KR20100073527A - Detection and block system for hacking attack of internet telephone using the sip-based and method thereof - Google Patents

Detection and block system for hacking attack of internet telephone using the sip-based and method thereof Download PDF

Info

Publication number
KR20100073527A
KR20100073527A KR1020080132229A KR20080132229A KR20100073527A KR 20100073527 A KR20100073527 A KR 20100073527A KR 1020080132229 A KR1020080132229 A KR 1020080132229A KR 20080132229 A KR20080132229 A KR 20080132229A KR 20100073527 A KR20100073527 A KR 20100073527A
Authority
KR
South Korea
Prior art keywords
sip
attack
rtp
detection
blocking
Prior art date
Application number
KR1020080132229A
Other languages
Korean (ko)
Other versions
KR101011221B1 (en
Inventor
김환국
김정욱
고경희
이창용
정현철
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020080132229A priority Critical patent/KR101011221B1/en
Publication of KR20100073527A publication Critical patent/KR20100073527A/en
Application granted granted Critical
Publication of KR101011221B1 publication Critical patent/KR101011221B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1101Session protocols
    • H04L65/1104Session initiation protocol [SIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/60Network streaming of media packets
    • H04L65/65Network streaming protocols, e.g. real-time transport protocol [RTP] or real-time control protocol [RTCP]

Abstract

PURPOSE: A system for detecting and cutting off sip protocol based internet phone hacking attack is provided to perform detecting and cutting off sip protocol based internet phone hacking attack using SIP protocol. CONSTITUTION: SIP(Session Initiation Protocol) signaling attack treating module(100) performs the detection and the cut-off of SIP method flooding attack and SIP BYE / Cancel attack. RTP(Real-time Transport Protocol) media attack treating module(200) performs the detection and the cut-off of RTP Insertion attack. SIP signaling/media attach treating policy management module(300) manages the policy for the attack detection / cut-off of an application layer base and the security policy. IP / Port filtering module(400) blocks the attack of L3~L4 layer by each IP / Port / protocol.

Description

에스아이피(SIP) 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템과 그 방법{Detection and block system for hacking attack of internet telephone using the SIP-based and method thereof}Detection and block system for hacking attack of internet telephone using the SIP-based and method

본 발명은 SIP 시그널링 공격 대응 모듈과, RTP 미디어 공격 대응 모듈과, SIP 시그널링/미디어 공격 대응 정책 관리 모듈 및 IP/Port 필터링 모듈의 구성을 통해 인터넷전화의 대표적인 신호 제어 프로토콜인 SIP 프로토콜을 이용하여 해킹 공격을 탐지하고 차단할 수 있으며, 응용계층(SIP:호 설정 제어 메시지 전송 프로토콜, RTP: 실시간 미디어 데이터 전송 프로토콜)간 프로토콜의 연관성 분석 탐지 기능과, 응용계층 프로토콜의 Deep Packet 헤더 분석 기능과, 호 설정 상태 분석 기능을 갖고 있음으로써, 응용계층(SIP, RTP)에 특화된 공격을 탐지하고 차단할 수 있는 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템과 그 방법에 관한 기술이다.The present invention hacks using the SIP protocol which is a representative signal control protocol of Internet telephony through the configuration of the SIP signaling attack response module, the RTP media attack response module, the SIP signaling / media attack response policy management module, and the IP / Port filtering module. Detect and block attacks, detect protocol association between application layers (SIP: call setup control message transfer protocol, RTP: real-time media data transfer protocol), detect deep packet headers of application layer protocols, and call setup It is a technology related to SIP protocol based internet phone hacking attack detection and blocking system and method that can detect and block attacks specific to application layer (SIP, RTP) by having status analysis function.

인터넷 전화 등 SIP(Session Initation Protocol) 기반의 응용서비스는 호 설정을 위한 시그널링 경로와 음성 데이터 전송되는 미디어 경로가 다르게 전송되고, 사용자간 미디어 채널을 오픈하기 위해 IP/Port 등의 호 설정 주소 정보가 SIP 시그널링 메시지에 내포되어 전송되며, SIP 프로토콜 구조가 INVITE/BYE/CANCEL 등의 다양한 SIP 설정 메소드를 사용하는 SIP 기반의 응용서비스에 특화된 특성을 가지고 있으나, 기존의 보안 장비들은 이러한 특성들을 반영하여 응용계층(SIP, RTP)을 이용한 다양한 해킹 공격에 대응하는데 한계가 있다.In SIP (Session Initation Protocol) based application services such as Internet telephony, signaling paths for call setup and media paths for transmitting voice data are transmitted differently, and call setup address information such as IP / Port is needed to open media channels between users. It is embedded in the SIP signaling message and transmitted, and the SIP protocol structure has characteristics specific to SIP-based application services using various SIP configuration methods such as INVITE / BYE / CANCEL, but existing security devices reflect these characteristics. There is a limit in responding to various hacking attacks using layers (SIP, RTP).

종래의 방화벽은 SIP 시그널링 포트를 반드시 오픈해야 하는 한계가 있고, IPS, IDS 기술의 경우도 응용계층(SIP, RTP) 프로토콜 헤더 필드를 정교하게 분석하지 않으며, SIP 시그널링 패킷과, RTP 미디어 패킷과, 크로스 프로토콜 연관 분석 탐지 및 호 설정 상태 기반의 Statefull Inspection 탐지 기능을 제공하지 않아 응용계층(SIP, RTP)에 특화된 공격을 탐지하고 대응하는데 한계가 있다.The conventional firewall has a limitation in that the SIP signaling port must be opened, and even in the case of IPS and IDS technologies, the SIP layer does not analyze the application layer (SIP, RTP) protocol header fields in detail, SIP signaling packets, RTP media packets, There is a limitation in detecting and responding to attacks specific to application layer (SIP, RTP) because it does not provide cross-protocol association analysis detection and call establishment state-based statefull inspection detection.

그러므로 인터넷전화의 대표적인 신호 제어 프로토콜인 SIP 프로토콜을 이용하여 해킹 공격을 탐지하고 차단할 수 있으며, 응용계층(SIP, RTP)간 프로토콜의 연관성 분석 탐지 기능과, 응용계층 프로토콜의 Deep Packet 헤더 분석 기능과, 호 설정 상태 분석 기능을 갖고 있음으로써, 응용계층(SIP, RTP)에 특화된 공격을 탐지하고 차단할 수 있는 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템과 방법의 개발이 절실히 요구되고 있는 실정이다.Therefore, it is possible to detect and block hacking attacks by using SIP protocol, which is a representative signal control protocol of Internet telephony. By having a call setup status analysis function, there is an urgent need to develop a SIP protocol-based internet phone hacking attack detection and blocking system and method that can detect and block attacks specific to the application layer (SIP, RTP).

