KR20110065091A - 인터넷 전화 과금우회 공격 탐지 시스템 및 그 탐지 방법 - Google Patents

인터넷 전화 과금우회 공격 탐지 시스템 및 그 탐지 방법 Download PDF

Info

Publication number
KR20110065091A
KR20110065091A KR1020090121936A KR20090121936A KR20110065091A KR 20110065091 A KR20110065091 A KR 20110065091A KR 1020090121936 A KR1020090121936 A KR 1020090121936A KR 20090121936 A KR20090121936 A KR 20090121936A KR 20110065091 A KR20110065091 A KR 20110065091A
Authority
KR
South Korea
Prior art keywords
packet
information
registration
received
call
Prior art date
Application number
KR1020090121936A
Other languages
English (en)
Other versions
KR101088852B1 (ko
Inventor
김정욱
김환국
정현철
원유재
윤석웅
정종일
고경희
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020090121936A priority Critical patent/KR101088852B1/ko
Priority to US12/646,174 priority patent/US20110138462A1/en
Publication of KR20110065091A publication Critical patent/KR20110065091A/ko
Application granted granted Critical
Publication of KR101088852B1 publication Critical patent/KR101088852B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1069Session establishment or de-establishment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1073Registration or de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1101Session protocols
    • H04L65/1104Session initiation protocol [SIP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Telephonic Communication Services (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

인터넷 전화 과금 우회공격 탐지 시스템이 제공된다. 인터넷 전화 공격 탐지 시스템은 정상 사용자 등록 정보가 저장된 DB, 네트워크로부터 호 설정 패킷을 수신하는 패킷 수신 모듈, 및 패킷 수신 모듈로부터 호 설정 패킷을 제공받아 호 설정 패킷의 발신자 주소 정보 또는 헤더 정보와 DB에 저장된 등록 정보를 비교하여 호 설정 패킷이 정상 사용자로부터 수신된 패킷인지 여부를 탐지하는 VoIP 시그널링 메시지 위변조 탐지 모듈을 포함한다.
Figure P1020090121936
인터넷 전화, 과금 우회공격, 호 설정, SIP, 패킷, 위변조 탐지

