응 정책 관리 모듈과; 상기 SIP 시그널링 공격 대응 모듈 및 RTP 미디어 공격 대응 모듈과 연결되며, IP/Port/프로토콜 별로 L3~L4 계층의 공격을 차단하는 IP/Port 필터링 모듈; 을 포함함을 특징으로 한다. SIP protocol-based Internet phone hacking attack detection and blocking system according to an embodiment of the present invention for achieving the above object is a SIP method flooding (Flooding) attack, the attack using the SIP BYE / Cancel attack SIP call control message SIP signaling attack response module for detecting and blocking; An RTP media attack response module for detecting and blocking an RTP media data-based attack, which is an RTP Insertion attack; A SIP signaling / media attack response policy management module connected to the SIP signaling attack response module and the RTP media attack response module and managing a policy and a security policy for detecting and blocking an application layer (SIP, RTP) based attack; An IP / Port filtering module connected to the SIP signaling attack response module and the RTP media attack response module and blocking an attack of the L3 to L4 layer by IP / Port / protocol; Characterized in that it comprises a.
상기 본 발명에 있어서, 상기 SIP 시그널링 공격 대응 모듈은 SIP 표준 규격에 맞게 SIP 시그널링 헤더를 디코딩하는 SIP 시그널링 헤더 디코딩 블록과; URI기반 SIP 패킷 필터링과, SIP 시그널링 DoS 탐지와, SIP 프로토콜 어노말리 탐지와, SIP 주소 위변조 탐지와, 시그니처 기반 SIP 해킹 공격 탐지 및 SIP 세션 어노말리 탐지 기능을 갖는 SIP 시그널링 공격 탐지/차단 블록과; 호가 SIP 호 설정 정보를 전송하기 위한 호 설정 정보 전송 에이전트; 로 구성되는 것을 특징으로 한다. In the present invention, the SIP signaling attack counter module includes: a SIP signaling header decoding block for decoding a SIP signaling header according to a SIP standard; A SIP signaling attack detection / blocking block having URI based SIP packet filtering, SIP signaling DoS detection, SIP protocol anomaly detection, SIP address forgery detection, signature based SIP hacking attack detection and SIP session anomaly detection; A call establishment information transmitting agent for sending a call to SIP call establishment information; . ≪ / RTI >
상기 본 발명에 있어서, 상기 RTP 미디어 공격 대응 모듈은 호가 SIP 호 설정 정보를 수신하기 위한 호 설정 정보 수신 에이전트와; SIP 시그널링 공격 대응 모듈로부터 호 설정 상태 정보(통화가 연결된 IP 주소, 동적 Port 정보)를 수신 받아 RTP 미디어 공격을 탐지하고 차단하는 RTP 미디어 공격 탐지/차단 블록과; RTP 표준 규격에 맞게 RTP 미디어 헤더를 디코딩하는 RTP 미디어 헤더 디코딩 블록; 으로 구성되는 것을 특징으로 한다.In the present invention, the RTP media attack response module includes: a call establishment information receiving agent for receiving a call call SIP call establishment information; An RTP media attack detection / blocking block for detecting and blocking an RTP media attack by receiving call establishment state information (IP address to which a call is connected and dynamic port information) from a SIP signaling attack response module; An RTP media header decoding block for decoding the RTP media header according to the RTP standard specification; Characterized in that consists of.
상기 본 발명에 있어서, 상기 SIP 시그널링 공격 대응 모듈과, RTP 미디어 공격 대응 모듈 간 호 설정 정보 전송/수신 에이전트 채널을 통해 통화가 연결된 설정 정보(Signaled IP 주소, 동적 Port 주소)를 교환하여 응용계층(SIP, RTP) 간 프로토콜의 연관성 분석이 가능한 것을 특징으로 한다.In the present invention, the SIP signaling attack response module and the RTP media attack response module exchanges configuration information (Signaled IP address, dynamic port address) connected to the call through the transmission / reception agent channel information of the application layer ( SIP, RTP) is characterized in that the analysis of the association between protocols.
