KR20100073535A - Detection apparatus for attack of malformed sip message and method thereof - Google Patents

Detection apparatus for attack of malformed sip message and method thereof Download PDF

Info

Publication number
KR20100073535A
KR20100073535A KR1020080132239A KR20080132239A KR20100073535A KR 20100073535 A KR20100073535 A KR 20100073535A KR 1020080132239 A KR1020080132239 A KR 1020080132239A KR 20080132239 A KR20080132239 A KR 20080132239A KR 20100073535 A KR20100073535 A KR 20100073535A
Authority
KR
South Korea
Prior art keywords
sip
attack
control message
rule
message
Prior art date
Application number
KR1020080132239A
Other languages
Korean (ko)
Inventor
김정욱
김환국
고경희
이창용
정현철
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020080132239A priority Critical patent/KR20100073535A/en
Publication of KR20100073535A publication Critical patent/KR20100073535A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1101Session protocols
    • H04L65/1104Session initiation protocol [SIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Multimedia (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

PURPOSE: An apparatus performing the detection of the sip variation control message is provided to minimize a wrong detection rate of SIP variation control message messaging attack. CONSTITUTION: A positive rule-based check block(210) checks a total message length, a maximum length by header and an available string in order to permit normal SIP control message accepting a SIP(Session Initiation Protocol) protocol standard. A negative rule-based check block(220) verifies the input value of the message based on the SIP attack signature defined by a security manager, in order to detect the attack only known an SIP mutative control message attack signature.

Description

SIP 변종 제어 메시지 공격을 탐지하는 장치 및 그 방법{Detection apparatus for attack of malformed SIP message and method thereof}Detecting apparatus for attack of malformed SIP message and method

본 발명은 SIP 표준 프로토콜 규격에 맞는 정상적인 SIP 제어 메시지만을 허용하는 포지티브 탐지 모델과, SIP 변종 제어메시지 공격 시그니처 기반으로 알려진 공격만을 탐지하고 차단하는 네가티브 탐지 모델을 혼용하여 사용함으로써, 알려지지 않은 SIP 변종 제어 메시지 공격의 오탐지율을 최소화할 수 있고, 대량의 SIP 변종 제어 메시지 공격을 통해 SIP Call 서버, 음성 게이트웨이, SBC 장비, IP 전화 단말기 장비 및 서비스 마비를 일으키는 공격이나, SQL Code 삽입을 통한 SQL Injection과 같은 서비스 오용 공격 등을 탐지하고 차단할 수 있는 SIP 변종 제어 메시지 공격을 탐지하는 장치 및 그 방법에 관한 기술이다.The present invention uses a combination of a positive detection model that allows only normal SIP control messages conforming to the SIP standard protocol specification and a negative detection model that detects and blocks only known attacks based on SIP variant control message attack signatures. False detection rate of the message attack can be minimized, and a large number of SIP variant control message attacks can cause SIP call server, voice gateway, SBC equipment, IP phone terminal equipment and service paralysis or SQL injection through SQL code insertion. The present invention relates to a device and a method for detecting a SIP variant control message attack that can detect and block the same service abuse attack.

종래의 SBC, IP-PBX, SIP 프락시 서버 등의 SIP 프로토콜을 지원하는 인터넷전화 교환 장비와, 웹 방화벽, IPS, IDS 등의 IP기반 IDS/IPS 및 웹 방화벽 등의 네트워크 보안 기술이 있다. 인터넷 전화 교환 장비는 SIP 변종 제어 메시지 공격 탐지 및 차단 기능을 제공하지 않으며, 웹 방화벽, IPS, IDS 등의 네트워크 보안 장비의 경우, 시그니처 기반 패턴 매칭의 경우 L3~L7, HTTP, FTP, DNS 등 일부 특정 프로토콜을 대상으로 Deep Packet 분석 및 탐지하는 제한된 기능을 제공하고 있어 호 설정 제어 프로토콜인 SIP 프로토콜까지 Deep Packet 분석 및 탐지에 한계가 있다.Internet telephone exchange equipment supporting SIP protocols such as conventional SBC, IP-PBX, SIP proxy server, and network security technologies such as IP-based IDS / IPS and web firewall such as web firewall, IPS, IDS, and the like. The Internet Attenuator does not provide SIP variant control message attack detection and blocking.In case of network security devices such as web firewall, IPS, IDS, and signature-based pattern matching, some of L3 ~ L7, HTTP, FTP, DNS, etc. Because it provides limited functions for deep packet analysis and detection for specific protocols, there is a limit to deep packet analysis and detection up to the SIP protocol, which is a call setup control protocol.

그러므로 포지티브 탐지 모델과, 네가티브 탐지 모델을 혼용하여 사용함으로써, 알려지지 않은 SIP 변종 제어 메시지 공격의 오탐지율을 최소화할 수 있고, 대량의 SIP 변종 제어 메시지 공격을 통해 SIP Call 서버, 음성 게이트웨이, SBC 장비, IP 전화 단말기 장비 및 서비스 마비를 일으키는 공격이나, SQL Code 삽입을 통한 SQL Injection과 같은 서비스 오용 공격 등을 탐지하고 차단할 수 있는 SIP 변종 제어 메시지 공격을 탐지하는 장치 및 그 방법의 개발이 절실히 요구되고 있는 실정이다.Therefore, by using a combination of positive detection model and negative detection model, the false positive detection rate of unknown SIP variant control message attack can be minimized, and SIP call server, voice gateway, SBC equipment, There is an urgent need for the development of devices and methods for detecting SIP variant control message attacks that can detect and block IP phone terminal equipment and service attacks or service misuse attacks such as SQL Injection through SQL code injection. It is true.

이에 본 발명은 상기 문제점들을 해결하기 위하여 착상된 것으로서, SIP 표준 프로토콜 규격에 맞는 정상적인 SIP 제어 메시지만을 허용하는 포지티브 탐지 모델과, SIP 변종 제어메시지 공격 시그니처 기반으로 알려진 공격만을 탐지하고 차단하는 네가티브 탐지 모델을 혼용하여 사용함으로써, 알려지지 않은 SIP 변종 제어 메시지 공격의 오탐지율을 최소화할 수 있는 SIP 변종 제어 메시지 공격을 탐 지하는 장치 및 그 방법을 제공하는데 그 목적이 있다.Accordingly, the present invention has been conceived to solve the above problems, a positive detection model that allows only normal SIP control messages conforming to the SIP standard protocol standard, and a negative detection model that detects and blocks only known attacks based on SIP variant control message attack signatures. It is an object of the present invention to provide an apparatus and a method for detecting a SIP variant control message attack that can minimize the false positive rate of unknown SIP variant control message attack by using a mixture of.

본 발명의 다른 목적은 대량의 SIP 변종 제어 메시지 공격을 통해 SIP Call 서버, 음성 게이트웨이, SBC 장비, IP 전화 단말기 장비 및 서비스 마비를 일으키는 공격이나, SQL Code 삽입을 통한 SQL Injection과 같은 서비스 오용 공격 등을 탐지하고 차단할 수 있는 SIP 변종 제어 메시지 공격을 탐지하는 장치 및 그 방법을 제공하는데 있다.Another object of the present invention is to attack SIP call server, voice gateway, SBC equipment, IP telephone equipment and service through mass SIP variant control message attack, or service misuse attack such as SQL Injection through SQL Code insertion. An apparatus and method for detecting a SIP variant control message attack capable of detecting and blocking the present invention are provided.