Description

인터넷 전화 과금우회 공격 탐지 시스템 및 그 탐지 방법{System for detecting toll fraud attack for internet telephone and method for the same}
본 발명은 인터넷 전화 공격 탐지 시스템에 관한 것이다. 보다 상세하게는 인터넷 전화의 과금우회 공격 탐지 시스템에 관한 것이다.
정보 통신 기술의 급속한 발달로 인해 인터넷 전화의 보급이 일반화 되어가고 있다. 현재 인터넷 전화는 일반적으로 송신자 및 수신자간 호 설정을 위해 SIP(Session Initiation Protocol)를 많이 이용하고 있으며, 이러한 SIP 패킷에 송신자와 수신자 주소 정보 및 호 설정에 필요한 각종 정보를 담아 이를 송신하고 또 수신함으로써 호 설정하는 방식으로 운영되고 있다.
하지만, 기존의 보안 장비들은 SIP와 같은 응용 계층과 관련된 패킷을 이용한 해킹 공격에 취약한 실정이다. 따라서 인터넷 전화 서비스에 있어서 악의적 사용자가 해킹을 통해 부당 사용 인터넷 전화 요금을 정당한 사용자(희생자)에게 과금 시키는 경우가 발생하고 있다. 이에 SIP와 같은 응용 계층과 관련된 패킷을 이 용한 해킹 공격을 탐지하고, 이를 차단하는 보안 시스템 개발이 시급한 실정이다.
본 발명이 해결하고자 하는 기술적 과제는 과금 우회공격 탐지가 가능한 인터넷 전화 공격 탐지 시스템을 제공하는 것이다.
본 발명이 해결하고자 하는 다른 기술적 과제는 과금 우회공격 탐지가 가능한 인터넷 전화 공격 탐지 방법을 제공하는 것이다.
본 발명이 해결하고자 하는 과제들은 이상에서 언급한 과제들로 제한되지 않으며, 언급되지 않은 또 다른 과제들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
상기 기술적 과제를 해결하기 위한 본 발명의 일 실시예에 따른 인터넷 전화 공격 탐지 시스템의 일 태양(aspect)은 정상 사용자 등록 정보가 저장된 DB, 네트워크로부터 호 설정 패킷을 수신하는 패킷 수신 모듈, 및 패킷 수신 모듈로부터 호 설정 패킷을 제공받아 호 설정 패킷의 발신자 주소 정보 또는 헤더 정보와 DB에 저장된 등록 정보를 비교하여 호 설정 패킷이 정상 사용자로부터 수신된 패킷인지 여부를 탐지하는 VoIP 시그널링 메시지 위변조 탐지 모듈을 포함한다.
상기 다른 기술적 과제를 해결하기 위한 본 발명의 일 실시예에 따른 인터넷 전화 공격 탐지 방법의 일 태양은 네트워크로부터 호 설정 패킷을 수신하고, 수신된 호 설정 패킷의 발신자 주소 정보 또는 헤더 정보를 바탕으로 호 설정 패킷을 필터링하고, 수신된 호 설정 패킷의 발신자 주소 정보 또는 헤더 정보와 정상 사용자 등록 정보를 비교하여 수신된 호 설정 패킷이 정상 사용자로부터 수신된 패킷인 지 탐지하는 것을 포함한다.
본 발명의 기타 구체적인 사항들은 상세한 설명 및 도면들에 포함되어 있다.
본 발명의 일 실시예에 따른 인터넷 전화 공격 탐지 시스템을 사용할 경우 SIP와 같은 응용 계층과 관련된 패킷을 이용한 해킹 공격을 탐지할 수 있다. 또한, 이러한 해킹 공격을 사전에 차단하여 악의적 사용자가 해킹을 통해 부당 사용 인터넷 전화 요금을 정당한 사용자(희생자)에게 과금 시키는 것을 막을 수 있다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭하며, "및/또는"은 언급된 아이템들의 각각 및 하나 이상의 모든 조합을 포함한다.
본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "이루어지다(made of)"는 언급된 구성요소, 단계, 동작 및/또는 소자는 하나 이상 의 다른 구성요소, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.
본 명세서에서 기술하는 실시예들은 본 발명의 이상적인 개략도인 구성도를 참고하여 설명될 것이다. 따라서, 제조 기술 및/또는 제약 조건 등에 의해 구성도의 형태가 변형될 수 있다. 따라서, 본 발명의 실시예들은 도시된 특정 형태로 제한되는 것이 아니라 제조 기술에 따라 구현되는 형태의 변화도 포함하는 것이다. 따라서, 도면에서 예시된 구성들은 개략적인 속성을 가지며, 도면에서 예시된 구성은 특정 형태를 예시하기 위한 것이고, 발명의 범주를 제한하기 위한 것은 아니다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.
본 명세서에서 호 설정 패킷은 설명의 편의상 SIP 패킷을 그 예로 들어 설명하나 본 발명이 이에 제한되는 것은 아니다.
이하 도 1 내지 도 4를 참조하여, 본 발명의 일 실시예에 따른 인터넷 전화 공격 탐지 시스템에 대해 설명한다.