이에 본 발명은 상기 문제점들을 해결하기 위하여 착상된 것으로서, SIP 시그널링 공격 대응 모듈과, RTP 미디어 공격 대응 모듈과, SIP 시그널링/미디어 공격 대응 정책 관리 모듈 및 IP/Port 필터링 모듈의 구성을 통해 인터넷전화의 대표적인 신호 제어 프로토콜인 SIP 프로토콜을 이용하여 해킹 공격을 탐지하고 차단할 수 있는 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템과 그 방법을 제공하는데 그 목적이 있다.Accordingly, the present invention has been conceived to solve the above problems, the Internet signaling through the configuration of the SIP signaling attack response module, RTP media attack response module, SIP signaling / media attack response policy management module and IP / Port filtering module The purpose of the present invention is to provide a SIP protocol-based internet phone hacking attack detection and blocking system and a method for detecting and blocking hacking attacks using the SIP protocol, a representative signal control protocol.

본 발명의 다른 목적은 응용계층(SIP, RTP)간 프로토콜의 연관성 분석 탐지 기능과, 응용계층 프로토콜의 Deep Packet 헤더 분석 기능과, 호 설정 상태 분석 기능을 갖고 있음으로써, 응용계층(SIP, RTP)에 특화된 공격을 탐지하고 차단할 수 있는 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템과 그 방법을 제공하는데 있다.Another object of the present invention is to detect the correlation analysis of the protocol between the application layer (SIP, RTP), Deep Packet header analysis function of the application layer protocol, and call setup state analysis function, so that the application layer (SIP, RTP) The present invention provides a SIP protocol based internet phone hacking attack detection and blocking system and method for detecting and blocking specialized attacks.

상기 목적을 달성하기 위한 본 발명의 바람직한 일실시예에 따른 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템은 SIP 메소드 플루딩(Flooding) 공격과, SIP BYE/Cancel 공격인 SIP 호 제어 메시지를 이용한 공격을 탐지하고 차단하는 SIP 시그널링 공격 대응 모듈과; RTP Insertion 공격인 RTP 미디어 데이터 기반의 공격을 탐지하고 차단하는 RTP 미디어 공격 대응 모듈과; 상기 SIP 시그널링 공격 대응 모듈 및 RTP 미디어 공격 대응 모듈과 연결되며, 응용계 층(SIP, RTP) 기반의 공격을 탐지하고 차단하는 정책과 보안 정책을 관리하는 SIP 시그널링/미디어 공격 대응 정책 관리 모듈과; 상기 SIP 시그널링 공격 대응 모듈 및 RTP 미디어 공격 대응 모듈과 연결되며, IP/Port/프로토콜 별로 L3~L4 계층의 공격을 차단하는 IP/Port 필터링 모듈; 을 포함함을 특징으로 한다. SIP protocol-based Internet phone hacking attack detection and blocking system according to an embodiment of the present invention for achieving the above object is a SIP method flooding (Flooding) attack, the attack using the SIP BYE / Cancel attack SIP call control message SIP signaling attack response module for detecting and blocking; An RTP media attack response module for detecting and blocking an RTP media data-based attack, which is an RTP Insertion attack; A SIP signaling / media attack response policy management module connected to the SIP signaling attack response module and the RTP media attack response module and managing a policy and a security policy for detecting and blocking an application layer (SIP, RTP) based attack; An IP / Port filtering module connected to the SIP signaling attack response module and the RTP media attack response module and blocking an attack of the L3 to L4 layer by IP / Port / protocol; Characterized in that it comprises a.

상기 본 발명에 있어서, 상기 SIP 시그널링 공격 대응 모듈은 SIP 표준 규격에 맞게 SIP 시그널링 헤더를 디코딩하는 SIP 시그널링 헤더 디코딩 블록과; URI기반 SIP 패킷 필터링과, SIP 시그널링 DoS 탐지와, SIP 프로토콜 어노말리 탐지와, SIP 주소 위변조 탐지와, 시그니처 기반 SIP 해킹 공격 탐지 및 SIP 세션 어노말리 탐지 기능을 갖는 SIP 시그널링 공격 탐지/차단 블록과; 호가 SIP 호 설정 정보를 전송하기 위한 호 설정 정보 전송 에이전트; 로 구성되는 것을 특징으로 한다. In the present invention, the SIP signaling attack counter module includes: a SIP signaling header decoding block for decoding a SIP signaling header according to a SIP standard; A SIP signaling attack detection / blocking block having URI based SIP packet filtering, SIP signaling DoS detection, SIP protocol anomaly detection, SIP address forgery detection, signature based SIP hacking attack detection and SIP session anomaly detection; A call establishment information transmitting agent for sending a call to SIP call establishment information; . ≪ / RTI >

상기 본 발명에 있어서, 상기 RTP 미디어 공격 대응 모듈은 호가 SIP 호 설정 정보를 수신하기 위한 호 설정 정보 수신 에이전트와; SIP 시그널링 공격 대응 모듈로부터 호 설정 상태 정보(통화가 연결된 IP 주소, 동적 Port 정보)를 수신 받아 RTP 미디어 공격을 탐지하고 차단하는 RTP 미디어 공격 탐지/차단 블록과; RTP 표준 규격에 맞게 RTP 미디어 헤더를 디코딩하는 RTP 미디어 헤더 디코딩 블록; 으로 구성되는 것을 특징으로 한다.In the present invention, the RTP media attack response module includes: a call establishment information receiving agent for receiving a call call SIP call establishment information; An RTP media attack detection / blocking block for detecting and blocking an RTP media attack by receiving call establishment state information (IP address to which a call is connected and dynamic port information) from a SIP signaling attack response module; An RTP media header decoding block for decoding the RTP media header according to the RTP standard specification; Characterized in that consists of.

상기 본 발명에 있어서, 상기 SIP 시그널링 공격 대응 모듈과, RTP 미디어 공격 대응 모듈 간 호 설정 정보 전송/수신 에이전트 채널을 통해 통화가 연결된 설정 정보(Signaled IP 주소, 동적 Port 주소)를 교환하여 응용계층(SIP, RTP) 간 프로토콜의 연관성 분석이 가능한 것을 특징으로 한다.In the present invention, the SIP signaling attack response module and the RTP media attack response module exchanges configuration information (Signaled IP address, dynamic port address) connected to the call through the transmission / reception agent channel information of the application layer ( SIP, RTP) is characterized in that the analysis of the association between protocols.

상기 본 발명에 있어서, 상기 SIP 시그널링 공격 탐지/차단 블록은 SIP 헤더 필드 분석 후 To, From, Via 필드에 블랙리스트로 설정된 URI 주소 정보를 포함하는 SIP 패킷을 필터링하는 URI기반 SIP 패킷 필터링부와; INVITE 플로딩과 같은 SIP 메소드를 이용한 DoS 공격을 탐지하고 차단하는 SIP 시그널링 DoS 탐지부와; RFC 3261 표준 규격을 위반하는 SIP Malformed 메시지 공격을 탐지하고 차단하는 SIP 프로토콜 어노말리 탐지부와; IP 주소 스푸핑의 스푸핑 공격을 탐지하는 SIP 주소 위변조 탐지부와; 알려진 SIP 메시지 기반 공격을 시그니처 형태로 패턴매칭 방식을 통해 SIP XSS, SQL Injection 공격, 단말 OS 버그 취약성 공격을 탐지하는 시그니처기반 SIP 해킹 공격 탐지부와; SIP 콜 트랜젝션 상태의 적합성을 확인하고 처리하는 SIP 세션 어노말리 탐지부; 로 구성되는 것을 특징으로 한다.The SIP signaling attack detection / blocking block may include: a URI-based SIP packet filtering unit configured to filter SIP packets including URI address information set as a blacklist in the To, From, and Via fields after analyzing the SIP header field; A SIP signaling DoS detector for detecting and blocking a DoS attack using a SIP method such as INVITE floating; A SIP protocol anomaly detection unit for detecting and blocking SIP Malformed message attacks that violate the RFC 3261 standard specification; A SIP address forgery detection unit for detecting a spoofing attack of IP address spoofing; A signature-based SIP hacking attack detection unit for detecting SIP XSS, SQL Injection attacks, and terminal OS bug vulnerability attacks by using a pattern matching method in a signature form of a known SIP message-based attack; A SIP session anomaly detector for checking and processing suitability of a SIP call transaction state; . ≪ / RTI >