상기 목적을 달성하기 위한 본 발명의 바람직한 일실시예에 따른 SIP 변종 제어 메시지 공격을 탐지하는 장치는 SIP 제어 메시지를 표준 규격에 정의된 헤더 및 서브 필드별로 파싱하는 기능과, RFC 3261 형식에 위배되는 메시지는 Drop시키기 위해 First Line, SIP Header, SIP Body 유무, SIP Header 필수 필드 유무, SIP Header 필드 구분자, SIP Header name과 value 형식을 체크하는 기능과, 트랜잭션 별로 세션 상태 정보를 세션 상태 정보 테이블에 저장하는 기능과, SIP 헤더와 SIP Body(SDP)에 대해 name과 value로 파싱하여 SIP 변종 제어 메시지 탐지 모듈로 전송하는 기능을 갖는 SIP 제어 메시지 헤더 파서모듈과; 상기 SIP 제어 메시지 헤더 파서모듈로부터 파싱한 정보 중에서 SIP 변종 제어 메시지를 탐지하는 SIP 변종 제어 메시지 공격 탐지 모듈과; SIP 세션 상태 정보를 저장하는 SIP 세션 상태 정보 테이블; 을 포함함을 특징으로 한다.In order to achieve the above object, an apparatus for detecting a SIP variant control message attack according to an embodiment of the present invention has a function of parsing a SIP control message by headers and subfields defined in a standard standard and is in violation of RFC 3261 format. To drop a message, check the first line, SIP header, SIP body, SIP header required field, SIP header field delimiter, SIP header name and value format, and save session state information in session state information table for each transaction. A SIP control message header parser module having a function of parsing a SIP header and a SIP body (SDP) with a name and a value and transmitting the same to a SIP variant control message detection module; A SIP variant control message attack detection module for detecting a SIP variant control message from information parsed from the SIP control message header parser module; A SIP session state information table for storing SIP session state information; Characterized in that it comprises a.

상기 본 발명에 있어서, 상기 SIP 제어 메시지 헤더 파서 모듈은 SIP First Line, SIP 헤더, SDP 메시지 순으로 파싱하여 구조체화 하여 세션 상태 정보 테이블에 저장하고, RFC 3261 형식에 위배되는 메시지는 Drop시키는 SIP 메시지 파서부와; 상기 SIP 메시지 파서부에서 파싱된 SIP 메시지의 트랜잭션 정보와 주요 헤더 값을 세션 상태 정보 테이블에 저장하는 세션 상태 정보 테이블; 을 포함함을 특징으로 한다. In the present invention, the SIP control message header parser module parses and constructs SIP First Line, SIP header, and SDP message in order and stores them in the session state information table, and drops the messages that violate RFC 3261 format. A parser section; A session state information table for storing transaction information and main header values of the SIP message parsed by the SIP message parser in a session state information table; Characterized in that it comprises a.

상기 본 발명에 있어서, 상기 SIP 변종 제어 메시지 공격 탐지 모듈은 SIP 표준 프로토콜 규격에 맞는 정상적인 SIP 제어 메시지만을 허용하기 위해 메시지 전체 길이, 각 헤더별 최고 길이, 사용 가능한 문자열 등을 체크하는 포지티브 규칙 기반 검사 블록과; SIP 변종 제어 메시지 공격 시그니처 기반으로 알려진 공격만을 탐지하기 위해 보안 관리자에 의해 정의된 SIP 공격 시그니처를 기반으로 메시지의 입력 값을 검증하는 네가티브 규칙 기반 탐지 블록; 을 포함함을 특징으로 한다.In the present invention, the SIP variant control message attack detection module is a positive rule-based check that checks the total length of the message, the maximum length of each header, the available string, etc. to allow only normal SIP control messages conforming to the SIP standard protocol standard. A block; A negative rule based detection block for verifying an input value of a message based on a SIP attack signature defined by a security manager to detect only an attack known as a SIP variant control message attack signature based; Characterized in that it comprises a.

상기 본 발명에 있어서, 상기 포지티브 규칙 기반 검사 블록은 SIP 헤더 필드의 value와 parameter value의 길이를 체크하고, SIP 헤더와 parameter의 반복 횟수를 체크하여 오버플로우 공격을 탐지하는 SIP 스트링 오버플로우 검사부와; Request URI, From, To, Via의 사용자 주소에 대해 형식 및 길이를 체크하는 비정상 사용자 주소 검사부와; SIP 헤더 필드별로 표준 RFC에 정의된 문자열 이외의 문자열이 존재하는지 체크하는 SIP 메시지 허용 문자열 검사부와; via 필드 port, max-forward 필드, content_length, status code 등의 값이 표준에 정의된 범위의 값을 가지는지 체크하는 SIP Integer 범위 검사부와; SIP 메시지의 Version 정보가 표준 RFC에 정의된 Version 정보와 일치하는지 체크하는 SIP Version 검사부와; SIP 메시지의 Content-type 정보가 표준 RFC에 정의된 Content-type 정보와 일치하는지 체크하는 SIP Content-type 검사부와; Request 메시지의 메소드와 Response 메시지의 Status Code에 따라 필수 헤더 필드 존재 유무 및 반복횟수 체크하는 SIP 필수 헤더 필드 유무 및 반복횟수 검사부와; SIP 헤더 필드와 parameter 필드의 value 값이 사용자가 지정한 규칙과 일치하는지 체크하는 사용자 지정 포지티브 규칙 검사부와; 포지티브 규칙 기반 블록의 8개 검사부에서 체크한 포지티브 규칙에 위배되는 SIP 메시지를 Drop하거나, 정상적인 SIP 메시지를 네가티브 규칙기반 탐지 블록으로 전달하는 포지티브 규칙 위반 필터링부; 로 구성됨을 특징으로 한다.In the present invention, the positive rule-based check block includes: a SIP string overflow checker for checking an overflow attack by checking a length of a SIP header field and a value of a parameter value, and checking a repetition number of the SIP header and a parameter; An abnormal user address checker that checks a format and a length of user addresses of Request URI, From, To, and Via; A SIP message permission string checker which checks whether a string other than the string defined in the standard RFC exists for each SIP header field; a SIP Integer range checker for checking whether a value of a via field port, a max-forward field, a content_length, a status code, etc. has a range of values defined in the standard; A SIP Version checker which checks whether the Version information of the SIP message matches the Version information defined in the standard RFC; A SIP Content-type checker which checks whether the Content-type information of the SIP message matches the Content-type information defined in the standard RFC; A SIP mandatory header field presence and repetition number checker which checks whether a required header field exists and repeats according to a method of a request message and a status code of a response message; A user-defined positive rule checker which checks whether the value of the SIP header field and the parameter field matches the rule specified by the user; A positive rule violation filtering unit for dropping SIP messages that violate the positive rules checked by eight inspection units of the positive rule based block, or delivering normal SIP messages to the negative rule based detection block; Characterized in that consisting of.