도 1은 본 발명의 일 실시예에 따른 인터넷 전화 공격 탐지 시스템의 구성도이다. 도 2는 등록 메소드를 포함한 SIP 패킷의 일 예이다. 도 3은 정상 정상 사용자의 등록 정보를 제공받는 과정을 도시한 도면이다. 도 4는 본 발명의 일 실시예에 따른 인터넷 전화 공격 탐지 시스템의 VoIP 시그널링 메시지 위변조 탐지 모듈 의 동작을 설명하기 위한 순서도이다.
도 1을 참조하면, 본 발명의 일 실시예에 따른 인터넷 전화 공격 탐지 시스템(100)은 패킷 수신 모듈(10), 비정상 단말/서버 필터(15), SIP 메시지 헤더기반 필터(20), 등록 실패 탐지 모듈(30), VoIP 시그널링 메시지 위변조 탐지 모듈(40), VoIP 시그니처 기반 탐지 모듈(50) 및 등록정보 DB(60)를 포함할 수 있다.
패킷 수신 모듈(10)은 네트워크(5)로부터 호 설정 패킷(예를 들어 SIP 패킷)을 수신하는 모듈일 수 있다. 패킷 수신 모듈(10)은 네트워크(5)로부터 이러한 SIP 패킷을 제공 받으면 이를 비정상 단말/서버 필터(15)에 제공할 수 있다. 여기서 본 발명의 일 실시예에 따른 인터넷 전화 공격 탐지 시스템(100)의 네트워크(5)는 사용자(1)간 인터넷 전화 서비스가 가능한 VoIP 서비스 네트워크일 수 있으나, 이는 하나의 예시에 불과하며 본 발명이 이에 제한되는 것은 아니다.
비정상 단말/서버 필터(15)는 발신자 주소 정보를 바탕으로 SIP 패킷에 대한 필터링을 수행할 수 있다. 구체적으로 비정상 단말/서버 필터(15)는 패킷 수신 모듈(10)이 수신한 SIP 패킷을 분석하여 SIP 패킷의 발신자 주소 정보를 추출할 수 있다. 그리고 이를 등록정보 DB(60)에 저장되어 있는 정상적인 사용자 주소 정보와 비교하여 만약 SIP 패킷의 발신자가 등록정보 DB(60)에 저장되어 있지 않은 악의적 사용자로 판단될 경우 이러한 SIP 패킷을 드롭(drop)시키고, 관리자에게 경고(alert)해주며, 관련 기록을 로그(log)로 남길 수 있다. 즉, 비정상 단말/서버 필터(15)는 인가되지 않은 비정상적인 단말 또는 SIP서버로부터의 콜(call)을 막는 기능을 할 수 있다. 여기서 본 발명의 일 실시예에 따른 인터넷 전화 공격 탐지 시 스템(100) SIP 패킷의 발신자 주소 정보는 예를 들어 IP 주소 또는 URI 일 수 있으나 이에 한정되는 것은 아니다.
SIP 메시지 헤더기반 필터(20)는 SIP 패킷의 헤더 정보를 기반으로 SIP 패킷에 대한 필터링을 수행할 수 있다. 구체적으로 SIP 메시지 헤더기반 필터(20)는 비정상 단말/서버 필터(15)가 제공한 SIP 패킷을 분석하여 SIP 패킷의 각종 헤더 정보를 추출할 수 있다. 그리고 이를 등록정보 DB(60)에 저장되어 있는 악의적 사용자와 관련된 각종 헤더 정보와 비교하여 만약 SIP 패킷의 발신자가 등록정보 DB(60)에 저장되어 있는 악의적 사용자로 판단될 경우 이러한 SIP 패킷을 드롭시키고, 관리자에게 경고해주며, 관련 기록을 로그로 남길 수 있다. 즉 SIP 메시지 헤더기반 필터(20)는 이미 알려진 공격자로부터의 콜을 막는 기능을 할 수 있다.
등록 실패 탐지 모듈(30)은 등록(resister) 메소드를 포함하는 SIP 패킷에 대해 소정의 시간 동안 등록 실패 횟수가 소정의 횟수 이상이면 이를 공격 패킷으로 탐지하는 모듈일 수 있다. 구체적으로 등록 실패 탐지 모듈(30)은 SIP 메시지 헤더기반 필터(20)로부터 제공받은 SIP 패킷을 분석하여, SIP 패킷이 등록 메소드를 포함하는 등록 패킷일 경우 소정의 시간 동안 등록 실패 횟수가 몇 회인지 탐지할 수 있다. 그리고 등록 실패 횟수가 소정의 횟수 이상이면 이를 악의적 사용자가 송신한 공격 패킷으로 탐지할 수 있다.
일반적으로 등록 패킷의 경우 도 2와 같은 형태의 필드를 갖게 되는데, 악의적 사용자가 해킹을 통해 등록 패킷을 가로챌 경우 도 2에 도시된 username, realm, nonce, uri 값 등을 얻을 수 있게 된다. 등록을 위해서는 이러한 값들 외에 등록 password를 추가적으로 더 알아야 하는데, 악의적 사용자는 이를 무차별 등록 시도를 통해 알아내고 있으므로 이러한 기능을 통해 이러한 무차별 등록 시도를 사전에 차단할 수 있다. 제1 및 SIP 메시지 헤더기반 필터(15, 20)와 마찬가지로 등록 실패 탐지 모듈(30)도 이러한 악의적 사용자의 무차별 등록 시도를 탐지할 경우 등록 패킷을 드롭시키고, 관리자에게 경고해주며, 관련 기록을 로그로 남길 수 있다.
여기서, 본 발명의 일 실시예에 따른 인터넷 전화 공격 탐지 시스템(100)의 등록 실패 탐지 모듈(30)은 예를 들어 5 내지 10분 동안 10 내지 20회의 등록 실패가 있으면 이를 악의적 사용자의 공격 패킷으로 탐지할 수 있으나, 본 발명이 이에 제한되는 것은 아니다.
VoIP 시그널링 메시지 위변조 탐지 모듈(40)은 등록 실패 탐지 모듈(30)로부터 SIP 패킷을 제공받아 SIP 패킷의 발신자 주소 정보 또는 헤더 정보와 등록정보 DB(60)에 저장된 등록 정보를 비교하여 SIP 패킷이 정상 사용자로부터 수신된 패킷인지 여부를 탐지하는 모듈일 수 있다.
구체적으로 먼저, VoIP 시그널링 메시지 위변조 탐지 모듈(40)은 정상 사용자의 등록 과정을 모니터링하여 정상적으로 등록이 완료될 경우, 정상 사용자의 등록정보를 등록정보 DB(60)에 이를 저장할 수 있다. 이러한 정상 사용자가 SIP 프록시 서버에 등록하는 과정은 도 3에 도시된 바와 같이 정상 사용자(1)가 SIP 프록시 서버(200)에 등록을 요청하면(REGISTER), SIP 프록시 서버(200)가 사용자(1)에게 인증을 요구하게 되고(100 Trying, 401 Unauthorized), 사용자(1)가 인증 정보와 함께 등록 요청을 하게 되면(REGISTER+ WWW-Authenticate), SIP 프록시 서버(200)가 이에 응답(200 OK)함으로써 등록을 완료하고, 정상 사용자(1)와 관련된 등록 정보를 등록정보 DB(60)에 저장할 수 있다. 이러한 정상 사용자(1)와 관련된 등록 정보는 예를 들어, IP 주소 정보, URI 정보, Contact 필드 정보, MAC 주소 정보 등이 있으나 이에 제한되는 것은 아니다.
다음 도 4를 참조하면, VoIP 시그널링 메시지 위변조 탐지 모듈(40)이 등록 실패 탐지 모듈(30)로부터 SIP 패킷을 제공 받으면 이 SIP 패킷이 등록 메소드를 포함하는 패킷일 경우 VoIP 시그널링 메시지 위변조 탐지 모듈(40)은 REGISTER 위변조 체크를 수행할 수 있다(S100, S102). 구체적으로 SIP 패킷의 IP 주소 및 Contact 필드의 정보를 등록정보 DB(60)에 저장된 등록 정보와 비교하여 일치할 경우 탐지 과정을 종료하고, 불일치 할 경우 위변조 탐지 로그를 생성하고 해당 SIP 패킷을 드롭할 수 있다(S104, S106).
만약, VoIP 시그널링 메시지 위변조 탐지 모듈(40)이 등록 실패 탐지 모듈(30)로부터 제공받은 SIP 패킷이 INVITE, CANCEL, BYE 또는 MESSAGE 메소드를 포함하는 패킷일 경우 VoIP 시그널링 메시지 위변조 탐지 모듈(40)은 등록정보 DB(60)에 저장된 정상 사용자 리스트를 검색할 수 있다(S108, S110). 그리고, 검색 결과를 토대로 SIP 패킷의 Source IP 및 URI를 대조하여 등록정보 DB(60)에 저장된 등록정보와 불일치하거나 등록정보 DB(60)에 해당 정보가 존재하지 않으면 위변조 탐지 로그를 생성할 수 있다(S112, S106). 한편, SIP 패킷의 Source IP 및 URI가 등록정보 DB(60)에 저장된 등록 정보와 일치하면 SIP 패킷의 URI 포맷을 체크하여 비 정상일 경우 종료처리할 수 있다(S114, S116). 여기서 SIP 패킷의 URI 포맷을 체크하는 것은 예를 들어 SIP 패킷의 From 헤더의 username, domain 필드 값이 null인지 아닌지 체크하는 것일 수 있다.
만약 SIP 패킷의 URI 포맷을 체크 결과가 정상일 경우 SIP 패킷의 핑거프린트(Fingerprint) 정보를 추출할 수 있다(S118). 여기서 핑거프린트 정보는 SIP 패킷의 헤더 정보를 의미할 수 있으며, 이는 SIP 패킷의 헤더의 MAC, Max-Forwards, User_Agent, Contact 및 Call-ID 필드 값, SIP 헤더 순서 등 일 수 있다. 특히, Call-ID 필드 값과 관련하여 본 발명의 일 실시예에 따른 인터넷 전화 공격 탐지 시스템(100)은 이러한 Call-ID 필드 값의 패턴 정보를 추출할 수 있으며, 이는 ´@´ 포함 여부 및 Call-ID 길이 정보 등을 조합하여 생성된 정보일 수 있다.
핑거프린트 정보가 추출되면 VoIP 시그널링 메시지 위변조 탐지 모듈(40)은 이를 등록정보 DB(60)에서 검색하고, 만약 등록정보 DB(60)에 해당 값이 없으면 처음 등록자로 간주하여 해당 핑거프린트 정보를 등록정보 DB(60)에 추가할 수 있다(S120, S122, S130). 만약 등록정보 DB(60)에 핑거프린트 정보가 존재하나, 추출된 핑거프린트 정보와 일치 하지 않으면 이는 위변조된 SIP 패킷이므로 위변조 탐지 로그를 생성하고, 해당 패킷을 드롭할 수 있다(S124, S126, S106). 만약 등록정보 DB(60)에 핑거프린트 정보와 추출된 핑거프린트 정보가 일치할 경우 이는 위변조되지 않은 패킷이므로 VoIP 시그니처 기반 탐지 모듈(50)에 이를 제공할 수 있다.