상기 본 발명에 있어서, 상기 RTP 미디어 공격 탐지/차단 블록은 SIP 시그널링 공격 탐지/차단 모듈로부터 호 설정 상태 정보를 수신 받아 IP 헤더 필드 분석 후 송신 IP/Port, 수신 IP/Port 필드에 블랙리스트로 설정된 IP/Port 정보를 포함하는 RTP 패킷을 필터링하는 IP/Port 패킷 필터링부와; IP/Port 패킷 필터링부에서 RTP 패킷을 수신 받아 헤더 필드별로 RTP 표준 규격에 맞게 디코딩하여 RTP 미디어 공격 탐지/차단 모듈로 전송하는 RTP 미디어 헤더 디코딩 모듈과; 정상적으로 호가 설정된 RTP 스트림을 판단하기 위한 것으로, SIP 시그널링 공격 대응 모듈로부터 호 설정 상태 정보를 수신 받아 IP, Port, SSRC 값이 동일한지 체크하고 동일하지 않을 경우 RTP Insertion 공격으로 판단하고 탐지하는 RTP 미디어 공격 탐지/차단 모듈과; RTP 트래픽을 프로파일링하고 rate-limit을 통해 비정상 RTP 트래픽을 탐지하고 네트워크 대역을 관리하여 정상 RTP 트래픽을 우선 처리할 수 있게 하는 비정상 RTP 트래픽 대응 모듈; 로 구성되는 것을 특징으로 한다.In the present invention, the RTP media attack detection / blocking block receives call setup state information from the SIP signaling attack detection / blocking module, and analyzes an IP header field and sets a blacklist in a transmission IP / Port and a receiving IP / Port field. An IP / Port packet filtering unit for filtering an RTP packet including IP / Port information; An RTP media header decoding module for receiving the RTP packet from the IP / Port packet filtering unit and decoding the header field according to the RTP standard specification and transmitting the RTP packet to the RTP media attack detection / blocking module; RTP media attack to determine the RTP stream that is normally set up, and receives the call setup status information from the SIP signaling attack response module and checks whether the IP, Port, and SSRC values are the same. Detection / blocking module; An abnormal RTP traffic response module for profiling RTP traffic, detecting abnormal RTP traffic through rate-limit, and managing network bands to prioritize normal RTP traffic; . ≪ / RTI >

또한 상기 목적을 달성하기 위한 본 발명의 바람직한 일실시예에 따른 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 방법에 있어서, 호 설정이 이뤄지지 않은 RTP 미디어 공격 패킷 탐지/차단 동작 과정은 RTP 미디어 데이터 디코딩을 통과한 RTP 패킷을 수신하는 단계와; 정상적으로 호가 설정되어 RTP 스트림을 판단하기 위해 호가 설정된 정보인 송수신 IP, Port, SSRC 값을 조회하는 단계와; 호 설정 상태 테이블의 IP, Port, SSRC와 일치하는 패킷일 경우, 패킷을 다음 프로세스로 전달하고, 그렇지 않은 경우, 패킷을 Drop하는 단계; 를 포함함을 특징으로 한다. In addition, in the SIP protocol-based Internet phone hacking attack detection and blocking method according to an embodiment of the present invention for achieving the above object, the RTP media attack packet detection / blocking operation process that does not set up the call to the RTP media data decoding Receiving the passed RTP packet; Querying transmit / receive IP, Port, and SSRC values, which are information on which a call is set, to determine a RTP stream by establishing a call normally; If the packet matches the IP, Port, and SSRC of the call setup state table, forwarding the packet to the next process; otherwise, dropping the packet; .

본 발명에 따른 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템과 그 방법은 다음과 같은 효과를 가진다.SIP protocol based internet phone hacking attack detection and blocking system and method according to the present invention has the following effects.

첫째, 본 발명은 SIP 시그널링 공격 대응 모듈과, RTP 미디어 공격 대응 모듈과, SIP 시그널링/미디어 공격 대응 정책 관리 모듈 및 IP/Port 필터링 모듈의 구성을 통해 인터넷전화의 대표적인 신호 제어 프로토콜인 SIP 프로토콜을 이용하여 해킹 공격을 탐지하고 차단할 수 있다.First, the present invention uses the SIP protocol, which is a representative signal control protocol of Internet telephony, through the configuration of the SIP signaling attack response module, the RTP media attack response module, the SIP signaling / media attack response policy management module, and the IP / Port filtering module. To detect and block hacking attacks.

둘째, 본 발명은 응용계층(SIP, RTP)간 프로토콜의 연관성 분석 탐지 기능 과, 응용계층 프로토콜의 Deep Packet 헤더 분석 기능과, 호 설정 상태 분석 기능을 갖고 있음으로써, 응용계층(SIP, RTP)에 특화된 공격을 탐지하고 차단할 수 있다. Second, the present invention has an association analysis detection function of the protocol between the application layer (SIP, RTP), Deep Packet header analysis function of the application layer protocol, and call setup state analysis function, so that the application layer (SIP, RTP) Detect and block specialized attacks.

이하 첨부된 도면과 함께 본 발명의 바람직한 실시 예를 살펴보면 다음과 같은데, 본 발명을 설명함에 있어서 관련된 공지기술 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략할 것이며, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있으므로, 그 정의는 본 발명인 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템과 그 방법을 설명하는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다. Looking at the preferred embodiment of the present invention together with the accompanying drawings as follows, when it is determined that the detailed description of the known art or configuration related to the present invention may unnecessarily obscure the subject matter of the present invention The description will be omitted, and the following terms are terms defined in consideration of functions in the present invention, which may vary according to the intention or custom of the user or the operator, and the definitions thereof are the SIP protocol-based Internet telephone hacking attack detection and the present invention. It should be made based on the contents throughout this specification that describe the blocking system and its method.

이하, 본 발명의 바람직한 일실시예에 따른 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템을 첨부된 도면을 참조하여 상세히 설명한다.Hereinafter, a SIP protocol based internet phone hacking attack detection and blocking system according to an embodiment of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 일실시예에 따른 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템을 설명하기 위한 구성을 나타낸 도면이고, 도 2는 본 발명의 일실시예에 따른 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템을 구성하는 SIP 시그널링 공격 탐지/차단 블록을 설명하기 위해 나타낸 도면이며, 도 3은 본 발명의 일실시예에 따른 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템을 구성하는 RTP 미디어 공격 탐지/차단 블록을 설명하기 위해 나타낸 도면이다.1 is a view showing a configuration for explaining a SIP protocol based Internet phone hacking attack detection and blocking system according to an embodiment of the present invention, Figure 2 is a SIP protocol based Internet phone hacking attack according to an embodiment of the present invention FIG. 3 is a diagram illustrating a SIP signaling attack detection / blocking block constituting a detection and blocking system, and FIG. 3 is an RTP media attack constituting an SIP protocol based internet phone hacking attack detection and blocking system according to an embodiment of the present invention. The figure shows to explain a detection / blocking block.

도 1에 도시한 바와 같이, SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템은 SIP 메소드 플루딩 공격과, SIP BYE/Cancel 공격인 SIP 호 제어 메시지를 이용한 공격을 탐지하고 차단하는 SIP 시그널링 공격 대응 모듈(100)과; RTP Insertion 공격인 RTP 미디어 데이터 기반의 공격을 탐지하고 차단하는 RTP 미디어 공격 대응 모듈(200)과; 상기 SIP 시그널링 공격 대응 모듈 및 RTP 미디어 공격 대응 모듈과 연결되며, 응용계층(SIP, RTP) 기반의 공격을 탐지하고 차단하는 정책과 보안 정책을 관리하는 SIP 시그널링/미디어 공격 대응 정책 관리 모듈(300)과; 상기 SIP 시그널링 공격 대응 모듈 및 RTP 미디어 공격 대응 모듈과 연결되며, IP/Port/프로토콜 별로 L3~L4 계층의 공격을 차단하는 IP/Port 필터링 모듈(400); 로 구성된다.As shown in FIG. 1, the SIP protocol-based internet phone hacking attack detection and blocking system detects and blocks SIP method flooding attacks and attacks using SIP call control messages, which are SIP BYE / Cancel attacks. 100; An RTP media attack response module 200 for detecting and blocking an RTP media data-based attack that is an RTP Insertion attack; The SIP signaling / media attack response policy management module 300 is connected to the SIP signaling attack response module and the RTP media attack response module and manages a policy and a security policy for detecting and blocking an application layer (SIP, RTP) based attack. and; An IP / Port filtering module 400 connected to the SIP signaling attack response module and the RTP media attack response module and blocking an attack of the L3 to L4 layer for each IP / Port / protocol; It consists of.

상기 SIP(session initiation protocol)란 전화, 인터넷 컨퍼런스, 메신저 등에 사용되는 응용 계층의 시그널링 프로토콜로서, 인터넷 기반 회의, 전화, 음성 메일, 이벤트 통지, 인스턴트 메시징 등 멀티미디어 서비스 세션의 생성, 수정, 종료를 제어하는 역할을 한다. SIP 프로토콜은 음성 미디어 전달을 위한 RTP 프로토콜과 같이 사용된다. The session initiation protocol (SIP) is a signaling protocol of an application layer used for a telephone, an internet conference, a messenger, and the like, and controls the creation, modification, and termination of a multimedia service session such as Internet-based conferencing, telephone, voice mail, event notification, and instant messaging. It plays a role. The SIP protocol is used together with the RTP protocol for voice media delivery.

상기 본 발명인 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템을 구성하는 기술적 수단들의 구성과 기능을 살펴보면 다음과 같다.Looking at the configuration and function of the technical means constituting the SIP protocol-based Internet phone hacking attack detection and blocking system of the present invention as follows.

상기 SIP 시그널링 공격 대응 모듈(100)은 SIP 프로토콜 기반의 인터넷전화 해킹 공격의 탐지 및 대응 시스템은 SIP 메소드 플루딩 공격과, SIP BYE/Cancel 공격인 SIP 호 제어 메시지를 이용한 공격을 탐지하고 차단한다.The SIP signaling attack response module 100 detects and blocks an SIP protocol based internet phone hacking attack and response system using a SIP method flooding attack and an SIP call control message which is a SIP BYE / Cancel attack.

여기서 상기 SIP 시그널링 공격 대응 모듈(100)은 SIP 표준 규격에 맞게 SIP 시그널링 헤더를 디코딩하는 SIP 시그널링 헤더 디코딩 블록(110)과; URI기반 SIP 패킷 필터링과, SIP 시그널링 DoS 탐지와, SIP 프로토콜 어노말리 탐지와, SIP 주소 위변조 탐지와, 시그니처 기반 SIP 해킹 공격 탐지 및 SIP 세션 어노말리 탐지 기능을 갖는 SIP 시그널링 공격 탐지/차단 블록(120)과; 호가 SIP 호 설정 정보를 전송하기 위한 호 설정 정보 전송 에이전트(130); 로 구성된다.Here, the SIP signaling attack response module 100 includes: a SIP signaling header decoding block 110 for decoding a SIP signaling header according to a SIP standard; SIP signaling attack detection / blocking block with URI based SIP packet filtering, SIP signaling DoS detection, SIP protocol anomaly detection, SIP address forgery detection, signature based SIP hacking attack detection and SIP session anomaly detection (120) )and; A call establishment information transmitting agent 130 for transmitting a call to SIP call establishment information; It consists of.

또한 도 2에 도시한 바와 같이, 상기 SIP 시그널링 공격 탐지/차단 블록(120)은 SIP 헤더 필드 분석 후 To, From, Via 필드에 블랙리스트로 설정된 URI 주소 정보를 포함하는 SIP 패킷을 필터링하는 URI기반 SIP 패킷 필터링부(121)와; INVITE 플로딩과 같은 SIP 메소드를 이용한 DoS 공격을 탐지하고 차단하는 SIP 시그널링 DoS 탐지부(122)와; RFC 3261 표준 규격을 위반하는 SIP Malformed 메시지 공격을 탐지하고 차단하는 SIP 프로토콜 어노말리 탐지부(123)와; IP 주소 스푸핑의 스푸핑 공격을 탐지하는 SIP 주소 위변조 탐지부(124)와; 알려진 SIP 메시지 기반 공격을 시그니처 형태로 패턴매칭 방식을 통해 SIP XSS, SQL Injection 공격, 단말 OS 버그 취약성 공격을 탐지하는 시그니처기반 SIP 해킹 공격 탐지부(125)와; SIP 콜 트랜젝션 상태의 적합성을 확인하고 처리하는 SIP 세션 어노말리 탐지부(126); 로 구성된다.Also, as shown in FIG. 2, the SIP signaling attack detection / blocking block 120 is a URI-based filter for filtering SIP packets including URI address information blacklisted in To, From, and Via fields after analyzing SIP header fields. SIP packet filtering unit 121; A SIP signaling DoS detector 122 for detecting and blocking a DoS attack using a SIP method such as INVITE floating; A SIP protocol anomaly detector 123 for detecting and blocking SIP Malformed message attacks that violate the RFC 3261 standard specification; A SIP address forgery detection unit 124 for detecting a spoofing attack of IP address spoofing; A signature-based SIP hacking attack detection unit 125 for detecting a SIP XSS, SQL Injection attack, and terminal OS bug vulnerability attack through a pattern matching method using a known SIP message-based attack in a signature form; A SIP session anomaly detector 126 for confirming and processing suitability of a SIP call transaction state; It consists of.