상기 본 발명에 있어서, 상기 SIP 시그널링 공격 탐지/차단 블록은 SIP 헤더 필드 분석 후 To, From, Via 필드에 블랙리스트로 설정된 URI 주소 정보를 포함하는 SIP 패킷을 필터링하는 URI기반 SIP 패킷 필터링부와; INVITE 플로딩과 같은 SIP 메소드를 이용한 DoS 공격을 탐지하고 차단하는 SIP 시그널링 DoS 탐지부와; RFC 3261 표준 규격을 위반하는 SIP Malformed 메시지 공격을 탐지하고 차단하는 SIP 프로토콜 어노말리 탐지부와; IP 주소 스푸핑의 스푸핑 공격을 탐지하는 SIP 주소 위변조 탐지부와; 알려진 SIP 메시지 기반 공격을 시그니처 형태로 패턴매칭 방식을 통해 SIP XSS, SQL Injection 공격, 단말 OS 버그 취약성 공격을 탐지하는 시그니처기반 SIP 해킹 공격 탐지부와; SIP 콜 트랜젝션 상태의 적합성을 확인하고 처리하는 SIP 세션 어노말리 탐지부; 로 구성되는 것을 특징으로 한다.The SIP signaling attack detection / blocking block may include: a URI-based SIP packet filtering unit configured to filter SIP packets including URI address information set as a blacklist in the To, From, and Via fields after analyzing the SIP header field; A SIP signaling DoS detector for detecting and blocking a DoS attack using a SIP method such as INVITE floating; A SIP protocol anomaly detection unit for detecting and blocking SIP Malformed message attacks that violate the RFC 3261 standard specification; A SIP address forgery detection unit for detecting a spoofing attack of IP address spoofing; A signature-based SIP hacking attack detection unit for detecting SIP XSS, SQL Injection attacks, and terminal OS bug vulnerability attacks by using a pattern matching method in a signature form of a known SIP message-based attack; A SIP session anomaly detector for checking and processing suitability of a SIP call transaction state; . ≪ / RTI >
상기 본 발명에 있어서, 상기 RTP 미디어 공격 탐지/차단 블록은 SIP 시그널링 공격 탐지/차단 모듈로부터 호 설정 상태 정보를 수신 받아 IP 헤더 필드 분석 후 송신 IP/Port, 수신 IP/Port 필드에 블랙리스트로 설정된 IP/Port 정보를 포함하는 RTP 패킷을 필터링하는 IP/Port 패킷 필터링부와; IP/Port 패킷 필터링부에서 RTP 패킷을 수신 받아 헤더 필드별로 RTP 표준 규격에 맞게 디코딩하여 RTP 미디어 공격 탐지/차단 모듈로 전송하는 RTP 미디어 헤더 디코딩 모듈과; 정상적으로 호가 설정된 RTP 스트림을 판단하기 위한 것으로, SIP 시그널링 공격 대응 모듈로부터 호 설정 상태 정보를 수신 받아 IP, Port, SSRC 값이 동일한지 체크하고 동일하지 않을 경우 RTP Insertion 공격으로 판단하고 탐지하는 RTP 미디어 공격 탐지/차단 모듈과; RTP 트래픽을 프로파일링하고 rate-limit을 통해 비정상 RTP 트래픽을 탐지하고 네트워크 대역을 관리하여 정상 RTP 트래픽을 우선 처리할 수 있게 하는 비정상 RTP 트래픽 대응 모듈; 로 구성되는 것을 특징으로 한다.In the present invention, the RTP media attack detection / blocking block receives call setup state information from the SIP signaling attack detection / blocking module, and analyzes an IP header field and sets a blacklist in a transmission IP / Port and a receiving IP / Port field. An IP / Port packet filtering unit for filtering an RTP packet including IP / Port information; An RTP media header decoding module for receiving the RTP packet from the IP / Port packet filtering unit and decoding the header field according to the RTP standard specification and transmitting the RTP packet to the RTP media attack detection / blocking module; RTP media attack to determine the RTP stream that is normally set up, and receives the call setup status information from the SIP signaling attack response module and checks whether the IP, Port, and SSRC values are the same. Detection / blocking module; An abnormal RTP traffic response module for profiling RTP traffic, detecting abnormal RTP traffic through rate-limit, and managing network bands to prioritize normal RTP traffic; . ≪ / RTI >
또한 상기 목적을 달성하기 위한 본 발명의 바람직한 일실시예에 따른 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 방법에 있어서, 호 설정이 이뤄지지 않은 RTP 미디어 공격 패킷 탐지/차단 동작 과정은 RTP 미디어 데이터 디코딩을 통과한 RTP 패킷을 수신하는 단계와; 정상적으로 호가 설정되어 RTP 스트림을 판단하기 위해 호가 설정된 정보인 송수신 IP, Port, SSRC 값을 조회하는 단계와; 호 설정 상태 테이블의 IP, Port, SSRC와 일치하는 패킷일 경우, 패킷을 다음 프로세스로 전달하고, 그렇지 않은 경우, 패킷을 Drop하는 단계; 를 포함함을 특징으로 한다. In addition, in the SIP protocol-based Internet phone hacking attack detection and blocking method according to an embodiment of the present invention for achieving the above object, the RTP media attack packet detection / blocking operation process that does not set up the call to the RTP media data decoding Receiving the passed RTP packet; Querying transmit / receive IP, Port, and SSRC values, which are information on which a call is set, to determine a RTP stream by establishing a call normally; If the packet matches the IP, Port, and SSRC of the call setup state table, forwarding the packet to the next process; otherwise, dropping the packet; .
본 발명에 따른 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템과 그 방법은 다음과 같은 효과를 가진다.SIP protocol based internet phone hacking attack detection and blocking system and method according to the present invention has the following effects.
첫째, 본 발명은 SIP 시그널링 공격 대응 모듈과, RTP 미디어 공격 대응 모듈과, SIP 시그널링/미디어 공격 대응 정책 관리 모듈 및 IP/Port 필터링 모듈의 구성을 통해 인터넷전화의 대표적인 신호 제어 프로토콜인 SIP 프로토콜을 이용하여 해킹 공격을 탐지하고 차단할 수 있다.First, the present invention uses the SIP protocol, which is a representative signal control protocol of Internet telephony, through the configuration of the SIP signaling attack response module, the RTP media attack response module, the SIP signaling / media attack response policy management module, and the IP / Port filtering module. To detect and block hacking attacks.
둘째, 본 발명은 응용계층(SIP, RTP)간 프로토콜의 연관성 분석 탐지 기능 과, 응용계층 프로토콜의 Deep Packet 헤더 분석 기능과, 호 설정 상태 분석 기능을 갖고 있음으로써, 응용계층(SIP, RTP)에 특화된 공격을 탐지하고 차단할 수 있다. Second, the present invention has an association analysis detection function of the protocol between the application layer (SIP, RTP), Deep Packet header analysis function of the application layer protocol, and call setup state analysis function, so that the application layer (SIP, RTP) Detect and block specialized attacks.
이하 첨부된 도면과 함께 본 발명의 바람직한 실시 예를 살펴보면 다음과 같은데, 본 발명을 설명함에 있어서 관련된 공지기술 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략할 것이며, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있으므로, 그 정의는 본 발명인 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템과 그 방법을 설명하는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다. Looking at the preferred embodiment of the present invention together with the accompanying drawings as follows, when it is determined that the detailed description of the known art or configuration related to the present invention may unnecessarily obscure the subject matter of the present invention The description will be omitted, and the following terms are terms defined in consideration of functions in the present invention, which may vary according to the intention or custom of the user or the operator, and the definitions thereof are the SIP protocol-based Internet telephone hacking attack detection and the present invention. It should be made based on the contents throughout this specification that describe the blocking system and its method.
이하, 본 발명의 바람직한 일실시예에 따른 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템을 첨부된 도면을 참조하여 상세히 설명한다.Hereinafter, a SIP protocol based internet phone hacking attack detection and blocking system according to an embodiment of the present invention will be described in detail with reference to the accompanying drawings.