또한 상기 본 발명에 있어서, 상기 네가티브 규칙 기반 탐지 블록은 SQL Injection, Cross Site Script 공격과 같은 SIP기반 웹 공격 유형 패턴을 탐지하는 SIP기반 웹 공격 유형 패턴 탐지부와; 악성 코드 공격 패턴 탐지부와; 포맷 스트링 공격 패턴 탐지부와; VoIP 장비 O/S 취약성 패턴 탐지부와; 특수 문자 오버플로우 공격 패턴 탐지부와; 기타 다양한 공격 탐지를 위해 사용자에 의해 지정된 공격 패턴을 탐지하는 사용자 지정 공격 패턴 탐지부와; 상기 6개의 탐지부에서 탐지한 네가티브 규칙에 일치하는 SIP 메시지를 Drop하거나, 정상적인 SIP 메시지를 SIP 서버 또는 단말로 전달하는 1개의 네가티브 규칙 기반 패킷 필티링부; 로 구성됨을 특징으로 한다.In the present invention, the negative rule-based detection block includes a SIP-based web attack type pattern detection unit for detecting a SIP-based web attack type pattern, such as SQL Injection, Cross Site Script attack; A malicious code attack pattern detector; A format string attack pattern detector; VoIP equipment O / S vulnerability pattern detection unit; A special character overflow attack pattern detector; A user-specified attack pattern detector for detecting an attack pattern designated by a user for detecting various other attacks; One negative rule-based packet filling unit for dropping SIP messages matching the negative rules detected by the six detection units or delivering normal SIP messages to a SIP server or a terminal; Characterized in that consisting of.

또한 상기 목적을 달성하기 위한 본 발명의 바람직한 일실시예에 따른 SIP 변종 제어 메시지 공격을 탐지하는 방법에 있어서, SIP 변종 제어 메시지 공격 탐 지 모듈을 통해 탐지하는 과정은 SIP 제어 메시지 헤더 파서 모듈로부터 First Line과 SIP 헤더 정보를 포지티브 규칙 기반 검사 블록에서 수신 받아 SIP 패킷이 포지티브 허용 규칙에 매치되는 경우, 네가티브 탐지 규칙의 매치 확인을 위해 네가티브 규칙 기반 탐지 블록으로 전송하고, SIP 패킷이 포지티브 허용 규칙에 매치되지 않는 경우, 패킷을 Drop하는 단계와; 상기 포지티브 규칙 기반 검사 블록에서 체크하여 SIP 패킷이 포지티브 허용 규칙에 매치되는 정보와 SIP 제어 메시지 헤더 파서 모듈로부터 SDP 정보를 네가티브 규칙 기반 탐지 블록에서 수신 받아 SIP 패킷이 네가티브 탐지 규칙에 매치되는 경우, 패킷을 Drop하고, SIP 패킷이 네가티브 탐지 규칙에 매치되지 않는 경우, 정상 SIP 제어메시지를 전송하는 단계; 를 포함함을 특징으로 한다. In addition, in the method for detecting a SIP variant control message attack according to an embodiment of the present invention for achieving the above object, the process of detecting through the SIP variant control message attack detection module is the first from the SIP control message header parser module When the line and SIP header information is received in the positive rule-based inspection block, and the SIP packet matches the positive allow rule, the SIP packet is sent to the negative rule-based detection block for matching of the negative detection rule, and the SIP packet matches the positive allow rule. If not, dropping the packet; When the SIP packet matches the negative detection rule by receiving the information in which the SIP packet matches the positive allow rule and the SDP information from the SIP control message header parser module by checking in the positive rule based inspection block, and receiving the SDP information from the negative rule based detection block, Drop and if the SIP packet does not match the negative detection rule, sending a normal SIP control message; .

본 발명에 따른 SIP 변종 제어 메시지 공격을 탐지하는 장치 및 그 방법은 다음과 같은 효과를 가진다.Apparatus and method for detecting SIP variant control message attack according to the present invention have the following effects.

첫째, 본 발명은 SIP 표준 프로토콜 규격에 맞는 정상적인 SIP 제어 메시지만을 허용하는 포지티브 탐지 모델과, SIP 변종 제어 메시지 공격 시그니처 기반으로 알려진 공격만을 탐지하고 차단하는 네가티브 탐지 모델을 혼용하여 사용함으로써, 알려지지 않은 SIP 변종 제어 메시지 공격의 오탐지율을 최소화할 수 있다.First, the present invention uses a combination of a positive detection model that allows only normal SIP control messages conforming to the SIP standard protocol specification, and a negative detection model that detects and blocks only attacks known as SIP variant control message attack signatures. False detection rate of variant control message attack can be minimized.

둘째, 본 발명은 대량의 SIP 변종 제어 메시지 공격을 통해 SIP Call 서버, 음성 게이트웨이, SBC 장비, IP 전화 단말기 장비 및 서비스 마비를 일으키는 공격 이나, SQL Code 삽입을 통한 SQL Injection과 같은 서비스 오용 공격 등을 탐지하고 차단할 수 있다. Second, the present invention is to attack the SIP call server, voice gateway, SBC equipment, IP phone terminal equipment and service paralysis through a large number of SIP variant control message attack, or service abuse attacks such as SQL Injection through SQL code insertion Can be detected and blocked.

셋째, 본 발명은 RFC 3261 SIP 프로토콜 메시지 규격에 위배되는 SIP 변종 제어 메시지를 탐지하고 차단할 수 있다. Third, the present invention can detect and block SIP variant control messages that violate the RFC 3261 SIP protocol message standard.

이하 첨부된 도면과 함께 본 발명의 바람직한 실시 예를 살펴보면 다음과 같은데, 본 발명을 설명함에 있어서 관련된 공지기술 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략할 것이며, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있으므로, 그 정의는 본 발명인 SIP 변종 제어 메시지 공격을 탐지하는 장치 및 그 방법을 설명하는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다. Looking at the preferred embodiment of the present invention together with the accompanying drawings as follows, when it is determined that the detailed description of the known art or configuration related to the present invention may unnecessarily obscure the subject matter of the present invention The description will be omitted, and the following terms are terms defined in consideration of functions in the present invention, which may vary according to a user's or operator's intention or custom, and the definition is an apparatus for detecting an SIP variant control message attack according to the present invention. And the contents throughout this specification describing the method.

이하, 본 발명의 바람직한 일실시예에 따른 SIP 변종 제어 메시지 공격을 탐지하는 장치를 첨부된 도면을 참조하여 상세히 설명한다.Hereinafter, an apparatus for detecting a SIP variant control message attack according to an embodiment of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 일실시예에 따른 SIP 제어 메시지 파서 모듈을 설명하기 위한 SIP 제어 메시지에 대한 구조도이다.1 is a structural diagram of a SIP control message for explaining a SIP control message parser module according to an embodiment of the present invention.

상기 SIP 메시지는 Request와 Response 메시지로 나뉘며, 다음과 같은 형식을 따른다.The SIP message is divided into a request and a response message and follows the following format.

SIP-message = Request / Response SIP-message = Request / Response

Request = Request-Line Request = Request-Line

*( message-header )             * (message-header)

CRLF            CRLF

[ message-body ]             [message-body]

Response = Status-Line Response = Status-Line

*( message-header )             * (message-header)

CRLF            CRLF

[ message-body ]             [message-body]

First Line은 Request-Line과 Status-Line을 지칭하며, SIP Method는 First Line의 INVITE, ACK, REGISTER, CANCEL, BYE, Status Code 등을 지칭하며, SIP Header field는 From, To, Via, CSeq, Call-ID 등을 지칭하며, parameter filed는 SIP Header field의 value 값 이후에 오는 데이터를 지칭한다. 예를 들어, To field value 값은 수신자의 주소 값이며, parameter는 Tag가 된다.First Line refers to Request-Line and Status-Line, SIP Method refers to INVITE, ACK, REGISTER, CANCEL, BYE, Status Code, etc. of First Line, SIP Header field refers to From, To, Via, CSeq, Call -ID and the like, and parameter filed refers to data that comes after the value of the SIP Header field. For example, the To field value is the address of the receiver and the parameter is a Tag.

도 2는 본 발명의 일실시예에 따른 SIP 변종 제어 메시지 공격을 탐지하는 장치를 설명하기 위한 구성을 나타낸 도면이다.2 is a diagram illustrating a configuration for explaining an apparatus for detecting a SIP variant control message attack according to an embodiment of the present invention.

SIP 변종 제어 메시지 공격을 탐지하는 장치는 SIP 제어 메시지 헤더 파서 모듈(100), SIP 변종 제어 메시지 공격 탐지 모듈(200), SIP 세션 상태 정보 테이블(300), 포지티브 규칙 기반 검사 블록(210), 네가티브 규칙 기반 탐지 블록(220) 등으로 구성된다.Devices for detecting SIP variant control message attacks include SIP control message header parser module 100, SIP variant control message attack detection module 200, SIP session state information table 300, positive rule based inspection block 210, negative Rule-based detection block 220, and the like.

상기 SIP(Session Initiation Protocol) 란 음성, 영상 등 멀티미디어 데이 터 전송을 제어하기 위한 IETF에서 개발한 표준 호 설정 프로토콜로서, SIP 프로토콜을 이용한 대표적인 응용서비스로는 인터넷 전화(VoIP)가 있으며, 그 외에도 인터넷 기반 회의, 음성 메일, 이벤트 통지, 인스턴트 메시징 등도 포함한다. The SIP (Session Initiation Protocol) is a standard call setup protocol developed by the IETF for controlling the transmission of multimedia data such as voice and video, and the representative application service using the SIP protocol is Internet telephone (VoIP). It also includes based conferencing, voice mail, event notification, instant messaging, and more.

도 2에 도시되어 있는 바와 같이, SIP 변종 제어 메시지 공격을 탐지하는 장치는 SIP 제어 메시지를 표준 규격에 정의된 헤더 및 서브 필드별로 파싱하는 기능과, SIP Header와 SIP Body(SDP)에 대해 name과 value로 파싱하여 SIP 변종 제어 메시지(SIP Malformed Message) 탐지 모듈로 전송하는 기능을 갖는 SIP 제어 메시지 헤더 파서모듈과; 상기 SIP 제어 메시지 헤더 파서부로부터 파싱한 정보 중에서 SIP 변종 제어 메시지를 탐지하는 SIP 변종 제어 메시지 공격 탐지모듈과; SIP 세션 상태 정보를 저장하는 SIP 세션 상태 정보 테이블; 로 구성된다.As shown in FIG. 2, the apparatus for detecting a SIP variant control message attack has a function of parsing a SIP control message by headers and subfields defined in the standard standard, and a name and a name for the SIP header and SIP body (SDP). a SIP control message header parser module having a function of parsing a value and transmitting the same to a SIP malformed message detection module; A SIP variant control message attack detection module for detecting a SIP variant control message from information parsed from the SIP control message header parser; A SIP session state information table for storing SIP session state information; It consists of.

상기 본 발명인 SIP 변종 제어 메시지 공격을 탐지하는 장치를 구성하는 기술적 수단들의 구성과 기능을 살펴보면 다음과 같다.Looking at the configuration and function of the technical means constituting the apparatus for detecting the SIP variant control message attack of the present invention as follows.

상기 SIP 제어 메시지 헤더 파서 모듈(100)은 SIP 제어 메시지를 표준 규격에 정의된 헤더 및 서브 필드별로 파싱하는 기능과, RFC 3261 형식에 위배되는 메시지는 Drop시키기 위해 First Line, SIP Header, SIP Body 유무, SIP Header 필수 필드 유무, SIP Header 필드 구분자, SIP Header name과 value 형식을 체크하는 기능과, 트랜잭션 별로 세션 상태 정보를 세션 상태 정보 테이블에 저장하는 기능과, SIP 헤더와 SIP Body(SDP)에 대해 name과 value로 파싱하여 SIP 변종 제어 메시지 탐지 모듈로 전송하는 기능을 갖는다.The SIP control message header parser module 100 parses a SIP control message by headers and subfields defined in the standard, and has a first line, a SIP header, and a SIP body to drop a message that violates the RFC 3261 format. SIP header field delimiter, SIP header name and value format check, session state information per transaction in the session state information table, SIP header and SIP Body (SDP) Parse by name and value and send to SIP variant control message detection module.

상기 SIP 변종 제어 메시지 공격 탐지 모듈(200)은 상기 SIP 제어 메시지 헤 더 파서모듈(100)로부터 파싱한 정보 중에서 SIP 변종 제어 메시지를 탐지한다.The SIP variant control message attack detection module 200 detects a SIP variant control message from information parsed from the SIP control message header parser module 100.

여기서 상기 SIP 변종 제어 메시지 공격 탐지 모듈(200)은 SIP 표준 프로토콜 규격에 맞는 정상적인 SIP 제어 메시지만을 허용하기 위해 메시지 전체 길이, 각 헤더별 최고 길이, 사용 가능한 문자열을 체크하는 포지티브 규칙 기반 검사 블록(210)과; SIP 변종 제어메시지 공격 시그니처 기반으로 알려진 공격만을 탐지하기 위해 보안 관리자에 의해 정의된 SIP 공격 시그니처를 기반으로 메시지의 입력 값을 검증하는 네가티브 규칙 기반 탐지 블록(220); 으로 구성되며, 상기 포지티브 규칙 기반 검사 블록(210)에서는 SIP 헤더 필드의 value와 parameter value의 길이를 체크하고, SIP 헤더와 parameter의 반복 횟수를 체크와, SIP 헤더 필드별로 표준 RFC에 정의된 문자열 이외의 문자열이 존재하는지 체크와, via 필드 port, max-forward 필드, content_length, status code 등의 값이 표준에 정의된 범위의 값을 가지는지 체크와, SIP 메시지의 Version 정보가 표준 RFC에 정의된 Version 정보와 일치하는지 체크와, SIP 메시지의 Content-type 정보가 표준 RFC에 정의된 Content-type 정보와 일치하는지 체크와, Request 메시지의 메소드와 Response 메시지의 Status Code에 따라 필수 헤더 필드 존재 유무 및 반복횟수 체크와, Request URI, From, To, Via의 사용자 주소에 대해 형식 및 길이를 체크와, 사용자 지정 포지티브 규칙 체크를 수행하고, 상기 네가티브 규칙 기반 탐지 블록(220)에서는 SQL Injection, Cross Site Script 공격과 같은 SIP기반 웹 공격 유형 패턴 탐지와, 악성 코드 공격 패턴 탐지와, 포맷 스트링 공격 패턴 탐지와, VoIP 장비 O/S 취약성 패턴 탐지와, 특수 문자 오버플로우 공격 패턴 탐지와, 기타 다양한 공 격 탐지를 위해 사용자에 의해 지정된 공격 패턴 탐지를 수행하는 것이다.The SIP variant control message attack detection module 200 is a positive rule-based check block 210 for checking the total length of the message, the maximum length of each header, and the available strings to allow only normal SIP control messages conforming to the SIP standard protocol standard. )and; A negative rule based detection block 220 for verifying an input value of a message based on a SIP attack signature defined by a security manager to detect only an attack known as a SIP variant control message attack signature based; In the positive rule-based check block 210, the length of the SIP header field is checked, the length of the parameter value is checked, the number of repetitions of the SIP header and the parameter is checked, and each SIP header field is different from the string defined in the standard RFC. Checks whether a string exists, whether the via field port, max-forward field, content_length, status code, etc. have a value in the range defined in the standard, and the version information of the SIP message is defined in the standard RFC. Check whether the information matches the information, whether the content-type information of the SIP message matches the content-type information defined in the standard RFC, and whether there is a required header field according to the method of the request message and the status code of the response message, and the number of iterations. Checks, checks the format and length of the Request URI, From, To, Via user addresses, performs a user-defined positive rule check, and the negative ruler Detection block 220 detects SIP-based web attack type patterns such as SQL Injection and Cross Site Script attacks, malware attack pattern detection, format string attack pattern detection, VoIP device O / S vulnerability pattern detection, and special characters. To detect overflow attack patterns and various other attacks, it is possible to detect attack patterns specified by the user.