여기서 상기 SIP 주소 위변조 탐지부(124)는 더 구체적으로 보면, SIP 메시 지에서 핑거프린팅 정보를 추출해서, 초기 SIP INVITE 메시지의 Fingerprint 값과 비교하여 메시지의 위조, 변조를 탐지하는 것이다. 현재 세션의 정보를 이용하여, Call-ID, MAC address, Seq #, From, To, 헤더 순서, Max-Forwards, Via 필드 등의 값이 동일한지 체크하고 동일하지 않을 경우 주소 위조, 변조된 패킷으로 판단하고 탐지한다. 또한 상기 SIP 세션 어노말리 탐지부(126)에서 트랜젝션 상태는 표준(RFC 3261)의 INVITE/Non-INVITE sever/client transaction 따라 SIP BYE, CANCEL 등 SIP 콜 트랜젝션 상태에 위배되는 통화 방해/중단 공격을 탐지하는 것이다. In more detail, the SIP address forgery detection unit 124 extracts the fingerprinting information from the SIP message, and detects the forgery and the modulation of the message by comparing the fingerprint value of the initial SIP INVITE message. Call-ID, MAC address, Seq #, From, To, header order, Max-Forwards, Via field are checked using the information of the current session. Determine and detect In addition, the transaction state in the SIP session anomaly detection unit 126 detects a call interruption / interruption attack that violates SIP call transaction states such as SIP BYE and CANCEL according to INVITE / Non-INVITE sever / client transaction of the standard (RFC 3261). It is.

상기 RTP 미디어 공격 대응 모듈(200)은 RTP Insertion 공격인 RTP 미디어 데이터 기반의 공격을 탐지하고 차단한다.The RTP media attack response module 200 detects and blocks an RTP media data-based attack, which is an RTP Insertion attack.

여기서 상기 RTP 미디어 공격 대응 모듈(200)은 호가 SIP 호 설정 정보를 수신하기 위한 호 설정 정보 수신 에이전트(210)와; SIP 시그널링 공격 대응 모듈로부터 호 설정 상태 정보(통화가 연결된 IP 주소, 동적 Port 정보)를 수신 받아 RTP 미디어 공격을 탐지하고 차단하는 RTP 미디어 공격 탐지/차단 블록(220)과; RTP 표준 규격에 맞게 RTP 미디어 헤더를 디코딩하는 RTP 미디어 헤더 디코딩 블록(230); 으로 구성된다. In this case, the RTP media attack response module 200 includes: a call establishment information receiving agent 210 for receiving a call by SIP call establishment information; An RTP media attack detection / blocking block 220 for detecting and blocking an RTP media attack by receiving call establishment state information (IP address to which a call is connected and dynamic port information) from the SIP signaling attack corresponding module; An RTP media header decoding block 230 for decoding the RTP media header in accordance with the RTP standard specification; .

상기 SIP 시그널링 공격 대응 모듈(100)과, RTP 미디어 공격 대응 모듈(200) 간 호 설정 정보 전송/수신 에이전트 채널을 통해 통화가 연결된 설정 정보(Signaled IP 주소, 동적 Port 주소)를 교환하여 응용계층(SIP, RTP) 간 프로토콜의 연관성 분석이 가능한 것이다. The application layer (SIP) is exchanged between the SIP signaling attack response module 100 and the RTP media attack response module 200 by exchanging configuration information (signaled IP address, dynamic port address) to which a call is connected through a transmission / reception agent channel. It is possible to analyze the association of protocols between SIP and RTP.

상기 SIP 시그널링/미디어 공격 대응 정책 관리 모듈(300)은 상기 SIP 시그널링 공격 대응 모듈 및 RTP 미디어 공격 대응 모듈과 연결되며, 응용계층(SIP, RTP) 기반의 공격을 탐지하고 차단하는 정책과 보안 정책을 관리한다.The SIP signaling / media attack response policy management module 300 is connected to the SIP signaling attack response module and the RTP media attack response module, and detects and blocks an application layer (SIP, RTP) based attack and a security policy. Manage.

상기 IP/Port 필터링 모듈(400)은 상기 SIP 시그널링 공격 대응 모듈 및 RTP 미디어 공격 대응 모듈과 연결되며, IP/Port/프로토콜 별로 L3~L4 계층의 공격을 차단한다. The IP / Port filtering module 400 is connected to the SIP signaling attack response module and the RTP media attack response module, and blocks the attacks of the L3 to L4 layers by IP / Port / protocol.

또한, OSI 7 레이어 관점에서 SIP 시그널링 공격 대응 모듈(100) 및 RTP 미디어 공격 대응 모듈(200)은 L7 응용계층에서 처리하며, IP/Port 필터링 모듈(400)은 L3~L4 계층 기반 공격 필터링을 처리한다.In addition, the SIP signaling attack response module 100 and the RTP media attack response module 200 process the L7 application layer from the perspective of OSI 7 layer, and the IP / Port filtering module 400 processes L3 to L4 layer based attack filtering. do.

또한 도 3에 도시한 바와 같이, RTP 미디어 공격 탐지/차단 블록(220)은 SIP 시그널링 공격 탐지/차단 모듈로부터 호 설정 상태 정보를 수신 받아 IP 헤더 필드 분석 후 송신 IP/Port, 수신 IP/Port 필드에 블랙리스트로 설정된 IP/Port 정보를 포함하는 RTP 패킷을 필터링하는 IP/Port 패킷 필터링부(221)와; IP/Port 패킷 필터링부에서 RTP 패킷을 수신 받아 헤더 필드별로 RTP 표준 규격에 맞게 디코딩하여 RTP 미디어 공격 탐지/차단 모듈로 전송하는 RTP 미디어 헤더 디코딩 모듈(222)과; 정상적으로 호가 설정된 RTP 스트림을 판단하기 위한 것으로, SIP 시그널링 공격 대응 모듈로부터 호 설정 상태 정보를 수신 받아 IP, Port, SSRC 값이 동일한지 체크하고 동일하지 않을 경우 RTP Insertion 공격으로 판단하고 탐지하는 RTP 미디어 공격 탐지/차단 모듈(223)과; RTP 트래픽을 프로파일링하고 rate-limit을 통해 비정상 RTP 트래픽을 탐지하고 네트워크 대역을 관리하여 정상 RTP 트래픽을 우선 처 리할 수 있게 하는 비정상 RTP 트래픽 대응 모듈(224); 로 구성된다.In addition, as shown in FIG. 3, the RTP media attack detection / blocking block 220 receives call setup state information from the SIP signaling attack detection / blocking module, analyzes an IP header field, and then transmits an IP / Port and a received IP / Port field. An IP / Port packet filtering unit 221 for filtering the RTP packet including the IP / Port information set to the blacklist in the list; An RTP media header decoding module 222 which receives the RTP packet from the IP / Port packet filtering unit and decodes the header field according to the RTP standard specification and transmits the RTP packet to the RTP media attack detection / blocking module; RTP media attack to determine the RTP stream that is normally set up, and receives the call setup status information from the SIP signaling attack response module and checks whether the IP, Port, and SSRC values are the same. Detection / blocking module 223; An abnormal RTP traffic response module 224 for profiling RTP traffic, detecting abnormal RTP traffic through rate-limit, and managing network bands to prioritize normal RTP traffic; It consists of.

그러므로 SIP 시그널링 공격 대응 모듈로부터 호 설정 상태 정보(통화가 연결된 IP 주소, 동적 Port 정보 등)을 수신 받아 RTP 미디어 공격을 탐지하고 차단하는데, 즉, SIP 호설정 정보와 프로토콜 연관성 분석을 통해 RTP 미디어 공격을 탐지하고 차단하는 것이다. Therefore, RTP media attack is detected and blocked by receiving call establishment status information (IP address connected to call, dynamic port information, etc.) from SIP signaling attack response module, that is, RTP media attack through analysis of SIP call establishment information and protocol association. To detect and block them.

도 4는 본 발명의 일실시예에 따른 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 방법에서 호 설정이 이뤄지지 않은 RTP 미디어 공격 패킷 탐지/차단 동작하는 흐름을 나타낸 도면이다. FIG. 4 is a diagram illustrating a flow of RTP media attack packet detection / blocking operation without call setting in the SIP protocol based internet phone hacking attack detection and blocking method according to an embodiment of the present invention.

도 4에 도시한 바와 같이, SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 방법에서 호 설정이 이뤄지지 않은 RTP 미디어 공격 패킷 탐지/차단 동작하는 흐름을 살펴보면 다음과 같다.As shown in FIG. 4, the flow of RTP media attack packet detection / blocking operation without call setting in the SIP protocol based internet phone hacking attack detection and blocking method is as follows.

먼저, RTP 미디어 데이터 디코딩을 통과한 RTP 패킷을 수신한다. 이어서 정상적으로 호가 설정되어 RTP 스트림을 판단하기 위해 호가 설정된 정보인 송수신 IP, Port, SSRC 값을 조회한다. 이후에 호 설정 상태 테이블의 IP, Port, SSRC와 일치하는 패킷일 경우, 패킷을 다음 프로세스로 전달하고, 그렇지 않은 경우, 패킷을 Drop한다. First, an RTP packet that has passed RTP media data decoding is received. Subsequently, the call is normally set up to query the transmit / receive IP, port, and SSRC values, which are information on which the call is set, to determine the RTP stream. If the packet matches the IP, Port, and SSRC of the call setup state table, the packet is forwarded to the next process. Otherwise, the packet is dropped.

본 발명은 상기 실시예에 한정되지 않고, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 다양하게 수정 및 변경 실시할 수 있음은 이 기술 분야에서 통상의 지식을 가진 자라면 누구나 이해할 수 있을 것이다. It will be appreciated by those skilled in the art that the present invention is not limited to the above embodiments, and that various modifications and changes can be made without departing from the spirit of the present invention.

도 1은 본 발명의 일실시예에 따른 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템을 설명하기 위한 구성을 나타낸 도면1 is a view showing a configuration for explaining a SIP protocol-based Internet phone hacking attack detection and blocking system according to an embodiment of the present invention

도 2는 본 발명의 일실시예에 따른 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템을 구성하는 SIP 시그널링 공격 탐지/차단 블록을 설명하기 위해 나타낸 도면이다.2 is a diagram illustrating a SIP signaling attack detection / blocking block constituting a SIP protocol based internet phone hacking attack detection and blocking system according to an embodiment of the present invention.

도 3은 본 발명의 일실시예에 따른 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템을 구성하는 RTP 미디어 공격 탐지/차단 블록을 설명하기 위해 나타낸 도면.3 is a diagram illustrating an RTP media attack detection / blocking block constituting a SIP protocol based internet phone hacking attack detection and blocking system according to an embodiment of the present invention.

도 4는 본 발명의 일실시예에 따른 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 방법에서 호 설정이 이뤄지지 않은 RTP 미디어 공격 패킷 탐지/차단 동작하는 흐름을 나타낸 도면.FIG. 4 is a flowchart illustrating an RTP media attack packet detection / blocking operation without call setup in a SIP protocol based internet phone hacking attack detection and blocking method according to an embodiment of the present invention.

<도면의 주요부분에 대한 부호설명> <Code Description of Main Parts of Drawing>

100: SIP 시그널링 공격 대응 모듈 200: RTP 미디어 공격 대응 모듈100: SIP signaling attack response module 200: RTP media attack response module

300: SIP 시그널링/미디어 공격 대응 정책 관리 모듈300: SIP signaling / media attack response policy management module

400: IP/Port 필터링 모듈 110: SIP 시그널링 헤더 디코딩 블록400: IP / Port filtering module 110: SIP signaling header decoding block

120: SIP 시그널링 공격 탐지/차단 블록120: SIP signaling attack detection / blocking block

130: 호 설정 정보 전송 에이전트 210: 호 설정 정보 수신 에이전트 130: call setup information transmitting agent 210: call setup information receiving agent

220: RTP 미디어 공격 탐지/차단 블록 230: RTP 미디어 헤더 디코딩 블록 220: RTP media attack detection / blocking block 230: RTP media header decoding block

121: URI기반 SIP 패킷 필터링부 122: SIP 시그널링 DoS 탐지부121: URI-based SIP packet filtering unit 122: SIP signaling DoS detection unit

123: SIP 프로토콜 어노말리 탐지부 124: SIP 주소 위변조 탐지부123: SIP protocol anomaly detection unit 124: SIP address forgery detection unit

125: 시그니처기반 SIP 해킹 공격 탐지부 126: SIP 세션 어노말리 탐지부125: signature-based SIP hacking attack detection unit 126: SIP session anomaly detection unit

221: IP/Port 패킷 필터링부 222: RTP 미디어 헤더 디코딩 모듈221: IP / Port packet filtering unit 222: RTP media header decoding module

223: RTP 미디어 공격 탐지/차단 모듈 224: 비정상 RTP 트래픽 대응 모듈223: RTP media attack detection / blocking module 224: Abnormal RTP traffic response module

Claims (7)

SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템에 있어서, In SIP protocol based internet phone hacking attack detection and blocking system, SIP 메소드 플루딩 공격과, SIP BYE/Cancel 공격인 SIP 호 제어 메시지를 이용한 공격을 탐지하고 차단하는 SIP 시그널링 공격 대응 모듈과; A SIP signaling attack counter module for detecting and blocking a SIP method flooding attack and an attack using a SIP call control message which is a SIP BYE / Cancel attack; RTP Insertion 공격인 RTP 미디어 데이터 기반의 공격을 탐지하고 차단하는 RTP 미디어 공격 대응 모듈과; An RTP media attack response module for detecting and blocking an RTP media data-based attack, which is an RTP Insertion attack; 상기 SIP 시그널링 공격 대응 모듈 및 RTP 미디어 공격 대응 모듈과 연결되며, 응용계층(SIP, RTP) 기반의 공격을 탐지하고 차단하는 정책과 보안 정책을 관리하는 SIP 시그널링/미디어 공격 대응 정책 관리 모듈과; A SIP signaling / media attack response policy management module connected to the SIP signaling attack response module and the RTP media attack response module and managing a policy and a security policy for detecting and blocking an application layer (SIP, RTP) based attack; 상기 SIP 시그널링 공격 대응 모듈 및 RTP 미디어 공격 대응 모듈과 연결되며, IP/Port/프로토콜 별로 L3~L4 계층의 공격을 차단하는 IP/Port 필터링 모듈; 을 포함함을 특징으로 하는 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템. An IP / Port filtering module connected to the SIP signaling attack response module and the RTP media attack response module and blocking an attack of the L3 to L4 layer by IP / Port / protocol; SIP protocol-based Internet phone hacking attack detection and blocking system comprising a. 제 1항에 있어서,The method of claim 1, 상기 SIP 시그널링 공격 대응 모듈은 SIP 표준 규격에 맞게 SIP 시그널링 헤더를 디코딩하는 SIP 시그널링 헤더 디코딩 블록과; URI기반 SIP 패킷 필터링과, SIP 시그널링 DoS 탐지와, SIP 프로토콜 어노말리 탐지와, SIP 주소 위변조 탐지 와, 시그니처 기반 SIP 해킹 공격 탐지 및 SIP 세션 어노말리 탐지 기능을 갖는 SIP 시그널링 공격 탐지/차단 블록과; 호가 SIP 호 설정 정보를 전송하기 위한 호 설정 정보 전송 에이전트; 로 구성되는 것을 특징으로 하는 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템. The SIP signaling attack counter module includes: a SIP signaling header decoding block for decoding a SIP signaling header according to a SIP standard; A SIP signaling attack detection / blocking block having URI based SIP packet filtering, SIP signaling DoS detection, SIP protocol anomaly detection, SIP address forgery detection, signature based SIP hacking attack detection and SIP session anomaly detection; A call establishment information transmitting agent for sending a call to SIP call establishment information; SIP protocol-based Internet phone hacking attack detection and blocking system, characterized in that consisting of. 제 1항에 있어서,The method of claim 1, 상기 RTP 미디어 공격 대응 모듈은 호가 SIP 호 설정 정보를 수신하기 위한 호 설정 정보 수신 에이전트와; SIP 시그널링 공격 대응 모듈로부터 호 설정 상태 정보(통화가 연결된 IP 주소, 동적 Port 정보)를 수신 받아 RTP 미디어 공격을 탐지하고 차단하는 RTP 미디어 공격 탐지/차단 블록과; RTP 표준 규격에 맞게 RTP 미디어 헤더를 디코딩하는 RTP 미디어 헤더 디코딩 블록; 으로 구성되는 것을 특징으로 하는 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템.The RTP media attack response module includes: a call establishment information receiving agent for receiving a call by SIP call establishment information; An RTP media attack detection / blocking block for detecting and blocking an RTP media attack by receiving call establishment state information (IP address to which a call is connected and dynamic port information) from a SIP signaling attack response module; An RTP media header decoding block for decoding the RTP media header according to the RTP standard specification; SIP protocol based Internet phone hacking attack detection and blocking system, characterized in that consisting of. 제 1항에 있어서,The method of claim 1, 상기 SIP 시그널링 공격 대응 모듈과, RTP 미디어 공격 대응 모듈 간 호 설정 정보 전송/수신 에이전트 채널을 통해 통화가 연결된 설정 정보(Signaled IP 주소, 동적 Port 주소)를 교환하여 응용계층(SIP, RTP) 간 프로토콜의 연관성 분석이 가능한 것을 특징으로 하는 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템.Protocol between application layers (SIP, RTP) by exchanging configuration information (Signaled IP address, Dynamic Port address) to which call is connected through the transmission / reception agent channel of the SIP signaling attack response module and RTP media attack response module. SIP protocol-based Internet phone hacking attack detection and blocking system, characterized in that the analysis of the correlation. 제 2항에 있어서,3. The method of claim 2, 상기 SIP 시그널링 공격 탐지/차단 블록은 SIP 헤더 필드 분석 후 To, From, Via 필드에 블랙리스트로 설정된 URI 주소 정보를 포함하는 SIP 패킷을 필터링하는 URI기반 SIP 패킷 필터링부와; INVITE 플로딩과 같은 SIP 메소드를 이용한 DoS 공격을 탐지하고 차단하는 SIP 시그널링 DoS 탐지부와; RFC 3261 표준 규격을 위반하는 SIP Malformed 메시지 공격을 탐지하고 차단하는 SIP 프로토콜 어노말리 탐지부와; IP 주소 스푸핑의 스푸핑 공격을 탐지하는 SIP 주소 위변조 탐지부와; 알려진 SIP 메시지 기반 공격을 시그니처 형태로 패턴매칭 방식을 통해 SIP XSS, SQL Injection 공격, 단말 OS 버그 취약성 공격을 탐지하는 시그니처기반 SIP 해킹 공격 탐지부와; SIP 콜 트랜젝션 상태의 적합성을 확인하고 처리하는 SIP 세션 어노말리 탐지부; 로 구성되는 것을 특징으로 하는 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템. The SIP signaling attack detection / blocking block may include: a URI-based SIP packet filtering unit configured to filter SIP packets including URI address information set as a blacklist in the To, From, and Via fields after analyzing the SIP header field; A SIP signaling DoS detector for detecting and blocking a DoS attack using a SIP method such as INVITE floating; A SIP protocol anomaly detection unit for detecting and blocking SIP Malformed message attacks that violate the RFC 3261 standard specification; A SIP address forgery detection unit for detecting a spoofing attack of IP address spoofing; A signature-based SIP hacking attack detection unit for detecting SIP XSS, SQL Injection attacks, and terminal OS bug vulnerability attacks by using a pattern matching method in a signature form of a known SIP message-based attack; A SIP session anomaly detector for checking and processing suitability of a SIP call transaction state; SIP protocol-based Internet phone hacking attack detection and blocking system, characterized in that consisting of. 제 3항에 있어서,The method of claim 3, wherein 상기 RTP 미디어 공격 탐지/차단 블록은 SIP 시그널링 공격 탐지/차단 모듈로부터 호 설정 상태 정보를 수신 받아 IP 헤더 필드 분석 후 송신 IP/Port, 수신 IP/Port 필드에 블랙리스트로 설정된 IP/Port 정보를 포함하는 RTP 패킷을 필터링하는 IP/Port 패킷 필터링부와; IP/Port 패킷 필터링부에서 RTP 패킷을 수신 받아 헤더 필드별로 RTP 표준 규격에 맞게 디코딩하여 RTP 미디어 공격 탐지/차단 모듈로 전송하는 RTP 미디어 헤더 디코딩 모듈과; 정상적으로 호가 설정된 RTP 스트림을 판단하기 위한 것으로, SIP 시그널링 공격 대응 모듈로부터 호 설정 상태 정보를 수신 받아 IP, Port, SSRC 값이 동일한지 체크하고 동일하지 않을 경우 RTP Insertion 공격으로 판단하고 탐지하는 RTP 미디어 공격 탐지/차단 모듈과; RTP 트래픽을 프로파일링하고 rate-limit을 통해 비정상 RTP 트래픽을 탐지하고 네트워크 대역을 관리하여 정상 RTP 트래픽을 우선 처리할 수 있게 하는 비정상 RTP 트래픽 대응 모듈; 로 구성되는 것을 특징으로 하는 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템. The RTP media attack detection / blocking block receives call setup state information from a SIP signaling attack detection / blocking module and analyzes the IP header field, and then includes IP / Port information set as a blacklist in the sending IP / Port and the receiving IP / Port fields. An IP / Port packet filtering unit for filtering the RTP packet; An RTP media header decoding module for receiving the RTP packet from the IP / Port packet filtering unit and decoding the header field according to the RTP standard specification and transmitting the RTP packet to the RTP media attack detection / blocking module; RTP media attack to determine the RTP stream that is normally set up, and receives the call setup status information from the SIP signaling attack response module and checks whether the IP, Port, and SSRC values are the same. Detection / blocking module; An abnormal RTP traffic response module for profiling RTP traffic, detecting abnormal RTP traffic through rate-limit, and managing network bands to prioritize normal RTP traffic; SIP protocol-based Internet phone hacking attack detection and blocking system, characterized in that consisting of. SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 방법에 있어서, 호 설정이 이뤄지지 않은 RTP 미디어 공격 패킷 탐지/차단 동작 과정은 RTP 미디어 데이터 디코딩을 통과한 RTP 패킷을 수신하는 단계와; In the SIP protocol-based internet phone hacking attack detection and blocking method, RTP media attack packet detection / blocking operation without call establishment comprises: receiving an RTP packet that has passed RTP media data decoding; 정상적으로 호가 설정되어 RTP 스트림을 판단하기 위해 호가 설정된 정보인 송수신 IP, Port, SSRC 값을 조회하는 단계와; Querying transmit / receive IP, Port, and SSRC values, which are information on which a call is set, to determine a RTP stream by establishing a call normally; 호 설정 상태 테이블의 IP, Port, SSRC와 일치하는 패킷일 경우, 패킷을 다음 프로세스로 전달하고, 그렇지 않은 경우, 패킷을 Drop하는 단계; 를 포함함을 특징으로 하는 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 방법. If the packet matches the IP, Port, and SSRC of the call setup state table, forwarding the packet to the next process; otherwise, dropping the packet; SIP protocol-based Internet phone hacking attack detection and blocking method comprising a.
KR1020080132229A 2008-12-23 2008-12-23 Detection and block system for hacking attack of internet telephone using the SIP-based and method thereof KR101011221B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080132229A KR101011221B1 (en) 2008-12-23 2008-12-23 Detection and block system for hacking attack of internet telephone using the SIP-based and method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080132229A KR101011221B1 (en) 2008-12-23 2008-12-23 Detection and block system for hacking attack of internet telephone using the SIP-based and method thereof

Publications (2)

Publication Number Publication Date
KR20100073527A true KR20100073527A (en) 2010-07-01
KR101011221B1 KR101011221B1 (en) 2011-01-26

Family

ID=42636472

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080132229A KR101011221B1 (en) 2008-12-23 2008-12-23 Detection and block system for hacking attack of internet telephone using the SIP-based and method thereof

Country Status (1)

Country Link
KR (1) KR101011221B1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101285769B1 (en) * 2011-12-29 2013-07-19 주식회사 시큐아이 Method and apparatus for defending against invite spoofing attack in session initiation protocol
KR101346810B1 (en) * 2012-03-07 2014-01-03 주식회사 시큐아이 Unitive Service Controlling Device and Method
CN111314359A (en) * 2020-02-20 2020-06-19 上海欣方智能系统有限公司 Anti-fraud method based on SIP signaling collection

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101388627B1 (en) 2013-11-07 2014-04-24 한국인터넷진흥원 Apparatus for blocking abnormal traffic in 4g mobile network

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7716729B2 (en) * 2005-11-23 2010-05-11 Genband Inc. Method for responding to denial of service attacks at the session layer or above
KR100838811B1 (en) * 2007-02-15 2008-06-19 한국정보보호진흥원 Secure session border controller system for voip service security
KR100852145B1 (en) * 2007-11-22 2008-08-13 한국정보보호진흥원 Security system and securing method of call signaling messages for session initiation protocol based voice over the internet protocol service
KR100849888B1 (en) * 2007-11-22 2008-08-04 한국정보보호진흥원 Device, system and method for dropping attack multimedia packets

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101285769B1 (en) * 2011-12-29 2013-07-19 주식회사 시큐아이 Method and apparatus for defending against invite spoofing attack in session initiation protocol
KR101346810B1 (en) * 2012-03-07 2014-01-03 주식회사 시큐아이 Unitive Service Controlling Device and Method
CN111314359A (en) * 2020-02-20 2020-06-19 上海欣方智能系统有限公司 Anti-fraud method based on SIP signaling collection

Also Published As

Publication number Publication date
KR101011221B1 (en) 2011-01-26

Similar Documents

Publication Publication Date Title
KR101107742B1 (en) SIP Intrusion Detection and Response System for Protecting SIP-based Services
US9473529B2 (en) Prevention of denial of service (DoS) attacks on session initiation protocol (SIP)-based systems using method vulnerability filtering
US8161540B2 (en) System and method for unified communications threat management (UCTM) for converged voice, video and multi-media over IP flows
US7568224B1 (en) Authentication of SIP and RTP traffic
US7570743B2 (en) Method and apparatus for surveillance of voice over internet protocol communications
US8984627B2 (en) Network security management
US7133511B2 (en) Telephony security system
US8522344B2 (en) Theft of service architectural integrity validation tools for session initiation protocol (SIP)-based systems
US8514845B2 (en) Usage of physical layer information in combination with signaling and media parameters
US8150013B2 (en) Telephony security system
KR20110065091A (en) System for detecting toll fraud attack for internet telephone and method for the same
KR100849888B1 (en) Device, system and method for dropping attack multimedia packets
US20080089494A1 (en) System and Method for Securing a Telephone System Comprising Circuit Switched and IP Data Networks
KR101097419B1 (en) Detection and monitoring system for abnormal SIP traffic attack using the netflow statistical information and method thereof
JP2008538470A (en) How to counter the transmission of unsolicited voice information
Patrick Voice over IP security
KR101011221B1 (en) Detection and block system for hacking attack of internet telephone using the SIP-based and method thereof
EP2597839A1 (en) Transparen Bridge Device for protecting network services
WO2009117908A1 (en) Method and device for media stream detection
US7764697B2 (en) Method for detecting and handling rogue packets in RTP protocol streams
US20120060218A1 (en) System and method for blocking sip-based abnormal traffic
Shan et al. Research on security mechanisms of SIP-based VoIP system
JP2006100873A (en) Sip packet filtering apparatus, network indirect connection apparatus, and sip server
KR101004376B1 (en) SPF System for Blocking Spam and Method of Querying in VoIP
KR101466895B1 (en) Method of detecting voip fraud, apparatus performing the same and storage media storing the same

Legal Events

Date Code Title Description
A201 Request for examination
N231 Notification of change of applicant
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140121

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20141204

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee