KR20100120823A - 플로우 데이터를 이용한 VoIP 응용 이상 트래픽 탐지 방법 - Google Patents
플로우 데이터를 이용한 VoIP 응용 이상 트래픽 탐지 방법 Download PDFInfo
- Publication number
- KR20100120823A KR20100120823A KR1020090039656A KR20090039656A KR20100120823A KR 20100120823 A KR20100120823 A KR 20100120823A KR 1020090039656 A KR1020090039656 A KR 1020090039656A KR 20090039656 A KR20090039656 A KR 20090039656A KR 20100120823 A KR20100120823 A KR 20100120823A
- Authority
- KR
- South Korea
- Prior art keywords
- traffic
- voip
- rtp
- sip
- flow
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1076—Screening of IP real time communications, e.g. spam over Internet telephony [SPIT]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1101—Session protocols
- H04L65/1104—Session initiation protocol [SIP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/60—Network streaming of media packets
- H04L65/65—Network streaming protocols, e.g. real-time transport protocol [RTP] or real-time control protocol [RTCP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
- H04W24/08—Testing, supervising or monitoring using real traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Multimedia (AREA)
- Telephonic Communication Services (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명은 네트워크상의 트래픽 모니터링을 통해 SIP/RTP를 이용하는 VoIP의 응용 이상 트래픽을 탐지하는 방법 및 장치에 관한 것으로, 보다 구체적으로 (A) 전송되는 VoIP 플로우의 IP 패킷을 라우터 또는 무선 라우터에서 캡쳐하여 SIP 메시지와 RTP 트래픽을 분류하는 단계; (B) 분류된 SIP 메시지와 RTP 트래픽의 헤더 정보를 추출하는 단계; (C) 추출된 정보를 데이터베이스에 저장하는 단계; 및 (D) 추출된 정보와 데이터베이스에 저장된 정보로부터 SIP 이상 트래픽과 RTP 이상 트래픽의 발생을 판정하는 단계;를 포함하는 VoIP 응용 이상 트래픽의 탐지 방법 및 이를 위한 장치에 관한 것이다.
본 발명에 의하면 네트워크 상에서 VoIP 트래픽의 관찰을 통해 VoIP 응용 이상 트래픽 탐지가 가능하므로 보다 효율적인 인터넷 텔레포니 서비스의 제공이 가능하며 이상 트래픽의 사전 차단에 유용할 것으로 기대된다.
VoIP, 이상 트래픽, 모니터링, 플로우, 헤더 정보
Description
본 발명은 네트워크상의 트래픽 모니터링을 통해 SIP/RTP를 이용하는 VoIP의 응용 이상 트래픽을 탐지하는 방법에 관한 것이다.
VoIP(Voice over internet protocol) 기술이라 함은 인터넷 프로토콜(IP)을 이용하는 사용자 간에 음성 트래픽의 전송을 통하여 전화 서비스를 할 수 있는 것을 지칭한다. 즉, 기존 공중교환전화망인 PSTN(public switched telephone network)망을 통해 이루어졌던 음성데이터의 전송을 디지털 형태로 인터넷 상에서 전송하는 것이다. 지난 1995년 보컬텍이 인터넷폰을 상용화한 이후 주목받기 시작한 VoIP기술은 국제전화 사업자들이 통신요금인하를 위해 경쟁적으로 도입하면서 보편화되고 있다. 국내에서는 새롬기술이 1999년 1월 5일 국내 PC사용자들을 대상으로 인터넷무료전화 다이얼패드 서비스를 개시한 이후 인터넷폰 이용자가 기하급수적으로 증가하고 있다. 국내 VoIP 서비스 시장은 2009년까지 연평균 성장률 54% 를 기록해 2009년에는 9689억원 규모를 형성할 것으로 전망된다.
VoIP 서비스는 쌍방간의 접속을 통한 미디어 서비스이므로 연결을 맺기 위한 규약(프로토콜)이 필요하다. 또한 VoIP 서비스는 인터넷뿐만 아니라 사설 IP 기반망, 공중 전화망(PSTN), 또는 이들의 복합망에서도 연동되어야 하기 때문에 기술 및 프로토콜의 표준화가 중요하다. 가장 널리 사용하고 있는 연결 프로토콜의 표준은 ITU-T(Internation Telecommunication)에서 개발한 H.323 와 IETF(Internation Engeneering Task Force)에서 개발하는 SIP(Session Initination Protocol)를 들 수 있다. 이 중, SIP는 1999년에 IETF의 공식 표준으로 채택되면서 현재 VoIP 전화 호출을 위한 신호 메세지를 전달하는 프로토콜로 널리 사용되고 있으며 차세대 VoIP 신호 방식으로 각광받고 있다. SIP는 H.323보다 연결을 맺는 과정이 간단하고 HTTP처럼 패킷의 헤더정보가 일반 텍스트로 되어 있어 쉽게 인터넷 환경에 적용할 수 있으며, 연결 부하가 적다는 이점이 있다.
RTP(Real-time Transport Protocol)는 인터넷에서 음성 또는 동영상 등의 스트리밍 트래픽을 전송할 수 있는 응용 계층 프로토콜이다. 즉, SIP는 연결의 맺고 끊음을 담당하는 반면 RTP는 음성과 영상 등의 멀티미디어 데이터의 전송을 담당한다. RTP는 신뢰성은 없으나 빠르게 데이터를 전달할 수 있는 UDP라는 수송 프로토콜 위에서 실행되며 실시간 응용에 필수적인 시간 정보 및 매체의 동기화 기능을 제공한다.
이와 같이 VoIP 서비스는 SIP와 RTP가 역할을 나누어 맡고 있기 때문에 VoIP 트래픽은 SIP 메시지와 RTP 트래픽을 포함한 트래픽을 지칭하며, VoIP 응용 이상 트래픽 역시 SIP 기반의 이상 트래픽과 RTP 기반의 이상 트래픽으로 나눌 수 있다. SIP 이상 트래픽은 연결과 관련된 이상 트래픽으로서, 사용자가 전화를 걸 때 이 전화에 대하여 강제로 연결을 취소시키는 CANCEL DoS(Denial of Service) 이상 트래픽과 사용자간 통화 중 하나 또는 양측 사용자의 통화를 강제로 종료시키는 BYE DoS 이상 트래픽을 들 수 있다. 이러한 SIP 이상 트래픽은 하나의 패킷만으로 사용자 간의 VoIP 서비스를 무력화시킬 수 있는 폐해가 있다. RTP 이상 트래픽은 연결은 정상적으로 이루어지지만, 실질적인 통화에 문제점이 있는 것으로 보통 유효하지 않은 RTP 패킷을 다량으로 보냄으로써 음성 통화 품질을 저하시키거나 임의의 데이터 삽입으로 이상한 소리를 재생하게 하는 RTP 플러딩 공격에 의한 이상 트래픽이다. 또한 최근의 VoIP 서비스는 무선 인터넷 환경에서도 지원을 하기 때문에 무선 환경에서 공격자가 정상 VoIP 트래픽을 스니핑하여 이상 트래픽의 생성이 가능하므로 이에 대한 탐지 방법이 필요하다. 보다 원활한 VoIP를 이용한 인터넷 텔레포니 서비스를 제공하기 위해서는 VoIP 이상 트래픽을 유발하는 트래픽을 효율적으로 탐지하는 것이 필요하다.
현재 사용되고 있는 이상 트래픽 탐지 방법은 일반 네트워크 상에서 DoS 웜, 바이러스 등의 이상 트래픽 탐지 기능만을 제공하며 VoIP 서비스를 대상으로 한 이상 트래픽 탐지에 적합하도록 구성되어 있지 않기 때문에 종래 기술에 의한 이상 트래픽 탐지 방법만으로는 VoIP 환경에서 발생하는 이상 트래픽을 효과적으로 탐지하기 어렵다. 따라서, VoIP 서비스에서 이상 트래픽 탐지에 대한 방법의 개발이 요구된다.
이러한 문제점을 해결하기 위한 본 발명이 이루고자 하는 기술적 과제는 일반 네트워크 환경과는 특이한 VoIP 서비스 환경에서 VoIP 응용 이상 트래픽을 효과적으로 탐지할 수 있는 방법 및 그 장치를 제공하는 것이다.
본 발명은 또한 최근 급증하고 있는 무선 인터넷을 이용한 VoIP 서비스 환경에서 일어날 수 있는 응용 이상 트래픽에 대한 탐지 방법을 제공하는 것이다.
상기 기술적 과제를 달성하기 위한 본 발명은 (A) 라우터상에서 VoIP플로우의 IP 패킷으로부터 SIP 메시지와 RTP 트래픽을 분류하는 단계; (B) 분류된 SIP 메시지와 RTP 트래픽의 헤더 정보를 추출하는 단계; (C) 상기 (B) 단계에서 추출된 정보를 데이터베이스에 저장하는 단계; 및 (D) 상기 (B) 단계에서 추출된 정보와 데이터베이스에 저장된 정보로부터 a) VoIP 플로우의 SIP 메시지가 BYE 메시지인 경우, 상기 데이터베이스에서 상기 BYE 메시지와 같은 CALL-ID와 4-tuple 정보를 갖는 INVITE 메시지와 OK 메시지의 미디어 세션 정보로부터 BYE 메시지 발생 후 1~5초 사이에 음성 트래픽이 발생하면 BYE DoS 이상 트래픽으로 판정하며, b) RTP 트래픽 대해 ① 동일 4-tuple을 갖는 RTP 트래픽을 검색하여 SSRC가 바뀐 적이 있거나, ② 플로우 내의 최대, 최소, 플로우의 처음 및 마지막 순서번호를 비교하여, i) 처음 순서번호 > 마지막 순서번호이고, 최소 순서번호 < 처음 순서번호 이거나 최대 순서번호 > 마지막 순서번호 또는 ii) 처음 순서번호 < 마지막 순서번호이고, 최소 순서번호 > 마지막 순서번호 이거나 최대 순서번호 < 처음 순서번호이면 플러딩 이상 트래픽이 발생한 것으로 판정하는 것에 의해 이상 트래픽과 RTP 이상 트래픽의 발생을 판정하는 단계;를 포함하는 VoIP 응용 이상 트래픽의 탐지 방법에 관한 것이다.
상기 VoIP 서비스가 무선 인터넷 환경에서 이루어지는 경우 (B) 단계에서 802.11의 헤더정보를 추가로 추출하여 스니핑에 의한 CANCEL DoS 이상 트래픽의 발생을 추가로 탐지한다.
또한, 상기 (D) 단계에서 이상 트래픽으로 판정된 경우 해당 플로우를 시각화하는 단계를 추가적으로 포함하여 VoIP 이상 트래픽을 탐지할 수 있다.
본 발명은 또한 상기 방법에 의해 VoIP 응용 이상 트래픽을 탐지하기 위한 장치로서, (A) 단말기와 프록시 서버 사이의 경로에 존재하는 라우터 또는 무선라우터에서 VoIP 트래픽에 대한 모니터링을 실시하며, (a) 네트워크의 IP 패킷을 캡쳐하여 VoIP 트래픽의 SIP 메시지와 RTP 트래픽을 분류하는 SIP/RTP 트래픽 탐지 부; (b) 분류된 SIP 메시지, RTP 트래픽과 802.11의 헤더 정보를 추출하는 SIP/RTP 트래픽 분석부; (c) 분석된 헤더정보로부터 SIP/RTP 플로우 테이블을 생성하는 SIP/RTP 플로우 생성부; 및 (d) 생성된 SIP/RTP 플로우 테이블로부터 IPFIX 플로우를 생성하고 전송하는 IPFIX 플로우 전송부;로 이루어진 VoIP 트래픽 탐지 및 분석 장치;와 (B) (a) 상기 VoIP 트래픽 탐지 및 분석 장치로부터 전송된 IPFIX 플로우를 수신하는 IPFIX 플로우 수신부; (b) 수신된 IPFIX 플로우를 분석하여 SIP/RTP 트래픽의 헤더정보를 저장하는 데이터베이스; 및 상기 SIP/RTP 트래픽 정보와 데이터베이스에 저장되어 있는 정보를 비교하여 VoIP 응용 이상 트래픽 여부를 판단하는 VoIP 응용 이상 트래픽 탐지부;로 구성되는 VoIP 응용 이상 트래픽 탐지 서버로 이루어지는 것을 특징으로 하는 VoIP 응용 이상 트래픽 탐지 장치에 관한 것이다.
상기 VoIP 응용 이상 트래픽 탐지 서버는 상기 VoIP 응용 이상 트래픽 탐지부에서 이상 트래픽으로 판정된 경우 해당 플로우를 시각화하는 VoIP 응용 이상 트래픽 시각화부를 추가로 포함하여 이루어질 수 있다.
이상에서 설명한 바와 같이, 본 발명에 따르면 네트워크 상에서 VoIP 트래픽의 관찰을 통해 VoIP 응용 이상 트래픽 탐지가 가능하므로 보다 효율적인 인터넷 텔레포니 서비스의 제공이 가능하다. 또한, VoIP 서비스 제공자 뿐만 아니라 인터넷 서비스 제공자도 VoIP 응용 이상 트래픽을 탐지할 수 있어 이상 트래픽의 사전 차단에 유용할 것으로 기대된다.
이하 도면을 참조하여 본 발명을 상세하게 설명한다. 그러나, 이들은 예시적인 목적일 뿐 본 발명이 이에 한정되는 것은 아니다.
도 1은 단말(101)과 단말(102)사이 VoIP 트래픽의 흐름을 개략적으로 보여준다. 도 1을 참조하면 단말(101)과 단말(102)는 프록시 서버(100)를 통하여 서로 VoIP 트래픽을 전송한다. 이때, 단말(101)에서 전송하는 트래픽은 무선 액세스 라우터(201)과 라우터(200)을 통하여, 단말(102)에서 전송하는 트래픽은 라우터(200)을 통하여 프록시 서버(100)에 전송되는 것으로 도시하였으나 이는 예시적인 것으로 단말(101)(102)가 모두 무선라우터를 거치거나 라우터를 거쳐 데이터를 전송할 수 있음은 당연하다.
본 발명은 (A) 전송되는 VoIP 플로우의 IP 패킷을 라우터 또는 무선 라우터에서 캡쳐하여 SIP 메시지와 RTP 트래픽을 분류하는 단계; (B) 분류된 SIP 메시지와 RTP 트래픽의 헤더 정보를 추출하는 단계; (C) 추출된 정보를 데이터베이스에 저장하는 단계; 및 (D) 추출된 정보와 데이터베이스에 저장된 정보로부터 SIP 이상 트래픽과 RTP 이상 트래픽의 발생을 판정하는 단계;를 포함하는 VoIP 응용 이상 트래픽의 탐지 방법에 관한 것이다.
이 때 SIP 메시지는 출발지/목적지 포트번호를 5060을 사용하는 것으로 가정 한다. 상기 (B) 단계의 SIP 메시지의 헤더 정보는 메시지 종류, Call-ID, 음성 트래픽의 연결 정보 및 코덱 정보를 포함한다. 상기 메시지의 종류는 SIP 메시지가 어떤 역할을 하는 지에 대한 것을 나타내며 INVITE 메시지, BYE 메시지, ACK 메시지, CANCEL 메시지, REGITER 메시지 및 OPTION 메시지로 나눌 수 있다. Call-ID는 사용자가 VoIP 응용을 사용할 때 생성되는 ID이다. 또한, 음성 트래픽 연결정보는 전화 연결 요청 후 사용자간 음성 트래픽 통신을 위한 출발지/목적지의 IP 주소와 포트번호를 나타내고, 코덱 정보는 음성 트래픽 전송시 사용되는 음성 압축 방법을 나타낸다.
RTP 트래픽의 헤더로부터는 순서번호와 SSRC 정보를 추출한다. RTP 헤더의 순서번호는 RTP 패킷이 전송될 때마다 하나씩 점증적으로 증가하며, SSRC 정보는 사용자가 음성 통화를 하는 동안 그 통화에 대해 동기화를 하기 위하여 사용되는 값으로 정상적인 통화의 경우 통화가 유지되는 동안에는 바뀌지 않는다.
상기 단계 (B)에서 추출된 정보는 IETF IPFIX(IP Flow Information eXport) 표준 형태인 것이 바람직하다. IETF IPFIX는 라우터 또는 무선 액세스 라우터를 통하여 수신된 IP 패킷을 플로우로 분류하여 플로우 생성시간, 종료시간, 패킷수, 바이트수 등의 값을 유동적으로 관리하는 IP 플로우 측정 및 전송에 관한 표준이다.
또한 본 발명의 VoIP 이상 트래픽 탐지 방법에서는 (D)에서 이상 트래픽이 발생한 것으로 판정되는 경우 이를 시각화하는 단계를 추가로 포함하여 이상 트래 픽 탐지를 가능하게 하고, 더 나아가 이 트래픽에 대하여 차단을 수행할 수 있도록 하는 것이 바람직하다.
도 2 내지 도 4는 상기 (D)의 VoIP 응용 이상 트래픽을 판정하는 구체적인 방법을 설명하는 순서도이다.
먼저, 도 2는 VoIP 응용에 사용자간의 음성 통화에서 한 사용자의 통화를 강제로 종료시키는 BYE DoS 이상 트래픽을 탐지하는 것을 보여주는 도면이다. 본 도면은 음성 트래픽 연결 정보를 습득하는 부(510)와 음성 트래픽의 시간 정보 검사부(520)으로 구성되어 있다. 음성 트래픽 연결 정보를 얻는 것은 BYE 메시지와 같은 CALL-ID와 4-tuple(출발지/목적지 IP 주소와 포트번호)정보를 가지는 INVITE와 OK 메시지를 모니터링한 결과에서 음성 통화 연결 정보를 가져온다. 이 연결 정보를 이용하여 음성 트래픽의 시간 정보 검사부(520)에는 같은 연결 정보를 가지는 RTP 트래픽이 라우터에서 모니터링된 시간을 검사한다. 이때 BYE 트래픽이 발생한 후 소정 시간 뒤에도 RTP 트래픽이 모니터링될 경우 이는 의도되지 않는 BYE 트래픽이 발생한 것으로 볼 수 있으므로 BYE DoS 이상 트래픽이 발생한 것으로 판단한다. 상기 소정 시간은 서비스 상태에 따라 적절하게 응용되어야 함은 당연하지만 BYE 트래픽 전송 후 1~5초 사이에도 음성 트래픽이 탐지된다면 RTP 이상 트래픽이 발생한 것으로 판단하는 것이 바람직하다.
도 3은 VoIP 응용에서 음성 트래픽 전송시 사용되는 RTP 트래픽을 이용한 플 러딩 이상 트래픽을 탐지하는 것을 보여주는 도면이다. 본 도면은 RTP 헤더의 SSRC 값 검사부(610), RTP 헤더의 순서번호 계산부(620), 순서번호 비교부(630, 640)로 구성된다. RTP 헤더의 SSRC 검사부(610)는 모니터링된 RTP 플로우에서 SSRC의 변경 여부를 검사한다. SSRC 정보는 정상적인 통화의 경우 통화가 유지되는 동안에는 바뀌지 않으므로 모니터링된 RTP 플로우 내에서 SSRC 값이 변경된 적이 있었다면 이상 트래픽이 발생한 것이다.
한편, SSRC 값이 변경된 적이 없다고 하더라도 공격자가 SSRC 값을 임의로 정상 RTP 트래픽에서 사용되는 값과 동일하게 설정하여 사용할 가능성이 있으므로 RTP 순서번호를 이용하여 추가로 이상 트래픽 발생을 탐지할 필요가 있다. RTP 헤더의 순서번호 계산부(620)는 플로우 내의 첫 패킷의 순서번호와 마지막 패킷의 순서번호 차이를 계산한다. 순서번호의 차이가 0보다 작으면 플로우 내에서 순서번호가 65535까지 사용되고, 다시 0부터 사용된 것이므로 순서번호 차이가 0보다 클 때와는 순서번호 비교를 서로 다르게 적용해야 한다. 따라서 순서번호 비교부에서 (630)은 순서번호 차이 계산시 0보다 작을 경우에 비교하는 방법을 나타내고, (640)은 순서번호 차이 계산시 0보다 큰 경우에 비교하는 방법을 나타낸다. (630)의 비교부에서는 RTP 플로우에서 최소 순서번호가 마지막 순서번호보다 크거나 최대 순서번호가 처음 순서번호보다 작을 경우 이상 트래픽으로 탐지한다. (640)의 비교부에서는 RTP 플로우에서 최소 순서번호가 처음 순서번호보다 작거나 최대 순서번호가 마지막 순서번호보다 클 경우 이상 트래픽으로 탐지한다.
한편 무선 인터넷 환경에 의한 VoIP 서비스의 경우에는 무선 환경에서 공격자가 정상 VoIP 트래픽을 스니핑하여 이상 트래픽의 생성이 가능하기 때문에 802.11의 헤더정보를 추가로 비교할 필요가 있다. 도 4는 무선 인터넷에 의한 VoIP 서비스 환경에서 VoIP 응용에 사용자의 전화를 취소시키는 CANCEL DoS 이상 트래픽에 대하여 VoIP 트래픽을 모니터링한 결과를 이용하여 탐지하는 것을 보여주는 순서도이다. 본 도면에서 CANCEL DoS 이상 트래픽 탐지는 출발지 MAC 주소 검사부(410)와 802.11 MAC 헤더의 순서번호를 이용한 검사부(420)로 구성된다.
탐지된 SIP 메시지의 헤더 정보로부터 SIP 메시지가 CANCEL 메시지로 판명되면, 데이터베이스로부터 본 SIP 메시지와 같은 CALL-ID와 4-tuple(출발지/목적지 IP 주소와 포트번호)을 가지는 INVITE 메시지를 검색하여 CANCEL 메시지와 INVITE 메시지의 802.11 헤더 정보로부터 추출한 출발지 MAC 주소를 비교한다. 정상적인 CANCEL 메시지의 경우에는 전화를 거는 UAC(User Agent Client)가 CANCEL 메시지를 보낸 것이므로 INVITE 메시지와 CALL 메시지의 출발 MAC 주소가 일치할 것이므로, MAC 주소가 일치하지 않는다면 VoIP 응용 이상 트래픽에 의한 것으로 판단한다.
상기 MAC 주소가 일치한다고 하더라도 무선 랜 환경에서 공격자가 정상 트래픽의 출발지 MAC 주소를 그대로 복사하여(스푸핑)하여 이상 트래픽을 생성할 가능성이 있으므로, 802.11 MAC 헤더의 순서번호를 이용한 검사부(420)에서는 이 순서번호를 이용하여 추가적으로 CALL DoS 이상 트래픽 탐지를 수행한다. 보다 구체적으로 출발지 MAC 비교 검사부(410)에서 둘의 MAC 주소가 동일할 경우, CANCEL 메시지의 이전 IP 패킷의 순서번호와 비교를 통하여 순서번호의 차이가 소정의 값 이상 이면 CANCEL DoS 이상 트래픽이 발생한 것으로 간주한다. 상기 순서번호의 차이는 네트워크 환경에 따라 적절히 조절될 수 있으므로 5 정도의 값을 사용하는 것이 바람직하다. 순서번호의 차이가 5 정도의 값으로 설정한 이유는 CANCEL 패킷과 이전의 IP 패킷사이에 단말과 액세스 포인터사이에 IP 계층을 사용하지 않는 패킷이 존재하기 때문이다. 이들 패킷은 802.11 환경에서 송수신되는 패킷으로써 802.11 MAC 헤더만 존재한다.
본 발명은 또한 전술한 방법에 의한 VoIP 응용 이상 트래픽 탐지 및 모니터링을 위한 장치에 관한 것으로, 본 발명의 장치는 (A) 라우터 또는 무선 라우터에서 VoIP 트래픽을 탐지하고 그로부터 SIP 메시지와 RTP 트래픽의 헤더 정보를 추출하는 VoIP 트래픽 탐지 및 분석 장치와 (B) VoIP 트래픽 탐지 및 분석 장치로부터 얻어진 정보로부터 VoIP 응용 이상 트래픽의 발생 여부를 판정하고, 이를 시각화하는 VoIP 응용 이상 트래픽 탐지 서버로 이루어진다. 도 1은 전체적인 시스템을, 도 5와 도 6은 VoIP 트래픽 탐지 및 분석 장치와 VoIP 응용 이상 트래픽 탐지 서버를 각각 개략적으로 보여준다.
먼저 도 5의 VoIP 트래픽 탐지 및 분석장치는 단말기와 프록시 서버 사이의 경로에 존재하는 라우터 또는 무선라우터에서 VoIP 트래픽에 대한 모니터링을 실시하며, (a) 네트워크의 IP 패킷을 캡쳐하여 VoIP 트래픽의 SIP 메시지와 RTP 트래픽을 분류하는 SIP/RTP 트래픽 탐지부(210); (b) 분류된 SIP 메시지, RTP 트래픽과 802.11의 헤더 정보를 추출하는 SIP/RTP 트래픽 분석부(220); (c) 분석된 헤더정보 로부터 SIP/RTP 플로우 테이블을 생성하는 SIP/RTP 플로우 생성부(230); 및 (d) 생성된 SIP/RTP 플로우 테이블로부터 IPFIX 플로우를 생성하고 전송하는 IPFIX 플로우 전송부(240);로 이루어진다.
SIP/RTP 플로우 생성부(230)에서는 트래픽 모니터링이 되는 네트워크로 인터페이스로부터 트래픽을 수집하고, 이들 트래픽 중 SIP와 RTP 트래픽에 대한 플로우 테이블을 관리한다. 수집된 SIP/RTP 트래픽이 새로운 플로우이면 테이블을 생성하고, 기존에 저장된 플로우가 존재하면 일부 테이블의 값을 업데이트 한다. 생성부에서 사용되는 플로우 테이블은 이들 트래픽의 IP 주소, 포트번호 및 SIP와 RTP 헤더 정보등이 포함된다. 플로우 테이블에 저장된 정보는 IPFIX 플로우가 생성되기 전 일정시간 동안 유지된다. IPFIX 플로우 전송부(240)에서는 상기 일정 시간 후 플로우 테이블에 저장된 정보를 이용하여 IPFIX 플로우를 생성하며, 플로우 테이블의 정보는 삭제된다. 생성된 IPFIX 플로우는 IPFIX 플로우 전송부(240)를 통해 VoIP 응용 이상 트래픽 탐지 서버(300)로 전송된다.
도 3은 VoIP 응용 이상 트래픽 탐지 서버의 구조를 보여주는 도면으로 (a) VoIP 트래픽 탐지 및 분석 장치로부터 전송된 IPFIX 플로우를 수신하는 IPFIX 플로우 수신부(310); (b) 수신된 IPFIX 플로우를 분석하여 SIP/RTP 트래픽의 헤더정보를 저장하는 데이터베이스(320); 및 상기 SIP/RTP 트래픽 정보와 데이터베이스에 저장되어 있는 정보를 비교하여 VoIP 응용 이상 트래픽 여부를 판단하는 VoIP 응용 이상 트래픽 탐지부;로 구성되는 VoIP 응용 이상 트래픽 탐지 서버로 이루어지는 것을 특징으로 하는 VoIP 응용 이상 트래픽 탐지 장치에 관한 것이다.
상기 VoIP 응용 이상 트래픽 탐지 서버는 상기 VoIP 응용 이상 트래픽 탐지부에서 이상 트래픽으로 판정된 경우 해당 플로우를 시각화하는 VoIP 응용 이상 트래픽 시각화부를 추가로 포함하여 이루어질 수 있다.
도 1은 본 발명의 실시예에 따른 SIP/RTP를 이용하는 VoIP 응용 이상 트래픽 탐지를 위한 대략적인 도면이다.
도 2는 본 발명의 실시예에 따른 VoIP 응용에서 사용자 간의 음성 통화 중 한 사용자의 통화를 강제로 종료시키게 하는 BYE DoS 이상 트래픽 탐지 알고리즘이 적용된 흐름도이다.
도 3은 본 발명의 실시예에 따른 VoIP 응용에 사용자 간의 음성 통화 품질을 낮추는 피해를 유발하는 RTP 플러딩 이상 트래픽 탐지 알고리즘이 적용된 흐름도이다.
도 4는 본 발명의 실시예에 따른 VoIP 응용에 전화 취소 피해를 유발하는 CANCEL DoS 이상 트래픽 탐지 알고리즘이 적용된 흐름도이다.
도 5는 본 발명의 VoIP 응용 이상 트래픽 탐지 장치의 일 실시예에 의한 VoIP 트래픽 탐지 및 분석 장치를 보여주는 개략도이다.
도 6은 본 발명의 VoIP 응용 이상 트래픽 탐지 장치의 일 실시예에 의한 VoIP 응용 이상 트래픽 탐지 서버를 보여주는 개략도이다.
Claims (9)
- (A) 라우터상에서 VoIP 플로우의 IP 패킷으로부터 SIP 메시지와 RTP 트래픽을 분류하는 단계;(B) 분류된 SIP 메시지와 RTP 트래픽의 헤더 정보를 추출하는 단계;(C) 상기 (B) 단계에서 추출된 정보를 데이터베이스에 저장하는 단계; 및(D) 상기 (B) 단계에서 추출된 정보로부터a) VoIP 플로우의 SIP 메시지가 BYE 메시지인 경우,상기 데이터 베이스에서 상기 BYE 메시지와 같은 CALL-ID와 4-tuple 정보를 갖는 INVITE 메시지와 OK 메시지의 미디어 세션 정보로부터 BYE 메시지 발생 후 1~5초 사이에 음성 트래픽이 발생하면 BYE DoS 이상 트래픽으로 판정하며,b) RTP 트래픽 대해① 상기 데이터베이스에서 동일 4-tuple을 갖는 RTP 트래픽을 검색하여 SSRC가 바뀐 적이 있거나, ② 플로우 내의 최대, 최소, 플로우의 처음 및 마지막 순서번호를 비교하여, i) 처음 순서번호 > 마지막 순서번호이고, 최소 순서번호 < 처음 순서번호 이거나 최대 순서번호 > 마지막 순서번호 또는 ii) 처음 순서번호 < 마지막 순서번호이고, 최소 순서번호 > 마지막 순서번호 이거나 최대 순서번호 < 처음 순서번호이면 플러딩 이상 트래픽이 발생한 것으로 판정하는 단계;를 포함하는 VoIP 응용 이상 트래픽의 탐지 방법.
- 제 1 항에 있어서,상기 (A)단계의 라우터가 무선라우터인 경우,(B) 단계에서 802.11의 헤더 정보를 추가로 추출하고,(D) 단계에서 VoIP 플로우의 SIP 메시지가 CANCEL 메시지인 경우,① 상기 CANCEL 메시지와 같은 상기 데이터베이스에서 CALL-ID와 4-tuple 정보를 갖는 INVITE 메시지를 검색하여 MAC 주소가 서로 다르거나, ② CANCEL 메시지와 CANCEL 메시지 이전 패킷의 802.11 MAC 순서번호의 차이가 5보다 작은 경우 CANCEL DoS 이상 트래픽으로 판정하는 것을 추가로 포함하는 VoIP 응용 이상 트래픽의 탐지 방법.
- 제 1 항 또는 제 2 항에 있어서,상기 (D) 단계에서 이상 트래픽으로 판정된 경우 해당 플로우를 시각화하는 단계를 추가적으로 포함하는 VoIP 이상 트래픽의 탐지 방법.
- 제 1 항 또는 제 2 항에 있어서,상기 단계 (B)에서 추출되는 정보는 IETF IPFIX 표준 형태인 것을 특징으로 하는 VoIP 응용 이상 트래픽의 탐지 방법.
- 제 1 항 또는 제 2 항에 있어서,상기 SIP 메시지의 헤더정보는 메시지 종류, Call-ID, 음성 트래픽의 연결 정보 및 코덱 정보인 것을 특징으로하는 VoIP 응용 이상 트래픽의 탐지 방법.
- 제 1 항 또는 제 2 항에 있어서,상기 RTP 트래픽의 헤더정보는 순서번호 및 SSRC 정보인 것을 특징으로 하는 VoIP 응용 이상 트래픽의 탐지 방법.
- 제 2 항에 있어서,상기 802.11의 헤더정보는 순서번호 및 출발지와 목적지의 MAC 주소 정보인 것을 특징으로 하는 VoIP 응용 이상 트래픽의 탐지 방법.
- 제 1 항 또는 제 2 항의 방법에 의해 VoIP 응용 이상 트래픽을 탐지 및 모니터링하기 위한 장치로서,(A) 단말기와 프록시 서버 사이의 경로에 존재하는 라우터 또는 무선라우터 에서 VoIP 트래픽에 대한 모니터링을 실시하며, (a) 네트워크의 IP 패킷을 캡쳐하여 VoIP 트래픽의 SIP 메시지와 RTP 트래픽을 분류하는 SIP/RTP 트래픽 탐지부; (b) 분류된 SIP 메시지, RTP 트래픽과 802.11의 헤더 정보를 추출하는 SIP/RTP 트래픽 분석부; (c) 분석된 헤더정보로부터 SIP/RTP 플로우 테이블을 생성하는 SIP/RTP 플로우 생성부; 및 (d) 생성된 SIP/RTP 플로우 테이블로부터 IPFIX 플로우를 생성하고 전송하는 IPFIX 플로우 전송부;로 이루어진 VoIP 트래픽 탐지 및 분석 장치;와(B) (a) 상기 VoIP 트래픽 탐지 및 분석 장치로부터 전송된 IPFIX 플로우를 수신하는 IPFIX 플로우 수신부; (b) 수신된 IPFIX 플로우를 분석하여 SIP/RTP 트래픽의 헤더정보를 저장하는 데이터베이스; 및 상기 SIP/RTP 트래픽 정보와 데이터베이스에 저장되어 있는 정보를 비교하여 VoIP 응용 이상 트래픽 여부를 판단하는 VoIP 응용 이상 트래픽 탐지부;로 구성되는 VoIP 응용 이상 트래픽 탐지 서버로 이루어지는 것을 특징으로 하는 VoIP 응용 이상 트래픽 탐지 장치.
- 제 8 항에 있어서,상기 VoIP 응용 이상 트래픽 탐지 서버는 상기 VoIP 응용 이상 트래픽 탐지부에서 이상 트래픽으로 판정된 경우 해당 플로우를 시각화하는 VoIP 응용 이상 트래픽 시각화부를 추가로 포함하는 것을 특징으로 하는 VoIP 응용 이상 트래픽 탐지 장치.
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020090039656A KR20100120823A (ko) | 2009-05-07 | 2009-05-07 | 플로우 데이터를 이용한 VoIP 응용 이상 트래픽 탐지 방법 |
US12/621,210 US8218534B2 (en) | 2009-05-07 | 2009-11-18 | VoIP anomaly traffic detection method with flow-level data |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020090039656A KR20100120823A (ko) | 2009-05-07 | 2009-05-07 | 플로우 데이터를 이용한 VoIP 응용 이상 트래픽 탐지 방법 |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20100120823A true KR20100120823A (ko) | 2010-11-17 |
Family
ID=43062275
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020090039656A KR20100120823A (ko) | 2009-05-07 | 2009-05-07 | 플로우 데이터를 이용한 VoIP 응용 이상 트래픽 탐지 방법 |
Country Status (2)
Country | Link |
---|---|
US (1) | US8218534B2 (ko) |
KR (1) | KR20100120823A (ko) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101285769B1 (ko) * | 2011-12-29 | 2013-07-19 | 주식회사 시큐아이 | 세션 개시 프로토콜의 invite 스푸핑 공격을 차단하기 위한 방법 및 장치 |
KR101403731B1 (ko) * | 2009-12-08 | 2014-06-03 | 에릭슨엘지엔터프라이즈 주식회사 | Ip-pbx 시스템에서 장애 검출 방법 |
WO2016114476A1 (en) * | 2015-01-16 | 2016-07-21 | Korea Internet & Security Agency | Apparatus and method for volte session managemet in 4g mobile network |
WO2019060709A1 (en) * | 2017-09-21 | 2019-03-28 | T-Mobile Usa, Inc. | MITIGATION OF ATTACKS ON EMERGENCY TELEPHONE SERVICES |
Families Citing this family (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8654655B2 (en) * | 2009-12-17 | 2014-02-18 | Thomson Licensing | Detecting and classifying anomalies in communication networks |
US8934352B2 (en) | 2011-08-30 | 2015-01-13 | At&T Intellectual Property I, L.P. | Hierarchical anomaly localization and prioritization |
CN104067649B (zh) * | 2012-01-31 | 2018-06-05 | 慧与发展有限责任合伙企业 | 对唯一机器标识符的欺骗的确定 |
WO2015081307A1 (en) * | 2013-11-26 | 2015-06-04 | Anunta Technology Management Services Ltd. | Management of cloud-based application delivery |
GB201504612D0 (en) * | 2015-03-18 | 2015-05-06 | Inquisitive Systems Ltd | Forensic analysis |
JP5988407B1 (ja) * | 2015-05-13 | 2016-09-07 | Necプラットフォームズ株式会社 | 通信経路制御装置、通信経路制御システム、通信経路制御方法及び通信経路制御プログラム |
US10148537B2 (en) * | 2015-09-16 | 2018-12-04 | Cisco Technology, Inc. | Detecting oscillation anomalies in a mesh network using machine learning |
GB201708671D0 (en) | 2017-05-31 | 2017-07-12 | Inquisitive Systems Ltd | Forensic analysis |
CN109194697B (zh) * | 2018-11-01 | 2021-05-25 | 杭州当虹科技股份有限公司 | SIP协议在GB28181下Internet监控方法 |
CN110677327A (zh) * | 2019-10-31 | 2020-01-10 | 盛科网络(苏州)有限公司 | 一种基于芯片的rtp流量故障实时检测方法 |
US11297085B2 (en) | 2020-01-08 | 2022-04-05 | Bank Of America Corporation | Real-time validation of data transmissions based on security profiles |
US11627152B2 (en) | 2020-01-08 | 2023-04-11 | Bank Of America Corporation | Real-time classification of content in a data transmission |
US11184381B2 (en) | 2020-01-08 | 2021-11-23 | Bank Of America Corporation | Real-time validation of application data |
US11770392B2 (en) | 2020-01-08 | 2023-09-26 | Bank Of America Corporation | Method and system for data communication with anomaly detection |
CN111885059B (zh) * | 2020-07-23 | 2021-08-31 | 清华大学 | 一种工业网络流量异常检测定位的方法 |
CN114915650B (zh) * | 2022-04-22 | 2023-08-08 | 国家计算机网络与信息安全管理中心 | 基于网元信息聚合的VoIP服务观测视角的判定方法及系统 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1580957A3 (en) * | 2004-03-18 | 2009-12-16 | AT&T Corp. | Method and apparatus for rapid location of anomalies in IP traffic logs |
US7764697B2 (en) * | 2004-09-14 | 2010-07-27 | Audiocodes, Inc. | Method for detecting and handling rogue packets in RTP protocol streams |
US7568224B1 (en) * | 2004-12-06 | 2009-07-28 | Cisco Technology, Inc. | Authentication of SIP and RTP traffic |
US7995477B2 (en) * | 2007-05-08 | 2011-08-09 | Cisco Technology, Inc. | Collecting network traffic information |
US7940684B2 (en) * | 2007-08-13 | 2011-05-10 | Acterna Llc | Voice over internet protocol (VoIP) testing |
-
2009
- 2009-05-07 KR KR1020090039656A patent/KR20100120823A/ko not_active Application Discontinuation
- 2009-11-18 US US12/621,210 patent/US8218534B2/en active Active
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101403731B1 (ko) * | 2009-12-08 | 2014-06-03 | 에릭슨엘지엔터프라이즈 주식회사 | Ip-pbx 시스템에서 장애 검출 방법 |
KR101285769B1 (ko) * | 2011-12-29 | 2013-07-19 | 주식회사 시큐아이 | 세션 개시 프로토콜의 invite 스푸핑 공격을 차단하기 위한 방법 및 장치 |
WO2016114476A1 (en) * | 2015-01-16 | 2016-07-21 | Korea Internet & Security Agency | Apparatus and method for volte session managemet in 4g mobile network |
WO2019060709A1 (en) * | 2017-09-21 | 2019-03-28 | T-Mobile Usa, Inc. | MITIGATION OF ATTACKS ON EMERGENCY TELEPHONE SERVICES |
US10367946B2 (en) | 2017-09-21 | 2019-07-30 | T-Mobile Usa, Inc. | Mitigating attacks on emergency telephone services |
US10637994B2 (en) | 2017-09-21 | 2020-04-28 | T-Mobile Usa, Inc. | Mitigating attacks on emergency telephone services |
Also Published As
Publication number | Publication date |
---|---|
US8218534B2 (en) | 2012-07-10 |
US20100284288A1 (en) | 2010-11-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR20100120823A (ko) | 플로우 데이터를 이용한 VoIP 응용 이상 트래픽 탐지 방법 | |
US7719965B2 (en) | Methods and systems for coordinated monitoring of network transmission events | |
US7570743B2 (en) | Method and apparatus for surveillance of voice over internet protocol communications | |
US9544208B2 (en) | VoIP quality measurement enhancements using the internet control message protocol | |
CA2796431C (en) | Systems and methods of improving the quality of voip communications | |
US8867385B2 (en) | Tunneling reports for real-time Internet Protocol media streams | |
US7310334B1 (en) | Method and apparatus for media stream monitoring | |
US20100154057A1 (en) | Sip intrusion detection and response architecture for protecting sip-based services | |
Birke et al. | Experiences of VoIP traffic monitoring in a commercial ISP | |
US20090138959A1 (en) | DEVICE, SYSTEM AND METHOD FOR DROPPING ATTACK MULTIMEDIA PACKET IN THE VoIP SERVICE | |
KR100936236B1 (ko) | SIP/RTP를 이용하는 VoIP 음성 트래픽의 서비스품질 메트릭 모니터링 장치 및 방법 | |
KR20100067387A (ko) | 넷플로우 통계정보를 이용한 비정상 에스아이피 트래픽 폭주공격 탐지 및 모니터링시스템과 그 방법 | |
US8259723B2 (en) | Device and method for generating statistical information for VoIP traffic analysis and abnormal VoIP detection | |
Ribadeneira | An analysis of the MOS under conditions of delay, jitter and packet loss and an analysis of the impact of introducing piggybacking and reed solomon FEC for VoIP | |
CN102739458B (zh) | 一种针对ip多媒体子系统的rtp威胁的检测方法和系统 | |
JP4471703B2 (ja) | 通信品質分析システム、分析装置、通信品質分析方法およびコンピュータプログラム | |
Kim et al. | End-to-end qos monitoring tool development and performance analysis for NGN | |
Mehić et al. | Hiding data in SIP session | |
JP3872311B2 (ja) | ネットワーク品質管理方法、その装置、そのプログラム及びそのプログラムを記録した媒体 | |
Son et al. | An anomaly traffic detection method for voip applications using flow data | |
Choudhury et al. | A mechanism to recover voice from logged VoIP sessions based on RTP | |
US20220150283A1 (en) | Call control system, terminal device, call control apparatus, method and program | |
KR101174027B1 (ko) | 암호화된 VoIP 망에서의 미디어 품질 측정 시스템 | |
Joshi et al. | Traffic Detection Method for VoIP Applications using Flow Data | |
JP2023117556A (ja) | パケットロス検出システムおよびパケットロス検出方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E601 | Decision to refuse application |