상기 SIP 세션 상태 정보 테이블(300)은 SIP 세션 상태 정보를 저장한다. 여기서 세션 상태 정보 테이블(300)로서, SIP 헤더 정보, 세션 상태 정보 등이 저장된다. 여기서 세션 상태 정보 테이블은 SIP 세션 상태 기반 탐지를 위해 사용된다. The SIP session state information table 300 stores SIP session state information. Here, as the session state information table 300, SIP header information, session state information, and the like are stored. Here, the session state information table is used for SIP session state based detection.

도 3에 도시되어 있는 바와 같이 SIP 변종 제어 메시지 공격을 탐지하는 장치에서, 포지티브 규칙기반 검사 블록은 총 8개의 검사부와 1개의 필터링부로 구성된다. In the apparatus for detecting a SIP variant control message attack, as shown in FIG. 3, the positive rule-based check block includes a total of eight checkers and one filtering unit.

SIP 스트링 오버플로우 검사부(211)는 SIP 헤더 필드의 value와 parameter value의 길이를 체크하고, SIP 헤더와 parameter의 반복 횟수를 체크하여 오버플로우 공격 탐지한다.The SIP string overflow checker 211 checks the length of the value of the SIP header field and the length of the parameter value, and detects the overflow attack by checking the number of repetitions of the SIP header and the parameter.

비정상 사용자 주소(URI) 검사부(212)는 Request URI, From, To, Via의 사용자 주소에 대해 형식 및 길이를 체크한다. 여기서, SIP 메시지 중 URI 주소는 Request 메시지의 First Line과 SIP 헤더 필드 중 From, To, Via 필드에 사용자명@도메인 형식으로 존재한다.The abnormal user address (URI) check unit 212 checks the format and length of the user addresses of Request URI, From, To, and Via. Here, the URI address of the SIP message is present in the format of username @ domain in the From, To, Via fields of the First Line and SIP header fields of the request message.

SIP 메시지 허용 문자열 검사부(213)는 SIP 헤더 필드별로 표준 RFC에 정의된 문자열 이외의 문자열이 존재하는지 체크한다. 예를 들어, SIP 메시지 허용 문자열 검사부에서는 SIP tag, User name, Password, Host Name 등에 대해 영문 및 숫자를 제외한 다른 문자의 사용 여부를 체크한다.The SIP message permission string checking unit 213 checks whether a string other than the string defined in the standard RFC exists for each SIP header field. For example, the SIP message allowable string checker checks whether a character other than English and numbers is used for the SIP tag, user name, password, and host name.

SIP Integer 범위 검사부(214)는 via 필드 port, max-forward 필드, content_length, status code 등의 값이 표준에 정의된 범위의 값을 가지는지 체크 한다. 예를 들어, Status Code의 경우 100 ~ 699의 범위 값을 가지는지 체크한다.The SIP Integer range checker 214 checks whether the values of the via field port, the max-forward field, the content_length, the status code, and the like have values in the range defined in the standard. For example, in case of Status Code, check whether it has a range of 100 ~ 699.

SIP Version 검사부(215)는 SIP 메시지의 Version 정보가 표준 RFC에 정의된 Version 정보와 일치하는지 체크한다.The SIP version checker 215 checks whether the version information of the SIP message matches the version information defined in the standard RFC.

SIP Content-type 검사부(216)는 SIP 메시지의 Content-type 정보가 표준 RFC에 정의된 Content-type 정보와 일치하는지 체크한다.The SIP Content-type Inspector 216 checks whether the Content-type information of the SIP message matches the Content-type information defined in the standard RFC.

SIP 필수 헤더 필드 유무 및 반복횟수 검사부(217)는 Request 메시지의 메소드와 Response 메시지의 Status Code에 따라 필수 헤더 필드 존재 유무 및 반복횟수 체크한다.SIP presence header field presence and repetition frequency check unit 217 checks the presence and repetition of the required header field in accordance with the method of the request message and the Status Code of the response message.

사용자 지정 포지티브 규칙 검사부(218)는 SIP 헤더 필드와 parameter 필드의 value 값이 사용자가 지정한 규칙과 일치하는지 체크한다.The user-defined positive rule checker 218 checks whether the value of the SIP header field and the parameter field matches the rule specified by the user.

포지티브 규칙 위반 필터링부(219)는 포지티브 규칙 기반 블록의 8개 검사부에서 체크한 포지티브 규칙에 위배되는 SIP 메시지를 Drop하거나, 정상적인 SIP 메시지를 네가티브 규칙기반 탐지 블록으로 전달한다.The positive rule violation filtering unit 219 drops the SIP message that violates the positive rule checked by the eight inspection units of the positive rule based block, or delivers the normal SIP message to the negative rule based detection block.

도 4에 도시되어 있는 바와 같이 SIP 변종 제어 메시지 공격을 탐지하는 장치에서, 네가티브 규칙기반 탐지 블록은 SQL Injection, Cross Site Script 공격과 같은 SIP기반 웹 공격 유형 패턴을 탐지하는 SIP기반 웹 공격 유형 패턴 탐지부(221)와; 악성 코드 공격 패턴 탐지부(222)와; 포맷 스트링 공격 패턴 탐지부(223)와; VoIP 장비 O/S 취약성 패턴 탐지부(224)와; 특수 문자 오버플로우 공격 패턴 탐지부(225)와; 기타 다양한 공격 탐지를 위해 사용자에 의해 지정된 공격 패턴을 탐지하는 사용자 지정 공격 패턴 탐지부(226)와; 총 6개의 탐지부와 탐지부에 서 탐지한 네가티브 규칙에 일치하는 SIP 메시지를 Drop하거나, 정상적인 SIP 메시지를 SIP 서버 또는 단말로 전달하는 1개의 네가티브 규칙 기반 패킷 필티링부(227); 로 구성된다. In the apparatus for detecting a SIP variant control message attack as shown in FIG. 4, the negative rule-based detection block detects a SIP-based web attack type pattern that detects a SIP-based web attack type pattern such as SQL Injection and a Cross Site Script attack. A part 221; A malicious code attack pattern detector 222; A format string attack pattern detector 223; VoIP equipment O / S vulnerability pattern detection unit 224; A special character overflow attack pattern detector 225; A custom attack pattern detector 226 for detecting an attack pattern designated by a user for detecting various other attacks; A total of six detection units and one negative rule-based packet filtering unit 227 for dropping SIP messages matching the negative rules detected by the detection unit or delivering normal SIP messages to the SIP server or the terminal; It consists of.

도 5는 본 발명의 일실시예에 따른 SIP 변종 제어 메시지 공격을 탐지하는 방법에서, SIP 변종 제어 메시지 공격 탐지 모듈을 통해 탐지하는 과정을 나타내는 흐름도이다. 5 is a flowchart illustrating a process of detecting through a SIP variant control message attack detection module in a method for detecting a SIP variant control message attack according to an embodiment of the present invention.

도 5에 도시한 바와 같이, SIP 변종 제어 메시지 공격을 탐지하는 방법에서, SIP 변종 제어 메시지 공격 탐지 모듈을 통해 탐지하는 흐름을 살펴보면 다음과 같다.As shown in FIG. 5, in the method of detecting a SIP variant control message attack, a flow of detection through the SIP variant control message attack detection module is as follows.

먼저, SIP 변종 제어 메시지 공격 탐지 모듈을 통해 탐지하는 과정은 SIP 제어 메시지 헤더 파서 모듈(100)로부터 First Line 및 SIP 헤더 정보를 포지티브 규칙 기반 검사 블록(210)에서 수신 받아 SIP 패킷이 포지티브 허용 규칙에 매치되는 경우, 네가티브 탐지 규칙의 매치 확인을 위해 네가티브 규칙 기반 탐지 블록(220)으로 전송하고, SIP 패킷이 포지티브 허용 규칙에 매치되지 않는 경우, 패킷을 Drop한다. 이후 상기 포지티브 규칙 기반 검사 블록(210)에서 체크하여 SIP 패킷이 포지티브 허용 규칙에 매치되는 정보와 SIP 제어 메시지 헤더 파서 모듈로부터 SDP 정보를 네가티브 규칙 기반 탐지 블록(220)에서 수신 받아 SIP 패킷이 네가티브 탐지 규칙에 매치되는 경우, 패킷을 Drop하고, SIP 패킷이 네가티브 탐지 규칙에 매치되지 않는 경우, 정상 SIP 제어 메시지를 전송한다. 여기서 SIP 네가티브 규칙 기반의 SIP 변종 제어 메시지 탐지는 변종 SIP 제어 메시지, SIP Cross Site Script, SIP SQL Injection, 악성 코드 삽입, Format String, 특수 문자 오버플로우, VoIP 장비 O/S 취약성을 악용한 공격의 탐지를 포함하는 것이다. First, the process of detecting the SIP variant control message attack detection module receives the first line and the SIP header information from the SIP control message header parser module 100 in the positive rule-based inspection block 210 and the SIP packet is applied to the positive allow rule. If there is a match, it is sent to the negative rule based detection block 220 to match the negative detection rule, and if the SIP packet does not match the positive allow rule, drop the packet. Thereafter, the positive rule-based check block 210 checks the SIP packet to match the positive allow rule and the SDP information from the SIP control message header parser module is received in the negative rule-based detection block 220 to detect the SIP packet negatively. If it matches the rule, drop the packet, and if the SIP packet does not match the negative detection rule, send a normal SIP control message. Here, SIP negative rule-based SIP variant control message detection detects attacks that exploit variant SIP control message, SIP Cross Site Script, SIP SQL Injection, malware insertion, Format String, special character overflow, VoIP equipment O / S vulnerability. It will include.

본 발명은 상기 실시예에 한정되지 않고, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 다양하게 수정 및 변경 실시할 수 있음은 이 기술 분야에서 통상의 지식을 가진 자라면 누구나 이해할 수 있을 것이다. It will be appreciated by those skilled in the art that the present invention is not limited to the above embodiments, and that various modifications and changes can be made without departing from the spirit of the present invention.

도 1은 본 발명의 일실시예에 따른 SIP 제어 메시지 파서 모듈을 설명하기위한 SIP 제어 메시지 구조를 나타낸 도면.1 is a diagram illustrating a SIP control message structure for explaining a SIP control message parser module according to an embodiment of the present invention.

도 2는 본 발명의 일실시예에 따른 SIP 변종 제어 메시지 공격을 탐지하는 장치를 설명하기 위한 구성을 나타낸 도면.2 is a diagram showing a configuration for explaining an apparatus for detecting a SIP variant control message attack according to an embodiment of the present invention.

도 3은 본 발명의 일실시예에 따른 SIP 변종 제어 메시지 공격을 탐지하는 장치를 구성하는 포지티브 규칙 기반 검사 블록을 설명하기 위해 나타낸 도면.FIG. 3 is a diagram illustrating a positive rule based inspection block constituting an apparatus for detecting a SIP variant control message attack according to an embodiment of the present invention. FIG.

도 4는 본 발명의 일실시예에 따른 SIP 변종 제어 메시지 공격을 탐지하는 장치를 구성하는 네가티브 규칙 기반 검사 블록을 설명하기 위해 나타낸 도면.4 is a diagram illustrating a negative rule based inspection block constituting an apparatus for detecting a SIP variant control message attack according to an embodiment of the present invention.

도 5는 본 발명의 일실시예에 따른 SIP 변종 제어 메시지 공격을 탐지하는 방법에서, SIP 변종 제어 메시지 공격 탐지 모듈을 통해 탐지하는 과정을 나타내는 흐름도.5 is a flowchart illustrating a process of detecting through a SIP variant control message attack detection module in a method for detecting a SIP variant control message attack according to an embodiment of the present invention.

<도면의 주요부분에 대한 부호설명><Code Description of Main Parts of Drawing>

100: SIP 제어 메시지 헤더 파서 모듈100: SIP control message header parser module

200: SIP 변종 제어 메시지 공격 탐지 모듈200: SIP variant control message attack detection module

300: 세션 상태 정보 테이블 210: 포지티브 규칙 기반 검사블록300: session state information table 210: positive rule-based check block

211: SIP 스트링 오버플로우 검사부 212: 비정상 사용자 주소(URI) 검사부211: SIP string overflow checker 212: Unusual user address (URI) checker

213: SIP 메시지 허용 문자열 검사부 214: SIP Integer 범위 검사부213: SIP message allowed string checker 214: SIP Integer range checker

215: SIP Version 검사부 216: SIP Content-type 검사부215: SIP Version Inspector 216: SIP Content-type Inspector

217: SIP 필수 헤더 필드 유무 및 반복횟수 검사부217: SIP mandatory header field presence and repeat count check unit

218: 사용자 지정 포지티브 규칙 검사부 219: 포지티브 규칙 위반 필터링부218: Custom positive rule checker 219: Positive rule violation filter

220: 네가티브 규칙 기반 탐지블록 221: SIP기반 웹 공격 유형 패턴 탐지부 220: negative rule-based detection block 221: SIP-based web attack type pattern detection unit

222: 악성 코드 공격 패턴 탐지부 223: 포맷 스트링 공격 패턴 탐지부222: malware attack pattern detection unit 223: format string attack pattern detection unit

224: VoIP 장비 O/S 취약성 패턴 탐지부224: VoIP equipment O / S vulnerability pattern detection unit

225: 특수 문자 오버플로우 공격 패턴 탐지부225: Special character overflow attack pattern detector

226: 사용자 지정 공격 패턴 탐지부226: Custom attack pattern detector

227: 네가티브 규칙 기반 패킷 필티링부227: negative rule-based packet filling unit

Claims (6)

SIP 변종 제어 메시지 공격을 탐지하는 장치에 있어서,A device for detecting a SIP variant control message attack, SIP 제어 메시지를 표준 규격에 정의된 헤더 및 서브 필드별로 파싱하는 기능과, RFC 3261 형식에 위배되는 메시지는 Drop시키기 위해 First Line, SIP Header, SIP Body 유무, SIP Header 필수 필드 유무, SIP Header 필드 구분자, SIP Header name과 value 형식을 체크하는 기능과, 트랜잭션 별로 세션 상태 정보를 세션 상태 정보 테이블에 저장하는 기능과, SIP 헤더와 SIP Body(SDP)에 대해 name과 value로 파싱하여 SIP 변종 제어 메시지 탐지 모듈로 전송하는 기능을 갖는 SIP 제어 메시지 헤더 파서모듈과; 상기 SIP 제어 메시지 헤더 파서모듈로부터 파싱한 정보 중에서 SIP 변종 제어 메시지를 탐지하는 SIP 변종 제어 메시지 공격 탐지 모듈과; SIP 세션 상태 정보를 저장하는 SIP 세션 상태 정보 테이블; 을 포함함을 특징으로 하는 SIP 변종 제어 메시지 공격을 탐지하는 장치.Parsing SIP control messages by header and subfields defined in the standard, and first line, SIP header, SIP body, SIP header required field, SIP header field delimiter in order to drop the message that violates RFC 3261 format. SIP header name and value format check, session state information per transaction in session state information table, SIP header and SIP Body (SDP) parsing by name and value to detect SIP variant control message A SIP control message header parser module having a function of transmitting to a module; A SIP variant control message attack detection module for detecting a SIP variant control message from information parsed from the SIP control message header parser module; A SIP session state information table for storing SIP session state information; Apparatus for detecting a SIP variant control message attack comprising a. 제 1항에 있어서,The method of claim 1, 상기 SIP 제어 메시지 헤더 파서 모듈은 SIP First Line, SIP 헤더, SDP 메시지 순으로 파싱하여 구조체화 하여 세션 상태 정보 테이블에 저장하고, RFC 3261 형식에 위배되는 메시지는 Drop시키는 SIP 메시지 파서부와; 상기 SIP 메시지 파서부에서 파싱된 SIP 메시지의 트랜잭션 정보와 주요 헤더 값을 세션 상태 정보 테이블에 저장하는 세션 상태 정보 테이블; 을 포함함을 특징으로 하는 SIP 변종 제어 메시지 공격을 탐지하는 장치.The SIP control message header parser module parses and constructs a SIP First Line, a SIP header, and an SDP message in a session state information table, and drops a message that violates the RFC 3261 format; A session state information table for storing transaction information and main header values of the SIP message parsed by the SIP message parser in a session state information table; Apparatus for detecting a SIP variant control message attack comprising a. 제 1항에 있어서,The method of claim 1, 상기 SIP 변종 제어 메시지 공격 탐지 모듈은 SIP 표준 프로토콜 규격에 맞는 정상적인 SIP 제어 메시지만을 허용하기 위해 메시지 전체 길이, 각 헤더별 최고 길이, 사용 가능한 문자열 등을 체크하는 포지티브 규칙 기반 검사 블록과; SIP 변종 제어 메시지 공격 시그니처 기반으로 알려진 공격만을 탐지하기 위해 보안 관리자에 의해 정의된 SIP 공격 시그니처를 기반으로 메시지의 입력 값을 검증하는 네가티브 규칙 기반 탐지 블록; 를 포함함을 특징으로 하는 SIP 변종 제어 메시지 공격을 탐지하는 장치.The SIP variant control message attack detection module includes: a positive rule-based check block for checking the total length of the message, the maximum length of each header, the available string, etc. to allow only normal SIP control messages conforming to the SIP standard protocol standard; A negative rule based detection block for verifying an input value of a message based on a SIP attack signature defined by a security manager to detect only an attack known as a SIP variant control message attack signature based; Device for detecting a SIP variant control message attack, characterized in that it comprises a. 제 3항에 있어서,The method of claim 3, wherein 상기 포지티브 규칙 기반 검사 블록은 SIP 헤더 필드의 value와 parameter value의 길이를 체크하고, SIP 헤더와 parameter의 반복 횟수를 체크하여 오버플로우 공격을 탐지하는 SIP 스트링 오버플로우 검사부와; Request URI, From, To, Via의 사용자 주소에 대해 형식 및 길이를 체크하는 비정상 사용자 주소 검사부와; SIP 헤더 필드별로 표준 RFC에 정의된 문자열 이외의 문자열이 존재하는지 체크하는 SIP 메시지 허용 문자열 검사부와; via 필드 port, max-forward 필드, content_length, status code 등의 값이 표준에 정의된 범위의 값을 가지는지 체크하는 SIP Integer 범위 검사부와; SIP 메시지의 Version 정보가 표준 RFC에 정의된 Version 정보와 일치하는지 체크하는 SIP Version 검사부와; SIP 메시지의 Content-type 정보가 표준 RFC에 정의된 Content-type 정보와 일치하는지 체크하는 SIP Content-type 검사부와; Request 메시지의 메소드와 Response 메시지의 Status Code에 따라 필수 헤더 필드 존재 유무 및 반복횟수 체크하는 SIP 필수 헤더 필드 유무 및 반복횟수 검사부와; SIP 헤더 필드와 parameter 필드의 value 값이 사용자가 지정한 규칙과 일치하는지 체크하는 사용자 지정 포지티브 규칙 검사부와; 포지티브 규칙 기반 블록의 8개 검사부에서 체크한 포지티브 규칙에 위배되는 SIP 메시지를 Drop하거나, 정상적인 SIP 메시지를 네가티브 규칙기반 탐지 블록으로 전달하는 포지티브 규칙 위반 필터링부; 로 구성됨을 특징으로 하는 SIP 변종 제어 메시지 공격을 탐지하는 장치.The positive rule-based check block includes: a SIP string overflow checker that checks the length of a value and a parameter value of a SIP header field and detects an overflow attack by checking the number of repetitions of the SIP header and a parameter; An abnormal user address checker that checks a format and a length of user addresses of Request URI, From, To, and Via; A SIP message permission string checker which checks whether a string other than the string defined in the standard RFC exists for each SIP header field; a SIP Integer range checker for checking whether a value of a via field port, a max-forward field, a content_length, a status code, etc. has a range of values defined in the standard; A SIP Version checker which checks whether the Version information of the SIP message matches the Version information defined in the standard RFC; A SIP Content-type checker which checks whether the Content-type information of the SIP message matches the Content-type information defined in the standard RFC; A SIP mandatory header field presence and repetition number checker which checks whether a required header field exists and repeats according to a method of a request message and a status code of a response message; A user-defined positive rule checker which checks whether the value of the SIP header field and the parameter field matches the rule specified by the user; A positive rule violation filtering unit for dropping SIP messages that violate the positive rules checked by eight inspection units of the positive rule based block, or delivering normal SIP messages to the negative rule based detection block; Device for detecting a SIP variant control message attack, characterized in that consisting of. 제 3항에 있어서,The method of claim 3, wherein 상기 네가티브 규칙 기반 탐지 블록은 SQL Injection, Cross Site Script 공격과 같은 SIP기반 웹 공격 유형 패턴을 탐지하는 SIP기반 웹 공격 유형 패턴 탐지부와; 악성 코드 공격 패턴 탐지부와; 포맷 스트링 공격 패턴 탐지부와; VoIP 장비 O/S 취약성 패턴 탐지부와; 특수 문자 오버플로우 공격 패턴 탐지부와; 기타 다양한 공격 탐지를 위해 사용자에 의해 지정된 공격 패턴을 탐지하는 사용자 지정 공격 패턴 탐지부와; 상기 6개의 탐지부에서 탐지한 네가티브 규칙에 일치하는 SIP 메시지를 Drop하거나, 정상적인 SIP 메시지를 SIP 서버 또는 단말로 전달하는 1개의 네가티브 규칙 기반 패킷 필티링부; 로 구성됨을 특징으로 하는 SIP 변종 제어 메시지 공격을 탐지하는 장치.The negative rule-based detection block includes a SIP-based web attack type pattern detection unit for detecting a SIP-based web attack type pattern such as SQL Injection and Cross Site Script attack; A malicious code attack pattern detector; A format string attack pattern detector; VoIP equipment O / S vulnerability pattern detection unit; A special character overflow attack pattern detector; A user-specified attack pattern detector for detecting an attack pattern designated by a user for detecting various other attacks; One negative rule-based packet filling unit for dropping SIP messages matching the negative rules detected by the six detection units or delivering normal SIP messages to a SIP server or a terminal; Device for detecting a SIP variant control message attack, characterized in that consisting of. SIP 변종 제어 메시지 공격을 탐지하는 방법에 있어서, A method for detecting a SIP variant control message attack, SIP 변종 제어 메시지 공격 탐지 모듈을 통해 탐지하는 과정은 SIP 제어 메시지 헤더 파서 모듈로부터 정보를 포지티브 규칙 기반 체크부에서 수신 받아 SIP 패킷이 포지티브 허용 규칙에 매치되는 경우, 네가티브 탐지 규칙의 매치 확인을 위해 네가티브 규칙 기반 체크부로 전송하고, SIP 패킷이 포지티브 허용 규칙에 매치되지 않는 경우, 패킷을 Drop하는 단계와; The detection process through the SIP variant control message attack detection module receives information from the SIP control message header parser module at the positive rule-based checker, and if the SIP packet matches the positive allow rule, the negative to confirm the match of the negative detection rule. Transmitting to the rule-based check unit and dropping the packet if the SIP packet does not match the positive permission rule; 상기 포지티브 규칙 기반 체크부에서 체크하여 SIP 패킷이 포지티브 허용 규 칙에 매치되는 정보를 네가티브 규칙 기반 체크부에서 수신 받아 SIP 패킷이 네가티브 탐지 규칙에 매치되는 경우, 패킷을 Drop하고, SIP 패킷이 네가티브 탐지 규칙에 매치되지 않는 경우, 정상 SIP 제어메시지를 전송하는 단계; 를 포함함을 특징으로 하는 SIP 변종 제어 메시지 공격을 탐지하는 방법. If the SIP rule receives negative information based on the negative rule based checker by checking the positive rule-based checker, and the SIP packet matches the negative detection rule, the packet is dropped and the SIP packet is negatively detected. If it does not match a rule, sending a normal SIP control message; SIP variant control message attack detection method comprising the.
KR1020080132239A 2008-12-23 2008-12-23 Detection apparatus for attack of malformed sip message and method thereof KR20100073535A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080132239A KR20100073535A (en) 2008-12-23 2008-12-23 Detection apparatus for attack of malformed sip message and method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080132239A KR20100073535A (en) 2008-12-23 2008-12-23 Detection apparatus for attack of malformed sip message and method thereof

Publications (1)

Publication Number Publication Date
KR20100073535A true KR20100073535A (en) 2010-07-01

Family

ID=42636479

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080132239A KR20100073535A (en) 2008-12-23 2008-12-23 Detection apparatus for attack of malformed sip message and method thereof

Country Status (1)

Country Link
KR (1) KR20100073535A (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013065887A1 (en) * 2011-10-31 2013-05-10 한국인터넷진흥원 Security system for mobile communication network
KR101491694B1 (en) * 2013-12-30 2015-02-11 주식회사 시큐아이 Security proxy and method for processing application protocol thereof
KR102514797B1 (en) * 2021-10-07 2023-03-29 한국과학기술원 Security analysis system and method based on negative testing for protocol implementation of lte device

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013065887A1 (en) * 2011-10-31 2013-05-10 한국인터넷진흥원 Security system for mobile communication network
KR101491694B1 (en) * 2013-12-30 2015-02-11 주식회사 시큐아이 Security proxy and method for processing application protocol thereof
KR102514797B1 (en) * 2021-10-07 2023-03-29 한국과학기술원 Security analysis system and method based on negative testing for protocol implementation of lte device

Similar Documents

Publication Publication Date Title
Ehlert et al. Survey of network security systems to counter SIP-based denial-of-service attacks
Sengar et al. VoIP intrusion detection through interacting protocol state machines
Geneiatakis et al. A framework for protecting a SIP-based infrastructure against malformed message attacks
EP1533977B1 (en) Detection of denial of service attacks against SIP (session initiation protocol) elements
Geneiatakis et al. Utilizing bloom filters for detecting flooding attacks against SIP based services
US20090103524A1 (en) System and method to precisely learn and abstract the positive flow behavior of a unified communication (uc) application and endpoints
Seo et al. SIPAD: SIP–VoIP anomaly detection using a stateful rule tree
Niccolini et al. SIP intrusion detection and prevention: recommendations and prototype implementation
Voznak et al. DoS attacks targeting SIP server and improvements of robustness
Ormazabal et al. Secure sip: A scalable prevention mechanism for dos attacks on sip based voip systems
Yan et al. Incorporating active fingerprinting into spit prevention systems
US20080285468A1 (en) Method and computer-readable medium for detecting abnormal packet in VoIP
Geneiatakis et al. A framework for detecting malformed messages in SIP networks
KR20100073535A (en) Detection apparatus for attack of malformed sip message and method thereof
US7764697B2 (en) Method for detecting and handling rogue packets in RTP protocol streams
Tas et al. Novel session initiation protocol-based distributed denial-of-service attacks and effective defense strategies
KR101011221B1 (en) Detection and block system for hacking attack of internet telephone using the SIP-based and method thereof
Ehlert et al. Intrusion detection system for denial-of-service flooding attacks in SIP communication networks
Geneiatakis et al. An ontology-based policy for deploying secure SIP-based VoIP services
Abdelnur et al. VoIP security assessment: methods and tools
Sher et al. Security threats and solutions for application server of IP multimedia subsystem (IMS-AS)
Geneiatakis et al. Novel protecting mechanism for SIP-based infrastructure against malformed message attacks: Performance evaluation study
Asgharian et al. Detecting denial of service attacks on sip based services and proposing solutions
Wu et al. Intrusion detection in voice over IP environments
Seo et al. Detecting more SIP attacks on VoIP services by combining rule matching and state transition models

Legal Events

Date Code Title Description
A201 Request for examination
N231 Notification of change of applicant
E902 Notification of reason for refusal
E601 Decision to refuse application