도 1은 본 발명의 일실시예에 따른 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템을 설명하기 위한 구성을 나타낸 도면이고, 도 2는 본 발명의 일실시예에 따른 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템을 구성하는 SIP 시그널링 공격 탐지/차단 블록을 설명하기 위해 나타낸 도면이며, 도 3은 본 발명의 일실시예에 따른 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템을 구성하는 RTP 미디어 공격 탐지/차단 블록을 설명하기 위해 나타낸 도면이다.1 is a view showing a configuration for explaining a SIP protocol based Internet phone hacking attack detection and blocking system according to an embodiment of the present invention, Figure 2 is a SIP protocol based Internet phone hacking attack according to an embodiment of the present invention FIG. 3 is a diagram illustrating a SIP signaling attack detection / blocking block constituting a detection and blocking system, and FIG. 3 is an RTP media attack constituting an SIP protocol based internet phone hacking attack detection and blocking system according to an embodiment of the present invention. The figure shows to explain a detection / blocking block.
도 1에 도시한 바와 같이, SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템은 SIP 메소드 플루딩 공격과, SIP BYE/Cancel 공격인 SIP 호 제어 메시지를 이용한 공격을 탐지하고 차단하는 SIP 시그널링 공격 대응 모듈(100)과; RTP Insertion 공격인 RTP 미디어 데이터 기반의 공격을 탐지하고 차단하는 RTP 미디어 공격 대응 모듈(200)과; 상기 SIP 시그널링 공격 대응 모듈 및 RTP 미디어 공격 대응 모듈과 연결되며, 응용계층(SIP, RTP) 기반의 공격을 탐지하고 차단하는 정책과 보안 정책을 관리하는 SIP 시그널링/미디어 공격 대응 정책 관리 모듈(300)과; 상기 SIP 시그널링 공격 대응 모듈 및 RTP 미디어 공격 대응 모듈과 연결되며, IP/Port/프로토콜 별로 L3~L4 계층의 공격을 차단하는 IP/Port 필터링 모듈(400); 로 구성된다.As shown in FIG. 1, the SIP protocol-based internet phone hacking attack detection and blocking system detects and blocks SIP method flooding attacks and attacks using SIP call control messages, which are SIP BYE / Cancel attacks. 100; An RTP media
상기 SIP(session initiation protocol)란 전화, 인터넷 컨퍼런스, 메신저 등에 사용되는 응용 계층의 시그널링 프로토콜로서, 인터넷 기반 회의, 전화, 음성 메일, 이벤트 통지, 인스턴트 메시징 등 멀티미디어 서비스 세션의 생성, 수정, 종료를 제어하는 역할을 한다. SIP 프로토콜은 음성 미디어 전달을 위한 RTP 프로토콜과 같이 사용된다. The session initiation protocol (SIP) is a signaling protocol of an application layer used for a telephone, an internet conference, a messenger, and the like, and controls the creation, modification, and termination of a multimedia service session such as Internet-based conferencing, telephone, voice mail, event notification, and instant messaging. It plays a role. The SIP protocol is used together with the RTP protocol for voice media delivery.
상기 본 발명인 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템을 구성하는 기술적 수단들의 구성과 기능을 살펴보면 다음과 같다.Looking at the configuration and function of the technical means constituting the SIP protocol-based Internet phone hacking attack detection and blocking system of the present invention as follows.
상기 SIP 시그널링 공격 대응 모듈(100)은 SIP 프로토콜 기반의 인터넷전화 해킹 공격의 탐지 및 대응 시스템은 SIP 메소드 플루딩 공격과, SIP BYE/Cancel 공격인 SIP 호 제어 메시지를 이용한 공격을 탐지하고 차단한다.The SIP signaling
여기서 상기 SIP 시그널링 공격 대응 모듈(100)은 SIP 표준 규격에 맞게 SIP 시그널링 헤더를 디코딩하는 SIP 시그널링 헤더 디코딩 블록(110)과; URI기반 SIP 패킷 필터링과, SIP 시그널링 DoS 탐지와, SIP 프로토콜 어노말리 탐지와, SIP 주소 위변조 탐지와, 시그니처 기반 SIP 해킹 공격 탐지 및 SIP 세션 어노말리 탐지 기능을 갖는 SIP 시그널링 공격 탐지/차단 블록(120)과; 호가 SIP 호 설정 정보를 전송하기 위한 호 설정 정보 전송 에이전트(130); 로 구성된다.Here, the SIP signaling
또한 도 2에 도시한 바와 같이, 상기 SIP 시그널링 공격 탐지/차단 블록(120)은 SIP 헤더 필드 분석 후 To, From, Via 필드에 블랙리스트로 설정된 URI 주소 정보를 포함하는 SIP 패킷을 필터링하는 URI기반 SIP 패킷 필터링부(121)와; INVITE 플로딩과 같은 SIP 메소드를 이용한 DoS 공격을 탐지하고 차단하는 SIP 시그널링 DoS 탐지부(122)와; RFC 3261 표준 규격을 위반하는 SIP Malformed 메시지 공격을 탐지하고 차단하는 SIP 프로토콜 어노말리 탐지부(123)와; IP 주소 스푸핑의 스푸핑 공격을 탐지하는 SIP 주소 위변조 탐지부(124)와; 알려진 SIP 메시지 기반 공격을 시그니처 형태로 패턴매칭 방식을 통해 SIP XSS, SQL Injection 공격, 단말 OS 버그 취약성 공격을 탐지하는 시그니처기반 SIP 해킹 공격 탐지부(125)와; SIP 콜 트랜젝션 상태의 적합성을 확인하고 처리하는 SIP 세션 어노말리 탐지부(126); 로 구성된다.Also, as shown in FIG. 2, the SIP signaling attack detection /
여기서 상기 SIP 주소 위변조 탐지부(124)는 더 구체적으로 보면, SIP 메시 지에서 핑거프린팅 정보를 추출해서, 초기 SIP INVITE 메시지의 Fingerprint 값과 비교하여 메시지의 위조, 변조를 탐지하는 것이다. 현재 세션의 정보를 이용하여, Call-ID, MAC address, Seq #, From, To, 헤더 순서, Max-Forwards, Via 필드 등의 값이 동일한지 체크하고 동일하지 않을 경우 주소 위조, 변조된 패킷으로 판단하고 탐지한다. 또한 상기 SIP 세션 어노말리 탐지부(126)에서 트랜젝션 상태는 표준(RFC 3261)의 INVITE/Non-INVITE sever/client transaction 따라 SIP BYE, CANCEL 등 SIP 콜 트랜젝션 상태에 위배되는 통화 방해/중단 공격을 탐지하는 것이다. In more detail, the SIP address
상기 RTP 미디어 공격 대응 모듈(200)은 RTP Insertion 공격인 RTP 미디어 데이터 기반의 공격을 탐지하고 차단한다.The RTP media
여기서 상기 RTP 미디어 공격 대응 모듈(200)은 호가 SIP 호 설정 정보를 수신하기 위한 호 설정 정보 수신 에이전트(210)와; SIP 시그널링 공격 대응 모듈로부터 호 설정 상태 정보(통화가 연결된 IP 주소, 동적 Port 정보)를 수신 받아 RTP 미디어 공격을 탐지하고 차단하는 RTP 미디어 공격 탐지/차단 블록(220)과; RTP 표준 규격에 맞게 RTP 미디어 헤더를 디코딩하는 RTP 미디어 헤더 디코딩 블록(230); 으로 구성된다. In this case, the RTP media
상기 SIP 시그널링 공격 대응 모듈(100)과, RTP 미디어 공격 대응 모듈(200) 간 호 설정 정보 전송/수신 에이전트 채널을 통해 통화가 연결된 설정 정보(Signaled IP 주소, 동적 Port 주소)를 교환하여 응용계층(SIP, RTP) 간 프로토콜의 연관성 분석이 가능한 것이다. The application layer (SIP) is exchanged between the SIP signaling
상기 SIP 시그널링/미디어 공격 대응 정책 관리 모듈(300)은 상기 SIP 시그널링 공격 대응 모듈 및 RTP 미디어 공격 대응 모듈과 연결되며, 응용계층(SIP, RTP) 기반의 공격을 탐지하고 차단하는 정책과 보안 정책을 관리한다.The SIP signaling / media attack response
상기 IP/Port 필터링 모듈(400)은 상기 SIP 시그널링 공격 대응 모듈 및 RTP 미디어 공격 대응 모듈과 연결되며, IP/Port/프로토콜 별로 L3~L4 계층의 공격을 차단한다. The IP /
또한, OSI 7 레이어 관점에서 SIP 시그널링 공격 대응 모듈(100) 및 RTP 미디어 공격 대응 모듈(200)은 L7 응용계층에서 처리하며, IP/Port 필터링 모듈(400)은 L3~L4 계층 기반 공격 필터링을 처리한다.In addition, the SIP signaling
또한 도 3에 도시한 바와 같이, RTP 미디어 공격 탐지/차단 블록(220)은 SIP 시그널링 공격 탐지/차단 모듈로부터 호 설정 상태 정보를 수신 받아 IP 헤더 필드 분석 후 송신 IP/Port, 수신 IP/Port 필드에 블랙리스트로 설정된 IP/Port 정보를 포함하는 RTP 패킷을 필터링하는 IP/Port 패킷 필터링부(221)와; IP/Port 패킷 필터링부에서 RTP 패킷을 수신 받아 헤더 필드별로 RTP 표준 규격에 맞게 디코딩하여 RTP 미디어 공격 탐지/차단 모듈로 전송하는 RTP 미디어 헤더 디코딩 모듈(222)과; 정상적으로 호가 설정된 RTP 스트림을 판단하기 위한 것으로, SIP 시그널링 공격 대응 모듈로부터 호 설정 상태 정보를 수신 받아 IP, Port, SSRC 값이 동일한지 체크하고 동일하지 않을 경우 RTP Insertion 공격으로 판단하고 탐지하는 RTP 미디어 공격 탐지/차단 모듈(223)과; RTP 트래픽을 프로파일링하고 rate-limit을 통해 비정상 RTP 트래픽을 탐지하고 네트워크 대역을 관리하여 정상 RTP 트래픽을 우선 처 리할 수 있게 하는 비정상 RTP 트래픽 대응 모듈(224); 로 구성된다.In addition, as shown in FIG. 3, the RTP media attack detection /
그러므로 SIP 시그널링 공격 대응 모듈로부터 호 설정 상태 정보(통화가 연결된 IP 주소, 동적 Port 정보 등)을 수신 받아 RTP 미디어 공격을 탐지하고 차단하는데, 즉, SIP 호설정 정보와 프로토콜 연관성 분석을 통해 RTP 미디어 공격을 탐지하고 차단하는 것이다. Therefore, RTP media attack is detected and blocked by receiving call establishment status information (IP address connected to call, dynamic port information, etc.) from SIP signaling attack response module, that is, RTP media attack through analysis of SIP call establishment information and protocol association. To detect and block them.
도 4는 본 발명의 일실시예에 따른 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 방법에서 호 설정이 이뤄지지 않은 RTP 미디어 공격 패킷 탐지/차단 동작하는 흐름을 나타낸 도면이다. FIG. 4 is a diagram illustrating a flow of RTP media attack packet detection / blocking operation without call setting in the SIP protocol based internet phone hacking attack detection and blocking method according to an embodiment of the present invention.
도 4에 도시한 바와 같이, SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 방법에서 호 설정이 이뤄지지 않은 RTP 미디어 공격 패킷 탐지/차단 동작하는 흐름을 살펴보면 다음과 같다.As shown in FIG. 4, the flow of RTP media attack packet detection / blocking operation without call setting in the SIP protocol based internet phone hacking attack detection and blocking method is as follows.
먼저, RTP 미디어 데이터 디코딩을 통과한 RTP 패킷을 수신한다. 이어서 정상적으로 호가 설정되어 RTP 스트림을 판단하기 위해 호가 설정된 정보인 송수신 IP, Port, SSRC 값을 조회한다. 이후에 호 설정 상태 테이블의 IP, Port, SSRC와 일치하는 패킷일 경우, 패킷을 다음 프로세스로 전달하고, 그렇지 않은 경우, 패킷을 Drop한다. First, an RTP packet that has passed RTP media data decoding is received. Subsequently, the call is normally set up to query the transmit / receive IP, port, and SSRC values, which are information on which the call is set, to determine the RTP stream. If the packet matches the IP, Port, and SSRC of the call setup state table, the packet is forwarded to the next process. Otherwise, the packet is dropped.
본 발명은 상기 실시예에 한정되지 않고, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 다양하게 수정 및 변경 실시할 수 있음은 이 기술 분야에서 통상의 지식을 가진 자라면 누구나 이해할 수 있을 것이다. It will be appreciated by those skilled in the art that the present invention is not limited to the above embodiments, and that various modifications and changes can be made without departing from the spirit of the present invention.
도 1은 본 발명의 일실시예에 따른 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템을 설명하기 위한 구성을 나타낸 도면1 is a view showing a configuration for explaining a SIP protocol-based Internet phone hacking attack detection and blocking system according to an embodiment of the present invention
도 2는 본 발명의 일실시예에 따른 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템을 구성하는 SIP 시그널링 공격 탐지/차단 블록을 설명하기 위해 나타낸 도면이다.2 is a diagram illustrating a SIP signaling attack detection / blocking block constituting a SIP protocol based internet phone hacking attack detection and blocking system according to an embodiment of the present invention.
도 3은 본 발명의 일실시예에 따른 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템을 구성하는 RTP 미디어 공격 탐지/차단 블록을 설명하기 위해 나타낸 도면.3 is a diagram illustrating an RTP media attack detection / blocking block constituting a SIP protocol based internet phone hacking attack detection and blocking system according to an embodiment of the present invention.
도 4는 본 발명의 일실시예에 따른 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 방법에서 호 설정이 이뤄지지 않은 RTP 미디어 공격 패킷 탐지/차단 동작하는 흐름을 나타낸 도면.FIG. 4 is a flowchart illustrating an RTP media attack packet detection / blocking operation without call setup in a SIP protocol based internet phone hacking attack detection and blocking method according to an embodiment of the present invention.
<도면의 주요부분에 대한 부호설명> <Code Description of Main Parts of Drawing>
100: SIP 시그널링 공격 대응 모듈 200: RTP 미디어 공격 대응 모듈100: SIP signaling attack response module 200: RTP media attack response module
300: SIP 시그널링/미디어 공격 대응 정책 관리 모듈300: SIP signaling / media attack response policy management module
400: IP/Port 필터링 모듈 110: SIP 시그널링 헤더 디코딩 블록400: IP / Port filtering module 110: SIP signaling header decoding block
120: SIP 시그널링 공격 탐지/차단 블록120: SIP signaling attack detection / blocking block
130: 호 설정 정보 전송 에이전트 210: 호 설정 정보 수신 에이전트 130: call setup information transmitting agent 210: call setup information receiving agent
220: RTP 미디어 공격 탐지/차단 블록 230: RTP 미디어 헤더 디코딩 블록 220: RTP media attack detection / blocking block 230: RTP media header decoding block
121: URI기반 SIP 패킷 필터링부 122: SIP 시그널링 DoS 탐지부121: URI-based SIP packet filtering unit 122: SIP signaling DoS detection unit
123: SIP 프로토콜 어노말리 탐지부 124: SIP 주소 위변조 탐지부123: SIP protocol anomaly detection unit 124: SIP address forgery detection unit
125: 시그니처기반 SIP 해킹 공격 탐지부 126: SIP 세션 어노말리 탐지부125: signature-based SIP hacking attack detection unit 126: SIP session anomaly detection unit
221: IP/Port 패킷 필터링부 222: RTP 미디어 헤더 디코딩 모듈221: IP / Port packet filtering unit 222: RTP media header decoding module
223: RTP 미디어 공격 탐지/차단 모듈 224: 비정상 RTP 트래픽 대응 모듈223: RTP media attack detection / blocking module 224: Abnormal RTP traffic response module
Claims (7)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020080132229A KR101011221B1 (en) | 2008-12-23 | 2008-12-23 | Detection and block system for hacking attack of internet telephone using the SIP-based and method thereof |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020080132229A KR101011221B1 (en) | 2008-12-23 | 2008-12-23 | Detection and block system for hacking attack of internet telephone using the SIP-based and method thereof |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20100073527A true KR20100073527A (en) | 2010-07-01 |
KR101011221B1 KR101011221B1 (en) | 2011-01-26 |
Family
ID=42636472
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020080132229A KR101011221B1 (en) | 2008-12-23 | 2008-12-23 | Detection and block system for hacking attack of internet telephone using the SIP-based and method thereof |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101011221B1 (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101285769B1 (en) * | 2011-12-29 | 2013-07-19 | 주식회사 시큐아이 | Method and apparatus for defending against invite spoofing attack in session initiation protocol |
KR101346810B1 (en) * | 2012-03-07 | 2014-01-03 | 주식회사 시큐아이 | Unitive Service Controlling Device and Method |
CN111314359A (en) * | 2020-02-20 | 2020-06-19 | 上海欣方智能系统有限公司 | Anti-fraud method based on SIP signaling collection |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101388627B1 (en) | 2013-11-07 | 2014-04-24 | 한국인터넷진흥원 | Apparatus for blocking abnormal traffic in 4g mobile network |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7716729B2 (en) * | 2005-11-23 | 2010-05-11 | Genband Inc. | Method for responding to denial of service attacks at the session layer or above |
KR100838811B1 (en) * | 2007-02-15 | 2008-06-19 | 한국정보보호진흥원 | Secure session border controller system for voip service security |
KR100852145B1 (en) * | 2007-11-22 | 2008-08-13 | 한국정보보호진흥원 | Security system and securing method of call signaling messages for session initiation protocol based voice over the internet protocol service |
KR100849888B1 (en) * | 2007-11-22 | 2008-08-04 | 한국정보보호진흥원 | Device, system and method for dropping attack multimedia packets |
-
2008
- 2008-12-23 KR KR1020080132229A patent/KR101011221B1/en not_active IP Right Cessation
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101285769B1 (en) * | 2011-12-29 | 2013-07-19 | 주식회사 시큐아이 | Method and apparatus for defending against invite spoofing attack in session initiation protocol |
KR101346810B1 (en) * | 2012-03-07 | 2014-01-03 | 주식회사 시큐아이 | Unitive Service Controlling Device and Method |
CN111314359A (en) * | 2020-02-20 | 2020-06-19 | 上海欣方智能系统有限公司 | Anti-fraud method based on SIP signaling collection |
Also Published As
Publication number | Publication date |
---|---|
KR101011221B1 (en) | 2011-01-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101107742B1 (en) | SIP Intrusion Detection and Response System for Protecting SIP-based Services | |
US9473529B2 (en) | Prevention of denial of service (DoS) attacks on session initiation protocol (SIP)-based systems using method vulnerability filtering | |
US8161540B2 (en) | System and method for unified communications threat management (UCTM) for converged voice, video and multi-media over IP flows | |
US7568224B1 (en) | Authentication of SIP and RTP traffic | |
US7570743B2 (en) | Method and apparatus for surveillance of voice over internet protocol communications | |
US8984627B2 (en) | Network security management | |
US7133511B2 (en) | Telephony security system | |
US8522344B2 (en) | Theft of service architectural integrity validation tools for session initiation protocol (SIP)-based systems | |
US8514845B2 (en) | Usage of physical layer information in combination with signaling and media parameters | |
US8150013B2 (en) | Telephony security system | |
KR20110065091A (en) | System for detecting toll fraud attack for internet telephone and method for the same | |
KR100849888B1 (en) | Device, system and method for dropping attack multimedia packets | |
US20080089494A1 (en) | System and Method for Securing a Telephone System Comprising Circuit Switched and IP Data Networks | |
KR101097419B1 (en) | Detection and monitoring system for abnormal SIP traffic attack using the netflow statistical information and method thereof | |
JP2008538470A (en) | How to counter the transmission of unsolicited voice information | |
Patrick | Voice over IP security | |
KR101011221B1 (en) | Detection and block system for hacking attack of internet telephone using the SIP-based and method thereof | |
EP2597839A1 (en) | Transparen Bridge Device for protecting network services | |
WO2009117908A1 (en) | Method and device for media stream detection | |
US7764697B2 (en) | Method for detecting and handling rogue packets in RTP protocol streams | |
US20120060218A1 (en) | System and method for blocking sip-based abnormal traffic | |
Shan et al. | Research on security mechanisms of SIP-based VoIP system | |
JP2006100873A (en) | Sip packet filtering apparatus, network indirect connection apparatus, and sip server | |
KR101004376B1 (en) | SPF System for Blocking Spam and Method of Querying in VoIP | |
KR101466895B1 (en) | Method of detecting voip fraud, apparatus performing the same and storage media storing the same |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
N231 | Notification of change of applicant | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20140121 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20141204 Year of fee payment: 5 |
|
LAPS | Lapse due to unpaid annual fee |