VoIP 시그니처 기반 탐지 모듈(50)은 시그니처 패턴 매칭을 통하여 SIP 패킷 이 정상 사용자로부터 수신된 패킷인지 탐지하는 모듈일 수 있다. 구체적으로 VoIP 시그니처 기반 탐지 모듈(50)은 시그니처 패턴 매칭을 통하여 SQL Injection 공격 또는 Buffer Overflow 공격을 탐지하는 모듈일 수 있다.
등록정보 DB(60)는 정상 사용자의 등록 정보가 저장되는 데이터 베이스일 수 있다. 이러한 등록정보 DB(60)에는 앞에서 설명한 정상 사용자에 관한 여러 등록 정보가 저장될 수 있다.
이와 같은 본 발명의 일 실시예에 따른 인터넷 전화 공격 탐지 시스템을 사용할 경우 SIP와 같은 응용 계층과 관련된 패킷을 이용한 해킹 공격을 탐지할 수 있다. 또한, 이러한 해킹 공격을 사전에 차단하여 악의적 사용자가 해킹을 통해 부당 사용 인터넷 전화 요금을 정당한 사용자(희생자)에게 과금 시키는 것을 막을 수 있다.
다음 도 5를 참조하여 본 발명의 일 실시예에 따른 인터넷 전화 공격 탐지 방법에 대해 설명한다.
도 5는 본 발명의 일 실시예에 따른 인터넷 전화 공격 탐지 방법을 설명하기 위한 순서도이다.
도 5를 참조하면, 네트워크로부터 호 설정 패킷을 수신한다(S200, S226). 구체적으로 인터넷 전화 사용이 가능한 VoIP 서비스 네트워크로부터 SIP 패킷을 수신하면 이에 대한 탐지를 수행하고, SIP 패킷이 아닐 경우 탐지를 종료할 수 있다.
다음 수신된 SIP 패킷을 필터링 한다(S202~S210). 구체적으로 정상 단말/서버 리스트를 검색하고(S202), 수신된 SIP 패킷의 발신자 주소 정보(예를 들어, IP 또는 URI 정보)와 비교하여(S204) 정상 단말/서버로부터 수신된 SIP 패킷이 아닐 경우 이를 드롭시킬 수 있다(S206). 만약, 정상 단말/서버로부터 수신된 SIP 패킷이라면 미리 알려진 악의적 사용자와 관련된 헤더 정보를 검색하고(S208), 수신된 SIP 패킷의 헤더 정보와 비교하여(S210), 만약 일치한다면 이를 드롭시킬 수 있다(S206).
다음 수신된 SIP 패킷이 등록 메소드를 포함하는 패킷이면 등록 실패 공격인지 탐지한다(S212~S216). 구체적으로 수신된 SIP 패킷이 등록 메소드를 포함하는 패킷이면 등록 실패 리스트를 검색한다(S212, S214). 그리고 등록 실패 공격인지 탐지한다(S216). 만약 등록 메소드를 포함하는 SIP 패킷이 소정의 시간 동안 등록 실패 횟수가 소정의 횟수 이상이면 이를 공격 패킷으로 분류하여 드롭시킬 수 있다(S206). 이 것은 예를 들어 5 내지 10분 동안 10 내지 20회의 등록 실패가 있으면 이를 악의적 사용자의 공격 패킷으로 탐지하고 드롭시키는 것일 수 있으나, 본 발명이 이에 제한되는 것은 아니다.
다음 수신된 SIP 패킷의 위변조 여부를 탐지한다(S218~S220). 구체적으로 수신된 SIP 패킷의 발신자 주소 정보 또는 헤더 정보와 정상 사용자 등록 정보를 비교하여 VoIP 위변조 공격 여부를 탐지하고(S218), 만약 위변조된 SIP 패킷이라면 이를 드롭시킬 수 있다(S220, S206).
다음 시그니처 패턴 매칭을 통해 수신된 SIP 패킷이 정상 사용자로부터 수신된 패킷인지 탐지한다(S222~S224). 구체적으로 VoIP 시그니처 리스트를 검색하고(S222), 시그니처 기반 패턴 매칭을 통하여 일치하면(S224), 수신된 SIP 패킷을 드롭시킬 수 있다(S206).
이와 같은 본 발명의 일 실시예에 따른 인터넷 전화 공격 탐지 방법에 따를 경우 SIP와 같은 응용 계층과 관련된 패킷을 이용한 해킹 공격을 탐지할 수 있다. 또한, 이러한 해킹 공격을 사전에 차단하여 악의적 사용자가 해킹을 통해 부당 사용 인터넷 전화 요금을 정당한 사용자(희생자)에게 과금 시키는 것을 막을 수 있다.
이상 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.
도 1은 본 발명의 일 실시예에 따른 인터넷 전화 공격 탐지 시스템의 구성도이다.
도 2는 등록 메소드를 포함한 SIP 패킷의 일 예이다.
도 3은 정상 정상 사용자의 등록 정보를 제공받는 과정을 도시한 도면이다.
도 4는 본 발명의 일 실시예에 따른 인터넷 전화 공격 탐지 시스템의 VoIP 시그널링 메시지 위변조 탐지 모듈의 동작을 설명하기 위한 순서도이다.
도 5는 본 발명의 일 실시예에 따른 인터넷 전화 공격 탐지 방법을 설명하기 위한 순서도이다.
(도면의 주요부분에 대한 부호의 설명)
10: 패킷 수신 모듈 15: 비정상 단말/서버 필터
20: SIP 메시지 헤더기반 필터 30: 등록 실패 탐지 모듈
40: VoIP 시그널링 메시지 위변조 탐지 모듈
50: VoIP 시그니처 기반 탐지 모듈 60: 등록정보 DB
S200~S226: 인터넷 전화 공격 탐지 방법

Claims (13)

  1. 정상 사용자 등록 정보가 저장된 DB;
    네트워크로부터 호 설정 패킷을 수신하는 패킷 수신 모듈; 및
    상기 패킷 수신 모듈로부터 상기 호 설정 패킷을 제공받아 상기 호 설정 패킷의 발신자 주소 정보 또는 헤더 정보와 상기 DB에 저장된 상기 등록 정보를 비교하여 상기 호 설정 패킷이 상기 정상 사용자로부터 수신된 패킷인지 여부를 탐지하는 VoIP 시그널링 메시지 위변조 탐지 모듈을 포함하는 인터넷 전화 공격 탐지 시스템.
  2. 제 1항에 있어서,
    상기 네트워크는 VoIP 서비스 네트워크를 포함하는 인터넷 전화 공격 탐지 시스템.
  3. 제 1항에 있어서,
    상기 호 설정 패킷은 SIP 패킷을 포함하는 인터넷 전화 공격 탐지 시스템.
  4. 제 1항에 있어서,
    상기 발신자 주소 정보는 상기 발신자의 IP 주소 정보 또는 URI 정보를 포함하는 인터넷 전화 공격 탐지 시스템.
  5. 제 1항에 있어서,
    상기 헤더 정보는 상기 호 설정 패킷 헤더의 MAC, Max-Forwards, User-Agent 또는 Call-ID 필드의 정보 중 적어도 어느 하나를 포함하는 인터넷 전화 공격 탐지 시스템.
  6. 제 1항에 있어서,
    상기 발신자 주소 정보를 바탕으로 상기 호 설정 패킷에 대한 필터링을 수행하는 비정상 단말/서버 필터를 더 포함하는 인터넷 전화 공격 탐지 시스템.
  7. 제 1항에 있어서,
    상기 호 설정 패킷의 헤더 정보를 기반으로 상기 호 설정 패킷에 대한 필터링을 수행하는 SIP 메시지 헤더기반 필터를 더 포함하는 인터넷 전화 공격 탐지 시스템.
  8. 제 1항에 있어서,
    등록(resister) 메소드를 포함하는 상기 호 설정 패킷에 대해 소정의 시간 동안 등록 실패 횟수가 소정의 횟수 이상이면 이를 공격 패킷으로 탐지하는 등록 실패 탐지 모듈을 더 포함하는 인터넷 전화 공격 탐지 시스템.
  9. 제 8항에 있어서,
    상기 소정의 시간은 5 내지 10분을 포함하고,
    상기 소정의 횟수는 10 내지 20회를 포함하는 인터넷 전화 공격 탐지 시스템.
  10. 제 1항에 있어서,
    시그니처 패턴 매칭을 통하여 상기 호 설정 패킷이 상기 정상 사용자로부터 수신된 패킷인지 탐지하는 VoIP 시그니처 기반 탐지 모듈을 더 포함하는 인터넷 전화 공격 탐지 시스템.
  11. 네트워크로부터 호 설정 패킷을 수신하고,
    상기 수신된 호 설정 패킷의 발신자 주소 정보 또는 헤더 정보를 바탕으로 상기 호 설정 패킷을 필터링하고,
    상기 수신된 호 설정 패킷의 발신자 주소 정보 또는 헤더 정보와 정상 사용자 등록 정보를 비교하여 상기 수신된 호 설정 패킷이 상기 정상 사용자로부터 수신된 패킷인지 탐지하는 것을 포함하는 인터넷 전화 공격 탐지 방법.
  12. 제 11항에 있어서,
    등록 메소드를 포함하는 상기 수신된 호 설정 패킷에 대해 소정의 시간 동안 등록 실패 횟수가 소정의 횟수 이상이면 이를 공격 패킷으로 탐지하는 것을 더 포 함하는 인터넷 전화 공격 탐지 방법.
  13. 제 11항에 있어서,
    시그니처 패턴 매칭을 통하여 상기 수신된 호 설정 패킷이 상기 정상 사용자로부터 수신된 패킷인지 탐지하는 것을 더 포함하는 인터넷 전화 공격 탐지 방법.
KR1020090121936A 2009-12-09 2009-12-09 인터넷 전화 과금우회 공격 탐지 시스템 및 그 탐지 방법 KR101088852B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020090121936A KR101088852B1 (ko) 2009-12-09 2009-12-09 인터넷 전화 과금우회 공격 탐지 시스템 및 그 탐지 방법
US12/646,174 US20110138462A1 (en) 2009-12-09 2009-12-23 System and method for detecting voip toll fraud attack for internet telephone

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090121936A KR101088852B1 (ko) 2009-12-09 2009-12-09 인터넷 전화 과금우회 공격 탐지 시스템 및 그 탐지 방법

Publications (2)

Publication Number Publication Date
KR20110065091A true KR20110065091A (ko) 2011-06-15
KR101088852B1 KR101088852B1 (ko) 2011-12-06

Family

ID=44083337

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090121936A KR101088852B1 (ko) 2009-12-09 2009-12-09 인터넷 전화 과금우회 공격 탐지 시스템 및 그 탐지 방법

Country Status (2)

Country Link
US (1) US20110138462A1 (ko)
KR (1) KR101088852B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101379779B1 (ko) * 2012-07-19 2014-04-01 주식회사 나온웍스 발신 정보가 변조된 보이스 피싱 및 문자 피싱 공격을 탐지 및 차단하는 방법
WO2015163563A1 (ko) * 2014-04-23 2015-10-29 주식회사 케이티 패턴 매칭을 이용한 불법 인터넷 국제 발신호 차단 장치 및 불법 인터넷 국제 발신호 차단 방법

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8266696B2 (en) * 2005-11-14 2012-09-11 Cisco Technology, Inc. Techniques for network protection based on subscriber-aware application proxies
US8719930B2 (en) * 2010-10-12 2014-05-06 Sonus Networks, Inc. Real-time network attack detection and mitigation infrastructure
US8726095B2 (en) * 2010-12-02 2014-05-13 Dell Products L.P. System and method for proactive management of an information handling system with in-situ measurement of end user actions
US8955090B2 (en) * 2011-01-10 2015-02-10 Alcatel Lucent Session initiation protocol (SIP) firewall for IP multimedia subsystem (IMS) core
US8689328B2 (en) * 2011-02-11 2014-04-01 Verizon Patent And Licensing Inc. Maliciouis user agent detection and denial of service (DOS) detection and prevention using fingerprinting
CN103650468B (zh) * 2012-04-16 2016-03-16 中信国际电讯集团有限公司 通信控制系统和通信控制方法
EP2677792A1 (en) * 2012-06-20 2013-12-25 Thomson Licensing Method and device for countering fingerprint forgery attacks in a communication system
US8825814B1 (en) * 2013-05-23 2014-09-02 Vonage Network Llc Method and apparatus for minimizing application delay by pushing application notifications
US9426302B2 (en) 2013-06-20 2016-08-23 Vonage Business Inc. System and method for non-disruptive mitigation of VOIP fraud
US9419988B2 (en) 2013-06-20 2016-08-16 Vonage Business Inc. System and method for non-disruptive mitigation of messaging fraud
FR3019433A1 (fr) * 2014-03-31 2015-10-02 Orange Procede de detection d'une usurpation d'identite appartenant a un domaine
US9608879B2 (en) * 2014-12-02 2017-03-28 At&T Intellectual Property I, L.P. Methods and apparatus to collect call packets in a communications network
EP3323232B1 (en) * 2015-07-15 2023-02-22 Telefonaktiebolaget LM Ericsson (publ) Enabling setting up a secure peer-to-peer connection
US10454965B1 (en) * 2017-04-17 2019-10-22 Symantec Corporation Detecting network packet injection
CN111147670B (zh) * 2020-01-04 2023-06-09 西安闻泰电子科技有限公司 基于预付费的骚扰拦截方法、电子设备及存储介质

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6946760B2 (en) 2003-10-22 2005-09-20 Emerson Electric Co. Brushless permanent magnet motor with high power density, low cogging and low vibration
US7870602B2 (en) * 2005-09-14 2011-01-11 At&T Intellectual Property I, L.P. System and method for reducing data stream interruption during failure of a firewall device
CN100563246C (zh) * 2005-11-30 2009-11-25 华为技术有限公司 一种基于ip的语音通信边界安全控制系统及方法
US7441429B1 (en) * 2006-09-28 2008-10-28 Narus, Inc. SIP-based VoIP traffic behavior profiling
KR100852145B1 (ko) * 2007-11-22 2008-08-13 한국정보보호진흥원 SIP 기반 VoIP 서비스를 위한 호 제어 메시지의보안 시스템 및 방법
US8375453B2 (en) * 2008-05-21 2013-02-12 At&T Intellectual Property I, Lp Methods and apparatus to mitigate a denial-of-service attack in a voice over internet protocol network

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101379779B1 (ko) * 2012-07-19 2014-04-01 주식회사 나온웍스 발신 정보가 변조된 보이스 피싱 및 문자 피싱 공격을 탐지 및 차단하는 방법
WO2015163563A1 (ko) * 2014-04-23 2015-10-29 주식회사 케이티 패턴 매칭을 이용한 불법 인터넷 국제 발신호 차단 장치 및 불법 인터넷 국제 발신호 차단 방법

Also Published As

Publication number Publication date
US20110138462A1 (en) 2011-06-09
KR101088852B1 (ko) 2011-12-06

Similar Documents

Publication Publication Date Title
KR101088852B1 (ko) 인터넷 전화 과금우회 공격 탐지 시스템 및 그 탐지 방법
CN101136922B (zh) 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统
US8522344B2 (en) Theft of service architectural integrity validation tools for session initiation protocol (SIP)-based systems
US9473529B2 (en) Prevention of denial of service (DoS) attacks on session initiation protocol (SIP)-based systems using method vulnerability filtering
KR101218253B1 (ko) 보안 및 불법호 검출 시스템 및 방법
US7526803B2 (en) Detection of denial of service attacks against SIP (session initiation protocol) elements
US20120174217A1 (en) Network security management
EP1931105A1 (fr) Procédé et système de gestion de sessions multimédia, permettant de contrôler l'établissement de canaux de communication
US20080089494A1 (en) System and Method for Securing a Telephone System Comprising Circuit Switched and IP Data Networks
Do Carmo et al. Artemisa: An open-source honeypot back-end to support security in VoIP domains
JP5699162B2 (ja) コンピュータ資源の乗っ取りを検出する方法
Sheoran et al. NASCENT: Tackling caller-ID spoofing in 4G networks via efficient network-assisted validation
CN101247618B (zh) 一种终端合法性检测方法及系统
US20120060218A1 (en) System and method for blocking sip-based abnormal traffic
KR101287588B1 (ko) 에스아이피 기반 인터넷 전화 서비스의 보안 시스템
Satapathy et al. A comprehensive survey of security issues and defense framework for VoIP Cloud
Park et al. Security threats and countermeasure frame using a session control mechanism on volte
Safoine et al. Comparative study on DOS attacks Detection Techniques in SIP-based VOIP networks
KR20100073527A (ko) 에스아이피(sip) 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템과 그 방법
KR101379779B1 (ko) 발신 정보가 변조된 보이스 피싱 및 문자 피싱 공격을 탐지 및 차단하는 방법
Vrakas et al. Evaluating the security and privacy protection level of IP multimedia subsystem environments
Geneiatakis et al. Novel protecting mechanism for SIP-based infrastructure against malformed message attacks: Performance evaluation study
Berger et al. Internet security meets the IP multimedia subsystem: an overview
Cho et al. Analysis against security issues of voice over 5G
Hosseinpour et al. An anomaly based VoIP DoS attack detection and prevention method using fuzzy logic

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20141104

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20151113

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee