KR20140027585A - Detection system and method for dch starvation dos attack in 3g - Google Patents

Detection system and method for dch starvation dos attack in 3g Download PDF

Info

Publication number
KR20140027585A
KR20140027585A KR1020120076036A KR20120076036A KR20140027585A KR 20140027585 A KR20140027585 A KR 20140027585A KR 1020120076036 A KR1020120076036 A KR 1020120076036A KR 20120076036 A KR20120076036 A KR 20120076036A KR 20140027585 A KR20140027585 A KR 20140027585A
Authority
KR
South Korea
Prior art keywords
attack
time
packet
packets
mobile communication
Prior art date
Application number
KR1020120076036A
Other languages
Korean (ko)
Other versions
KR101444899B1 (en
Inventor
김성열
조유근
박지연
Original Assignee
건국대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 건국대학교 산학협력단 filed Critical 건국대학교 산학협력단
Priority to KR1020120076036A priority Critical patent/KR101444899B1/en
Publication of KR20140027585A publication Critical patent/KR20140027585A/en
Application granted granted Critical
Publication of KR101444899B1 publication Critical patent/KR101444899B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • H04L43/0894Packet rate
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The present invention relates to a DCH starvation type attack detection system in the third generation mobile communication and a method thereof and, more specifically, to a DCH starved attack detection system in the third generation mobile communication and a method thereof, preventing access by grasping a wrong approach at the stage of FireWall when the system tries to connect to an internal router through multiple routers on an external network under an environment which is divided into the internal network and the external network. [Reference numerals] (AA,BB,CC,DD,EE,FF,GG) DCH allocation

Description

3세대 이동통신에서의 디시에이치 고갈형 공격 탐지 시스템 및 그 방법{Detection System and Method for DCH starvation DoS attack in 3G}TECHNICAL FIELD [0001] The present invention relates to a system and a method for detecting a DCH starvation DoS attack in a 3G mobile communication system,

본 발명은 3세대 이동통신에서의 DCH 고갈형 공격 탐지 시스템 및 그 방법에 대한 것으로서, 보다 상세하게는 내부 네트워크와 외부 네트워크로 구분되어진 환경하에서 외부 네트워크의 여러 라우터를 통해서 내부 라우터에 접속 하려고 할 때 FireWall 단계에서 잘못된 접근을 파악하여 접근을 막아주는 3세대 이동통신에서의 DCH 고갈형 공격 탐지 시스템 및 그 방법에 관한 것이다.The present invention relates to a DCH-depleted attack detection system and method in a third generation mobile communication, and more particularly, to a system and method for detecting a DCH- The present invention relates to a system and method for detecting a DCH-depleted attack in a third generation mobile communication that prevents access by grasping the wrong access in the FireWall stage.

일반적으로 2G 망은 음성과 적은 데이터 서비스를 제공하기 위한 이동통신 망이다. 망의 가입자가 증가하면서 더 많은 사용자를 감당할 수 있는 3G 망으로 발전하였다. 3G 망은 2G 망 기반으로 발전해 많은 데이터를 제공하는 서비스에 적합하지 않다. 피쳐폰이 주를 이루던 초기l 3세대는 이동통신사가 제공하는 데이터 비용이 비싸고 데이터를 이용한 다양한 서비스가 없어 사용량이 많지 않았다. 그러나 스마트폰(Smart Phone)이 등장하면서 인터넷 브라우저(browser), 게임 같은 다양한 애플리케이션 (application)이 등장하였고 이동통신사의 저렴한 데이터 요금정책으로 사용자의 데이터 사용량이 대폭 증가하였다. 다양한 데이터 서비스는 단말기에 불법으로 접근할 수 있는 방법을 늘렸고 사용자 트래픽(traffic) 증가는 좁은 대역폭을 가진 3G 망의 안전을 위협하게 되었다. 일례로 2010년 11월 중국에서 단말기 안 연락처에 수록된 사람들에게 문자 메시지를 보내 해당 단말기를 감염시키는 공격이 발생하였다. 약 100만대의 단말기가 감염되었고 큰 금전적인 손해를 입었다 .Generally, 2G network is a mobile communication network to provide voice and data service. As the number of subscribers of the network increases, it has developed into a 3G network that can handle more users. The 3G network is developed on the basis of the 2G network and is not suitable for the service providing a lot of data. In the early stage of the feature phone, the third generation was not used because the data cost provided by the mobile communication service provider was expensive and there was no service using data. However, with the emergence of smart phones, various applications such as internet browsers and games have emerged, and data usage of users has increased dramatically due to low data rate policies of mobile carriers. Various data services have increased the number of illegal accesses to terminals and increasing user traffic has threatened the safety of 3G networks with narrow bandwidths. For example, in November 2010, an attack occurred in China by sending a text message to the people in the contact list of the device to infect the device. Approximately 1 million terminals were infected and suffered large financial losses.

이동통신 네트워크를 이용한 DoS 공격은 크게 제한된 자원을 고갈시켜 정상 사용자가 자원을 할당 받지 못하도록 하는 방법과 서버를 과부하시켜 서비스를 제공하지 못하도록 하는 방법이 있다. 스마트폰은 3G 또는 와이파이(Wifi)를 이용해 네트워크에 접속한다. 와이파이의 경우 제한 없이 네트워크 사용이 가능하지만 3G 망은 제공하는 자원이 한정되어 있다. A DoS attack using a mobile communication network has a method of preventing a normal user from being allocated resources by exhausting limited resources, and a method of preventing a service from being provided by overloading a server. Smartphones use 3G or WiFi to connect to the network. Wi-Fi networks can be used without restrictions, but 3G networks have limited resources.

3G 망은 작은 패킷으로 필요한 자원을 할당 받을 수 있다. 이것은 기존의 DoS공격과 달리 작은 패킷 만으로도 공격이 가능하며 기존의 DDoS(Distributed DoS) 탐지 방법이 적용될 수 없다는 것을 의미한다. 실 생활에 스마트폰의 비중이 커지면서 앞으로 이동통신 네트워크의 DoS 공격은 사용자의 금전적인 문제 또는 개인정보 누출이라는 직접적인 피해를 야기할 수 있다. The 3G network can be allocated the necessary resources with small packets. This means that unlike existing DoS attacks, it is possible to attack with only small packets and that the existing DDoS (Distributed DoS) detection method can not be applied. As the proportion of smartphones increases in real life, the DoS attacks of mobile communication networks can cause direct damage to user's financial problems or personal information leakage.

관련 연구로서 시그널링 메시지 공격(Signaling message attack)을 살펴보면, UMTS(Universal Mobile Telecommunication System)란 3G 이동통신망의 이름으로 3세대 통신 규약인 WCDMA와 2세대 통신 규약인 GSM 등으로 구성된다. 단말기는 3G 망에 연결 된 후 채널(Channel)이란 자원을 할당 받아야 데이터를 주고 받을 수 있다. As a related study, the signaling message attack is called Universal Mobile Telecommunication System (UMTS), which is composed of the 3G mobile communication network name, WCDMA, the third generation communication protocol, and GSM, the second generation communication protocol. After the terminal is connected to the 3G network, it is required to allocate resources as a channel to exchange data.

도1은 이동통신망과 단말기가 연결되는 과정을 나타낸 것이다. 즉 여러 시그널링 메시지(Signaling Message)를 주고받은 뒤 단말기가 데이터를 사용할 수 있게 된다.1 shows a process of connecting a mobile communication network and a terminal. That is, after receiving and sending various signaling messages, the terminal can use the data.

이 구조를 이용한 공격 시나리오는 다음과 같다. 공격자는 네트워크에 연결된 리모트 호스트(Remote Host)로 이동 단말에 주기적으로 데이터를 보낸다. 이 후부터는 리모트 호스트를 서버라 하겠다. 이동 단말이 데이터를 받기 위해서는 단말기와 기지국(Base Station) 간의 연결이 필요하다. 연결 되기 위해서는 약 15개의 시그널링 메시지가 교환 되어야 한다. 연결 된 뒤 5초 동안 데이터를 주고 받지 않으면 연결은 해제되고 할당 받았던 자원을 반납한다. 해제되는 데 약 12개의 메시지가 또 필요하다. 이 구조를 이용해 공격자는 5초를 약간 넘는 시간을 주기로 데이터를 여러 이동단말에 보낸다. 각 단말기마다 연결이 설정되고 해제되는 것을 반복하기 때문에 메시지가 매우 많아져 이것을 처리하는 망에서 병목현상을 겪게 된다. 이 공격은 네트워크상에서 통신 연결의 설정 및 유지, 해제 등을 제어하는 제어 신호가 오고 가는 제어평면(Control Plane)에서 일어난다.(Patrick P. C. Lee, Tian Bu, and Thomas Woo, "On the Detection of Signaling DoS Attacks on 3G Wireless Networks," 26th IEEE International Conference on Computer Communications (INFOCOM), 2007.)The attack scenario using this structure is as follows. The attacker periodically sends data to the mobile terminal to the remote host connected to the network. After that, the remote host will be called a server. In order for a mobile terminal to receive data, a connection between a terminal and a base station is required. In order to be connected, about 15 signaling messages must be exchanged. If no data is exchanged for 5 seconds after connection, the connection is released and the allocated resources are returned. It needs about 12 messages to be released. Using this structure, the attacker sends data to several mobile terminals in a time that is slightly more than 5 seconds. Since the connection is established and released for each terminal repeatedly, there is a lot of messages, and the bottleneck is experienced in the network that handles this. This attack occurs in the control plane where control signals go to control the establishment, maintenance, and release of communication links on the network. (Patrick PC Lee, Tian Bu, and Thomas Woo, "On the Detection of Signaling DoS Attacks on 3G Wireless Networks, "26th IEEE International Conference on Communications (INFOCOM), 2007.)

또한 DCH 고갈형 공격(DCH starvation attack)에 대해 살펴보면, DCH 고갈형 공격은 사용자 데이터가 전달되는 사용자평면(User Plane)에서 발생한다. 위에서 언급했듯 단말기가 데이터를 주고 받기 위해서는 망과 단말기 사이에 연결이 필요하다. 연결 된 후 DCH를 할당 받는데 이것은 데이터를 주고받을 수 있는 주파수 대역이다. DCH는 각 가입자 단말마다 부여되는 한정된 자원이다. 많은 단말기들이 동시에 데이터 서비스를 요청하면 할당할 채널이 고갈되어 정상적으로 데이터 서비스를 할 수 없게 된다.In addition, as for the DCH starvation attack, a DCH-depleted attack occurs in the user plane where user data is transmitted. As mentioned above, in order for the terminal to send and receive data, a connection between the network and the terminal is required. After being connected, DCH is assigned, which is the frequency band where data can be exchanged. The DCH is a limited resource assigned to each subscriber terminal. If many terminals request data service at the same time, the channel to be allocated becomes exhausted and data service can not be normally performed.

도2는 DCH를 할당 받고 회수되는 과정은 나타낸다. 단말기가 데이터를 5초 동안 주고 받지 않으면 망과 단말기의 연결은 해제되고 DCH는 회수된다. 이 구조를 이용한 DCH 고갈형 공격은 다음과 같다. 공격자는 여러 단말기에게 주기적으로 소량 데이터를 5초 이내의 시간간격으로 보낸다. 공격자에게 데이터를 받은 단말기들은 DCH를 계속 점유하게 된다. 셀 안의 모든 DCH가 고갈되면 망은 일반 사용자에게 할당할 DCH가 남지 않아 원활한 데이터 서비스를 제공하지 못하게 된다. 도3은 DCH를 계속 점유하는 모습을 나타낸 것이다. 공격자가 약 40바이트 정도의 작은 패킷을 주기적으로 500만 개의 단말기에 보내면 서울과 같은 대도시 규모의 DCH 고갈형 공격이 가능하다(이성원, 김종현, 서동일, D.I.Seo, "이동통신 네트워크 DDoS 공격 및 대응 기술 동향", ETRI, 2012.)FIG. 2 shows the process of allocating and recovering the DCH. If the terminal does not send and receive data for 5 seconds, the connection between the network and the terminal is released and the DCH is recovered. The DCH exhaustion attack using this structure is as follows. An attacker periodically sends a small amount of data to several terminals within a time interval of less than 5 seconds. The terminals receiving the data from the attacker continue to occupy the DCH. If all the DCHs in the cell are exhausted, the network will not be able to provide a seamless data service because there is no DCH to allocate to the general user. FIG. 3 shows a state in which DCH is continuously occupied. If an attacker sends a packet with a size of about 40 bytes periodically to 5 million terminals, it will be able to attack a DCH exhaustion attack in a big city like Seoul (Lee Sung Won, Kim Jonghyun, Seo Dong Il, DISEo, Trends ", ETRI, 2012.)

그러나 공격의 특징은 적은 패킷을 가지고 셀 안의 많은 단말기들이 데이터 서비스를 원활히 받지 못하도록 하는 것이다. 기존에 많은 트래픽을 발생시켜 공격하는 방법과 달리 적은 트래픽을 갖고 공격해 기존 탐지 방법을 사용할 수 없는 문제점이 있어 이를 해결할 새로운 시스템이 필요하게 되었다.However, the characteristic of the attack is that many terminals in the cell do not receive data services smoothly with a small number of packets. Unlike the existing method of attacking by generating a lot of traffic, it is necessary to use a new system to solve the problem because there is a problem that the conventional detection method can not be used because it attacks with a small amount of traffic.

상술한 문제점을 해결하기 위해 본 발명은 이동 통신 네트워크 구조의 취약점을 이용한 공격을 탐지하는 3세대 이동통신에서의 DCH 고갈형 공격 탐지 시스템 및 그 방법을 제공하는 데 목적이 있다.SUMMARY OF THE INVENTION In order to solve the above problems, the present invention provides a DCH-depleted attack detection system and a method thereof in a third generation mobile communication system for detecting an attack using a weak point of a mobile communication network structure.

본 발명은 최소 패킷으로 공격자를 탐지하기 위하여, 단말기가 받은 패킷의 도착시간 패턴과 상기 단말기의 DCH 유지시간 대 받은 패킷 양의 비율을 이용해 탐지하는 탐지 서버를 포함하여 구성된다.In order to detect an attacker with a minimum packet, the present invention includes a detection server that detects a rate of an arrival time pattern of a packet received by the terminal and a ratio of the amount of packets received to the DCH holding time of the terminal.

상기 탐지 서버는 시간 간격이 일정하게 오는 경우 각 시간 간격(time Interval) 범위에 몇 개의 패킷이 도착 하는지 패턴으로 찾아 탐지한다.When the time interval is constant, the detection server finds and detects how many packets arrive within each time interval range.

상기 탐지 서버는 공격이라 의심되는 의심 스코어를 증가시키고 스코어가 미리 정한 스레시홀드를 넘어갔을 때 시스템의 공격으로 탐지한다.The detection server increases the suspect score that is suspected of attack and detects it as an attack of the system when the score exceeds a predetermined threshold.

상기 의심스코어는 The suspicion score

Figure pat00001
Figure pat00001

이고,ego,

Figure pat00002
이면 DCH 유지시간 대 받은 패킷량을 기준으로 (a1)을 이용해 계산하고,
Figure pat00003
이면 각 시간 간격의 전체 패킷량과 공격 패킷량의 비율을 이용해 (a2)로 계산한다.
Figure pat00002
(A1) based on the received packet amount versus the DCH holding time,
Figure pat00003
(A2) using the ratio of the total packet amount and the attack packet amount in each time interval.

(

Figure pat00004
는 시간간격에 도착한 패킷량이 차이를 보이는 기준 시간, 단말기
Figure pat00005
, 서버
Figure pat00006
사이에 데이터를 주고 받는 플로우
Figure pat00007
에서 처음 패킷을 받은 시간은
Figure pat00008
, 현재 패킷을 받은 시간은
Figure pat00009
, 시간 간격은
Figure pat00010
,
Figure pat00011
Figure pat00012
에서 단말기가 받은 패킷량의 합,
Figure pat00013
Figure pat00014
동안에 도착한 패킷 수,
Figure pat00015
는 한 플로우에서 나올 수 있는 최소한의 공격 패킷수)(
Figure pat00004
A reference time at which a packet amount arriving at a time interval shows a difference,
Figure pat00005
, server
Figure pat00006
The flow of data between
Figure pat00007
The time the first packet was received from
Figure pat00008
, The time the current packet was received
Figure pat00009
, The time interval is
Figure pat00010
,
Figure pat00011
The
Figure pat00012
The sum of the packet amounts received by the terminal,
Figure pat00013
The
Figure pat00014
≪ / RTI >
Figure pat00015
Is the minimum number of attack packets that can come out of a flow)

상기 탐지 서버는, 일정 주기를 기준으로 짧은 주기로 데이터를 보낼 때와 긴 주기로 데이터를 보낼 때를 나누어 의심 스코어를 증가시킨다.The detection server increases the suspicious score by dividing the time when data is sent in a short period and the time when data is sent in a long period based on a predetermined period.

상기 탐지 서버는 짧은 주기로 데이터를 보낼 경우, 유저들 간의 주고받은 전체 패킷량과 DCH 채널을 유지한 시간의 비율에 따라 의심 스코어를 증가시킨다.When the detection server sends data in a short period, the detection server increases the suspicious score according to the ratio of the total amount of packets exchanged between the users and the time of maintaining the DCH channel.

상기 탐지 서버는 긴 주기로 데이터를 보낼 경우, 최소한의 공격 패킷수와 도착한 패킷 수의 비율을 이용하여 의심 스코어를 증가시킨다.When the detection server sends data in a long period, the suspicious score is increased by using the ratio of the minimum number of attack packets and the number of arriving packets.

본 발명은 3세대 이동통신에서의 디시에이치 고갈형 공격 탐지 방법에 있어서, 탐지 서버를 통하여 단말기가 받은 패킷의 도착시간 패턴과 상기 단말기의 DCH 유지시간 대 받은 패킷 양의 비율을 이용해 탐지하는 단계를 포함하여 구성된다.The present invention provides a method for detecting a D-HUE-depleted attack in a third generation mobile communication system, comprising the steps of: detecting a arrival time pattern of a packet received by a terminal through a detection server and a ratio of a DCH holding time of the terminal to a received packet rate; .

상기 탐지 서버를 통하여 시간 간격이 일정하게 오는 경우 각 시간 간격(time Interval) 범위에 몇 개의 패킷이 도착 하는지 패턴으로 찾아 탐지하는 단계를 더 포함하여 구성된다.And detecting and detecting a number of packets arriving within a time interval range when the time interval is constant through the detection server.

상기 탐지 서버를 통하여 공격이라 의심되는 의심 스코어를 증가시키고 스코어가 미리 정한 스레시홀드를 넘어갔을 때 시스템의 공격으로 탐지하는 단계를 더 포함하여 구성된다.Increasing the suspect score suspected to be an attack through the detection server and detecting an attack of the system when the score exceeds a predetermined threshold.

상기 의심스코어는 The suspicion score

Figure pat00016
Figure pat00016

이고,ego,

상기 탐지 서버를 통하여

Figure pat00017
이면 DCH 유지시간 대 받은 패킷량을 기준으로 (a1)을 이용해 계산하고,
Figure pat00018
이면 각 시간 간격의 전체 패킷량과 공격 패킷량의 비율을 이용해 (a2)로 계산하는 단계;Through the detection server
Figure pat00017
(A1) based on the received packet amount versus the DCH holding time,
Figure pat00018
(A2) using the ratio of the total packet amount and the attack packet amount in each time interval;

를 더 포함하여 구성된다..

(는 시간간격에 도착한 패킷량이 차이를 보이는 기준 시간, 단말기

Figure pat00020
, 서버
Figure pat00021
사이에 데이터를 주고 받는 플로우
Figure pat00022
에서 처음 패킷을 받은 시간은
Figure pat00023
, 현재 패킷을 받은 시간은
Figure pat00024
, 시간 간격은
Figure pat00025
,
Figure pat00026
Figure pat00027
에서 단말기가 받은 패킷량의 합,
Figure pat00028
Figure pat00029
동안에 도착한 패킷 수,
Figure pat00030
는 한 플로우에서 나올 수 있는 최소한의 공격 패킷수)( A reference time at which a packet amount arriving at a time interval shows a difference,
Figure pat00020
, server
Figure pat00021
The flow of data between
Figure pat00022
The time the first packet was received from
Figure pat00023
, The time the current packet was received
Figure pat00024
, The time interval is
Figure pat00025
,
Figure pat00026
The
Figure pat00027
The sum of the packet amounts received by the terminal,
Figure pat00028
The
Figure pat00029
≪ / RTI >
Figure pat00030
Is the minimum number of attack packets that can come out of a flow)

상기 탐지 서버를 통하여, 일정 주기를 기준으로 짧은 주기로 데이터를 보낼 때와 긴 주기로 데이터를 보낼 때를 나누어 의심 스코어를 증가시키는 단계를 더 포함하여 구성된다.Further comprising the step of increasing the suspect score by dividing the time when data is transmitted in a short period and the time when data is sent in a long period based on a predetermined period through the detection server.

상기 탐지 서버를 통하여, 짧은 주기로 데이터를 보낼 경우, 유저들 간의 주고받은 전체 패킷량과 DCH 채널을 유지한 시간의 비율에 따라 의심 스코어를 증가시키는 단계를 더 포함하여 구성된다.When the data is transmitted in a short period through the detection server, increasing the suspicious score according to the ratio of the total amount of packets exchanged between the users and the time of maintaining the DCH channel.

상기 탐지 서버를 통하여, 긴 주기로 데이터를 보낼 경우, 최소한의 공격 패킷수와 도착한 패킷 수의 비율을 이용하여 의심 스코어를 증가시키는 단계를 더 포함하여 구성된다.The method further comprises the step of increasing suspicious scores using the ratio of the minimum number of attack packets to the number of arriving packets when data is sent over a long period through the detection server.

본 발명에 따르면 3세대 이동통신 네트워크상에서 일반 사용자가 데이터 서비스를 받지 못하도록 공격이 들어올 경우 공격을 효율적으로 탐지하여 네트워크 관리자가 공격에 대한 빠른 대처를 할 수 있다. According to the present invention, when an attack occurs to prevent a general user from receiving a data service on a 3G mobile communication network, an attack can be efficiently detected and a network administrator can quickly cope with an attack.

본 발명에 따르면 DoS 공격의 한 종류인 DCH 자원 고갈형 문제를 다루고 이것을 탐지하는 방법을 제안하여 이동통신망의 신뢰성을 높인다.According to the present invention, a DCH resource depletion problem, which is one kind of DoS attack, is dealt with and a method of detecting the DCH resource depletion type problem is raised to enhance the reliability of the mobile communication network.

도1은 종래 발명에 따른 이동통신망과 단말기가 연결되는 과정을 나타낸 도면.
도2는 종래 발명에 따른 DCH를 할당 받고 회수되는 과정은 나타낸다.
도3은 종래 발명에 따른 DCH를 계속 점유하는 모습을 나타낸 것이다.
도4는 본 발명에 따른 전체적인 구성을 보여주는 도면.
도5는 본 발명에 따른 사용자의 패킷 트레이스-SIGCOMM2008 학회 무선 네트워크를 약 6시간 동안 모니터링한 데이터를 사용하여 일반 사용자와 공격자가 보낸 패킷의 도착 시간 간격 패턴을 관찰한 그래프.
도6은 본 발명에 따른

Figure pat00031
보다 작은
Figure pat00032
에 대해
Figure pat00033
를 계산한 그래프.1 is a diagram illustrating a process of connecting a mobile communication network and a terminal according to a conventional invention.
FIG. 2 shows a process of allocating and recovering a DCH according to the prior art.
FIG. 3 shows a state in which the DCH according to the prior art is continuously occupied.
4 is a diagram showing the overall configuration according to the present invention.
FIG. 5 is a graph showing an arrival time interval pattern of a packet transmitted by a general user and an attacker using data monitored by a user's packet trace-SIGCOMM 2008 protocol for about 6 hours.
Figure 6 is a graph
Figure pat00031
lesser
Figure pat00032
About
Figure pat00033
.

이하 본 발명에 따른 3세대 이동통신에서의 디시에이치 고갈형 공격 탐지 시스템에 대하여 도면을 참고하여 자세히 설명한다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, a dhichty exhaustion-based attack detection system in a third generation mobile communication according to the present invention will be described in detail with reference to the drawings.

본 발명은 이동 통신 네트워크 구조의 취약점을 이용한 공격을 탐지하는 기술이다. The present invention is a technology for detecting an attack using a vulnerability of a mobile communication network structure.

3세대 이통동신에서 발생할 수 있는 DoS 공격은 5초 이내 주기로 작은 패킷을 보내 DCH 라는 주파수 대역을 계속 차지하여 DCH를 고갈시킨다. 기존 사용자의 데이터 사용 패턴을 분석하여 대부분의 사용자는 한 시점에 데이터를 자주 주고받고 그 시간 외에는 데이터를 적게 주고받는 것을 확인하였다. DoS attacks, which can occur in third generation mobile communication, send small packets every 5 seconds or so, and continue to occupy the frequency band called DCH, exhausting the DCH. By analyzing data usage patterns of existing users, most users have been able to exchange data frequently at one point in time and to receive less data during that time.

이 것을 이용해 탐지 방법을 제안한다. 탐지는 공격이라 의심되는 의심 스코어를 증가시키고 스코어가 미리 정한 스레시홀드를 넘어갔을 때 시스템에 공격이 발생한 것을 알린다. We propose a detection method using this. Detection increases suspected suspicious scoring and informs the system that an attack has occurred when the score exceeds a predetermined threshold.

탐지는 짧은 주기로 데이터를 보낼 때와 긴 주기로 데이터를 보낼 때 각각 다른 방법을 사용해 의심 스코어를 증가시킨다. Detection uses different methods to increase suspicious scores when sending data in short periods and when sending data in long periods.

DoS 공격은 최소한의 패킷을 보내 DCH를 고갈시키기 때문에 DCH를 유지하는 시간은 길지만 전체 주고받은 패킷량은 적다. 따라서 짧은 주기로 데이터를 보낼 때는 유저들 간의 주고받은 전체 패킷량과 DCH 채널을 유지한 시간의 비율에 따라 의심 스코어를 증가시킨다. The DoS attack consumes the DCH by sending a minimum number of packets, so the time to maintain the DCH is long, but the amount of packets sent and received is small. Therefore, when sending data in a short period, the suspicious score is increased according to the ratio of the total amount of packets exchanged between the users and the time of maintaining the DCH channel.

긴 주기로 데이터를 보낼 때에는 도착한 패킷의 수가 최소한의 공격 패킷수보다 훨씬 적다. 따라서 최소한의 공격 패킷수와 도착한 패킷 수의 비율을 이용하여 의심 스코어를 증가시킨다. 증가한 의심 스코어는 스레시홀드를 넘었을 때 공격이라 탐지한다.When sending data over a long period, the number of arriving packets is much smaller than the minimum number of attack packets. Therefore, the suspicious score is increased by using the ratio of the minimum number of attack packets and the number of arriving packets. An increased suspicion score detects an attack when the threshold is exceeded.

구체적으로 살펴보면, 도3에서 보는 바와 같이 본 발명에 따른 3세대 이동통신에서의 디시에이치 고갈형 공격 탐지 시스템은 최소 패킷으로 공격자를 탐지하기 위하여, 단말기가 받은 패킷의 도착시간 패턴과 상기 단말기의 DCH 유지시간 대 받은 패킷 양의 비율을 이용해 탐지하는 탐지 서버(100)를 포함하여 구성된다.As shown in FIG. 3, in order to detect an attacker in a minimum packet, the Dish-hill Depleted Attack Detection System in the third generation mobile communication according to the present invention uses an arrival time pattern of a packet received by a terminal and a DCH And a detection server 100 that detects the packet using a ratio of a retention time to a received packet amount.

여기에서 상기 탐지 서버(100)는 각 유저노드(A, B, C)와 네트워크 서버(200)를 통해 각 시간 간격(time Interval) 범위에 몇 개의 패킷이 도착 하는지 패턴으로 찾아 탐지하거나, 공격이라 의심되는 의심 스코어를 증가시키고 스코어가 미리 정한 스레시홀드를 넘어갔을 때 시스템의 공격으로 탐지하고, 일정 주기를 기준으로 짧은 주기로 데이터를 보낼 때와 긴 주기로 데이터를 보낼 때를 나누어 의심 스코어를 증가시킨다.The detection server 100 detects and detects how many packets arrive within each time interval range through each of the user nodes A, B, and C and the network server 200, Increase suspected suspicious scores, detect system attacks when the score exceeds a predefined threshold, increase suspect scores by dividing data between sending a short period of data on a periodic basis and sending data over a long period .

예를 들어 짧은 주기로 데이터를 보낼 경우, 유저들 간의 주고받은 전체 패킷량과 DCH 채널을 유지한 시간의 비율에 따라 의심 스코어를 증가시키고, 긴 주기로 데이터를 보낼 경우, 최소한의 공격 패킷수와 도착한 패킷 수의 비율을 이용하여 의심 스코어를 증가시킨다.For example, in case of sending data in a short period, the suspicious score is increased according to the ratio of the total amount of packets exchanged between users and the time of maintaining the DCH channel, and when data is transmitted in a long period, Use the ratio of the number to increase the suspicion score.

이하 좀 더 자세히 본 발명에 따른 탐지 기법 등을 실험 등을 통해 살펴본다Hereinafter, the detection technique according to the present invention will be described in more detail through experiments and the like

주로 공격자는 여러 단말에게 패킷을 주기적으로 보내 DCH를 고갈 시킨다. 이를 해결하기 위해 본 발명에 따른 단말기가 받은 패킷의 도착시간 패턴과 단말기의 DCH 유지시간 대 받은 패킷 양의 비율을 이용해 탐지한다. 목표는 최소한의 패킷(약 40byte)으로 공격자를 탐지하는 것이다.Mostly, the attacker periodically sends packets to several terminals to exhaust DCH. In order to solve this problem, the present invention detects the arrival time pattern of the packet received by the terminal and the ratio of the amount of packets received to the DCH holding time of the terminal. The goal is to detect the attacker with a minimum of packets (about 40 bytes).

상기 단말기가 서버로부터 데이터를 받는 패턴을 패킷의 도착시간 간격이 일정한 경우와 일정하지 않은 경우로 정의한다. 서버가 패킷을 4.5초마다 보내면 일정한 시간 간격으로 데이터를 보내는 것이다. The pattern of the terminal receiving data from the server is defined as a case where the arrival time interval of the packet is constant or not. When the server sends a packet every 4.5 seconds, it sends data at regular intervals.

단말기

Figure pat00034
, 서버
Figure pat00035
사이에 데이터를 주고 받는 플로우 에서 처음 패킷을 받은 시간은
Figure pat00037
이다. 그리고 현재 패킷을 받은 시간은
Figure pat00038
고 시간 간격은
Figure pat00039
이다. 각 플로우마다
Figure pat00040
정보를 가지고 있다.
Figure pat00041
Figure pat00042
에서 단말기가 받은 패킷량의 합이다.terminal
Figure pat00034
, server
Figure pat00035
The flow of data between The time the first packet was received from
Figure pat00037
to be. And the time the current packet was received
Figure pat00038
The high time interval
Figure pat00039
to be. For each flow
Figure pat00040
I have information.
Figure pat00041
The
Figure pat00042
Is the sum of the amount of packets received by the terminal.

Figure pat00043
Figure pat00043

각 플로우마다 상기 표 1과 같이 각 시간 간격마다 도착한 패킷 수에 대한 테이블을 갖는다. 테이블 엔트리(entry)는 하기 수학식 1을 계산할 때 사용한다.

Figure pat00044
Figure pat00045
동안에 도착한 패킷 수이며
Figure pat00046
는 한 플로우에서 나올 수 있는 최소한의 공격 패킷수이다.A table for the number of packets arrived at each time interval as shown in Table 1 for each flow. The table entry is used to calculate the following equation (1).
Figure pat00044
The
Figure pat00045
The number of packets arriving during
Figure pat00046
Is the minimum number of attack packets that can come from a flow.

Figure pat00047
Figure pat00047

공격자가 일정한 시간 간격으로 최소한의 패킷을 6시간동안 보내면 하기 수학식 2와 같이 최소 4320개의 패킷이 필요하다.If an attacker sends a minimum number of packets for a period of 6 hours at a predetermined time interval, a minimum of 4320 packets are required as shown in Equation 2 below.

Figure pat00048
Figure pat00048

도5는 사용자의 패킷 트레이스-SIGCOMM2008 학회 무선 네트워크를 약 6시간 동안 모니터링한 데이터를 사용하여 일반 사용자와 공격자가 보낸 패킷의 도착 시간 간격 패턴을 관찰한 것이다. FIG. 5 is a view of an arrival time interval pattern of a packet transmitted by a general user and an attacker using data of a user's packet trace -SIGCOMM 2008 protocol monitored for about 6 hours.

도5의 그래프는 트레이스에 존재하는 모든 플로우의 각 범위 시간간격에 도착한 패킷 수를 나타낸 것이다. x축은 시간 간격, y축은 도착한 패킷 수이다. 서버가 단말기에 패킷을 3초, 그 다음 패킷을 3.4초에 보냈다면 시간 간격이 0.4초가 되고 해당 y축이 1 증가한다. 결과는 일반 사용자들은 1,2초 보다 작은 시간 간격으로 많은 데이터를 보내고 1,2초 이상, 5초 미만 사이의 시간 간격으로는 적은 데이터를 보내는 것을 볼 수 있다. 이것으로 패킷은 주로 짧은 시간 간격으로 데이터를 자주 보내는 것을 알 수 있다. The graph of FIG. 5 shows the number of packets arriving at each interval time interval of all flows present in the trace. The x axis is the time interval, and the y axis is the number of arriving packets. If the server sends a packet to the terminal for 3 seconds and the next packet for 3.4 seconds, then the time interval is 0.4 seconds and the y axis is incremented by 1. The results show that the average user sends a lot of data at intervals of less than 1.2 seconds and less data at intervals of more than 1.2 seconds and less than 5 seconds. This shows that the packets are often sent at frequent intervals.

Figure pat00049
Figure pat00049

상기 수학식3의

Figure pat00050
를 기준으로 공격으로 의심되는 의심 스코어(maliciousness score)인
Figure pat00051
을 계산한다.
Figure pat00052
는 시간간격에 도착한 패킷량이 차이를 보이는 기준 시간이다.
Figure pat00053
이면 DCH 유지시간 대 받은 패킷량을 기준으로 (a1)을 이용해 계산하고,
Figure pat00054
이면 각 시간 간격의 전체 패킷량과 공격 패킷량의 비율을 이용해 (a2)로 계산한다.In Equation (3)
Figure pat00050
The maliciousness score of the suspected attack
Figure pat00051
.
Figure pat00052
Is the reference time at which the amount of packets arriving at the time interval shows a difference.
Figure pat00053
(A1) based on the received packet amount versus the DCH holding time,
Figure pat00054
(A2) using the ratio of the total packet amount and the attack packet amount in each time interval.

도5에서는

Figure pat00055
가 1.2초가 된다.
Figure pat00056
이후의 패킷 수는 매우 작기 때문에 공격 패킷이 들어오면 수학식3의 (a2) 에 따라
Figure pat00057
값이 커진다. 그러나
Figure pat00058
이전의 오는 전체 패킷수는 비교적 많기 때문에 공격 패킷량으로 공격 여부를 구별할 수 없다. 따라서 이 경우는 DCH를 유지한 시간은 길지만 받은 패킷량이 적을 때를 탐지 기준으로 한다.5,
Figure pat00055
Becomes 1.2 seconds.
Figure pat00056
Since the number of subsequent packets is very small, if an attack packet arrives,
Figure pat00057
The value becomes larger. But
Figure pat00058
Since the total number of previous packets is relatively large, the amount of attack packets can not distinguish the attack. Therefore, in this case, when the amount of packets received is long although the time for which the DCH is maintained is long, the detection standard is used.

도6은

Figure pat00059
보다 작은
Figure pat00060
에 대해 식 3-1을 이용해
Figure pat00061
를 계산한 그래프이다. x축은 시간이며 y축은
Figure pat00062
값이다. 1시간 간격으로 모든 패킷 수와 최소한의 공격 패킷 수를 상기 수학식3의 (a1)에 대입하여 계산한 값이다. DCH를 오래 유지하면서 적은 패킷량을 받으면
Figure pat00063
값이 커져 공격이라 탐지하게 된다. 6,
Figure pat00059
lesser
Figure pat00060
Using Equation 3-1 for
Figure pat00061
Fig. The x-axis is time and the y-axis is
Figure pat00062
Value. The total number of packets and the minimum number of attack packets are calculated by substituting (a1) in Equation (3) for the number of all packets at intervals of one hour. If you receive a small amount of packets while maintaining DCH for a long time
Figure pat00063
The value is increased and it is detected as an attack.

하기 수학식 4의

Figure pat00064
는 공격탐지기준으로
Figure pat00065
이 스레시홀드 (threshold)
Figure pat00066
보다 커지면 공격이라 탐지한다.
Figure pat00067
의 값을 높이면 오탐률은 줄어들지만 시간은 증가한다.. In Equation (4)
Figure pat00064
Is based on attack detection
Figure pat00065
The threshold value < RTI ID = 0.0 >
Figure pat00066
If it is bigger, it detects it as an attack.
Figure pat00067
Increasing the value reduces the false positives but increases the time.

Figure pat00068
Figure pat00068

이하 본 발명의 실시를 위한 3세대 이동통신에서의 디시에이치 고갈형 공격 탐지 방법에 대하여 자세히 설명한다.Hereinafter, a method for detecting a DICH-based exhaustion attack in the 3G mobile communication for implementing the present invention will be described in detail.

먼저 탐지 서버를 통하여 단말기가 받은 패킷의 도착시간 패턴과 상기 단말기의 DCH 유지시간 대 받은 패킷 양의 비율을 이용해 탐지한다.First, it detects the arrival time pattern of the packet received by the terminal through the detection server and the ratio of the amount of packets received to the DCH holding time of the terminal.

그리고 시간 간격이 일정하게 오는 경우 각 시간 간격(time Interval) 범위에 몇 개의 패킷이 도착 하는지 패턴으로 찾아 탐지하고, 공격이라 의심되는 의심 스코어를 증가시키고 스코어가 미리 정한 스레시홀드를 넘어갔을 때 시스템의 공격으로 탐지한다.When a time interval is constant, a number of packets arrive within a time interval, and a pattern is detected. When a suspicious score is suspected to be an attack and a score exceeds a predetermined threshold, Of the attack.

즉 상기 탐지 서버를 통하여, 일정 주기를 기준으로 짧은 주기로 데이터를 보낼 때와 긴 주기로 데이터를 보낼 때를 나누어 의심 스코어를 증가시키는 데, 짧은 주기로 데이터를 보낼 경우, 유저들 간의 주고받은 전체 패킷량과 DCH 채널을 유지한 시간의 비율에 따라 의심 스코어를 증가시키고, 긴 주기로 데이터를 보낼 경우, 최소한의 공격 패킷수와 도착한 패킷 수의 비율을 이용하여 의심 스코어를 증가시키는 것이 바람직하다.
That is, the suspicious score is increased by dividing the data sent in a short period and the data sent in a long period based on a predetermined period through the detection server. In case of sending data in a short period, It is desirable to increase the suspect score according to the ratio of the time of maintaining the DCH channel and to increase the suspicious score by using the ratio of the minimum number of attack packets and the number of arrived packets.

100 : 탐지 서버
200 : 네트워크 서버
A, B, C : 유저노드100: detection server
200: Network server
A, B, C: User node

Claims (14)

최소 패킷으로 공격자를 탐지하기 위하여, 단말기가 받은 패킷의 도착시간 패턴과 상기 단말기의 DCH 유지시간 대 받은 패킷 양의 비율을 이용해 탐지하는 탐지 서버를 포함하여 구성되는 것을 특징으로 하는 3세대 이동통신에서의 디시에이치 고갈형 공격 탐지 시스템.In the third generation mobile communication, the detection server detects an attacker using the minimum packet arrival time pattern and the ratio of the received packet amount to the DCH holding time of the terminal. Desichi Depleted Attack Detection System. 제1항에 있어서,
상기 탐지 서버는,
시간 간격이 일정하게 오는 경우 각 시간 간격(time Interval) 범위에 몇 개의 패킷이 도착 하는지 패턴으로 찾아 탐지하는 것을 특징으로 하는 3세대 이동통신에서의 디시에이치 고갈형 공격 탐지 시스템.The method of claim 1,
The detection server comprises:
Wherein when the time interval is constant, a number of packets arrive within a time interval range, and the pattern is detected and detected. 제1항에 있어서,
상기 탐지 서버는,
공격이라 의심되는 의심 스코어를 증가시키고 스코어가 미리 정한 스레시홀드를 넘어갔을 때 시스템의 공격으로 탐지하는 것을 특징으로 하는 3세대 이동통신에서의 디시에이치 고갈형 공격 탐지 시스템.The method of claim 1,
The detection server comprises:
Characterized in that the attack is detected as an attack of the system when the suspicion score of the attack is increased and the score exceeds the predetermined threshold, in the third generation mobile communication. 제3항에 있어서,
상기 의심스코어는
Figure pat00069

이고,
Figure pat00070
이면 DCH 유지시간 대 받은 패킷량을 기준으로 (a1)을 이용해 계산하고,
Figure pat00071
이면 각 시간 간격의 전체 패킷량과 공격 패킷량의 비율을 이용해 (a2)로 계산하는 것을 특징으로 하는 3세대 이동통신에서의 디시에이치 고갈형 공격 탐지 시스템.
(
Figure pat00072
는 시간간격에 도착한 패킷량이 차이를 보이는 기준 시간, 단말기
Figure pat00073
, 서버
Figure pat00074
사이에 데이터를 주고 받는 플로우
Figure pat00075
에서 처음 패킷을 받은 시간은
Figure pat00076
, 현재 패킷을 받은 시간은
Figure pat00077
, 시간 간격은
Figure pat00078
,
Figure pat00079
Figure pat00080
에서 단말기가 받은 패킷량의 합,
Figure pat00081
Figure pat00082
동안에 도착한 패킷 수,
Figure pat00083
는 한 플로우에서 나올 수 있는 최소한의 공격 패킷수)The method of claim 3,
The suspicion score
Figure pat00069

ego,
Figure pat00070
(A1) based on the received packet amount versus the DCH holding time,
Figure pat00071
(A2) using the ratio of the total packet amount of each time interval to the attack packet amount.
(
Figure pat00072
A reference time at which a packet amount arriving at a time interval shows a difference,
Figure pat00073
, server
Figure pat00074
The flow of data between
Figure pat00075
The time the first packet was received from
Figure pat00076
, The time the current packet was received
Figure pat00077
, The time interval is
Figure pat00078
,
Figure pat00079
The
Figure pat00080
The sum of the packet amounts received by the terminal,
Figure pat00081
The
Figure pat00082
≪ / RTI >
Figure pat00083
Is the minimum number of attack packets that can come out of a flow) 제1항에 있어서,
상기 탐지 서버는, 일정 주기를 기준으로 짧은 주기로 데이터를 보낼 때와 긴 주기로 데이터를 보낼 때를 나누어 의심 스코어를 증가시키는 것을 특징으로 하는 3세대 이동통신에서의 디시에이치 고갈형 공격 탐지 시스템.The method of claim 1,
Wherein the detection server increases the suspect score by dividing the time when the data is sent in a short period and the time when the data is sent in a long period based on a predetermined period, and increases the suspicious score in the third-generation mobile communication. 제1항 또는 제5항에 있어서,
상기 탐지 서버는,
짧은 주기로 데이터를 보낼 경우, 유저들 간의 주고받은 전체 패킷량과 DCH 채널을 유지한 시간의 비율에 따라 의심 스코어를 증가시키는 것을 특징으로 하는 3세대 이동통신에서의 디시에이치 고갈형 공격 탐지 시스템.6. The method according to claim 1 or 5,
The detection server comprises:
When the data is transmitted in a short period, the suspicious score is increased according to the ratio of the total amount of packets exchanged between the users and the time of maintaining the DCH channel, in the third generation mobile communication. 제1항 또는 제5항에 있어서,
상기 탐지 서버는,
긴 주기로 데이터를 보낼 경우, 최소한의 공격 패킷수와 도착한 패킷 수의 비율을 이용하여 의심 스코어를 증가시키는 것을 특징으로 하는 3세대 이동통신에서의 디시에이치 고갈형 공격 탐지 시스템.6. The method according to claim 1 or 5,
The detection server comprises:
Wherein the suspicious score is increased by using the ratio of the minimum number of attack packets and the number of arriving packets when data is transmitted over a long period. 3세대 이동통신에서의 디시에이치 고갈형 공격 탐지 방법에 있어서,
탐지 서버를 통하여 단말기가 받은 패킷의 도착시간 패턴과 상기 단말기의 DCH 유지시간 대 받은 패킷 양의 비율을 이용해 탐지하는 단계;
를 포함하여 구성되는 것을 특징으로 하는 3세대 이동통신에서의 디시에이치 고갈형 공격 탐지 방법.A method for detecting a D-HIC-depleted attack in a 3G mobile communication system,
Detecting by the detection server a ratio of the arrival time pattern of the packet received by the terminal to the DCH holding time of the terminal to the received packet amount;
DEH depletion attack detection method in the third generation mobile communication, characterized in that comprises a. 제8항에 있어서,
상기 탐지 서버를 통하여
시간 간격이 일정하게 오는 경우 각 시간 간격(time Interval) 범위에 몇 개의 패킷이 도착 하는지 패턴으로 찾아 탐지하는 단계;
를 더 포함하여 구성되는 것을 특징으로 하는 3세대 이동통신에서의 디시에이치 고갈형 공격 탐지 방법.9. The method of claim 8,
Through the detection server
Detecting and detecting a number of packets in a time interval range when a time interval is constant;
The method comprising the steps of: a) detecting an attack in a third generation mobile communication; 제8항에 있어서,
상기 탐지 서버를 통하여
공격이라 의심되는 의심 스코어를 증가시키고 스코어가 미리 정한 스레시홀드를 넘어갔을 때 시스템의 공격으로 탐지하는 단계;
를 더 포함하여 구성되는 것을 특징으로 하는 3세대 이동통신에서의 디시에이치 고갈형 공격 탐지 방법.9. The method of claim 8,
Through the detection server
Increasing suspected suspicious scores and detecting system attacks when the score exceeds a predetermined threshold;
The method comprising the steps of: a) detecting an attack in a third generation mobile communication; 제10항에 있어서,
상기 의심스코어는
Figure pat00084

이고,
상기 탐지 서버를 통하여
Figure pat00085
이면 DCH 유지시간 대 받은 패킷량을 기준으로 (a1)을 이용해 계산하고,
Figure pat00086
이면 각 시간 간격의 전체 패킷량과 공격 패킷량의 비율을 이용해 (a2)로 계산하는 단계;
를 더 포함하여 구성되는 것을 특징으로 하는 3세대 이동통신에서의 디시에이치 고갈형 공격 탐지 방법.
(
Figure pat00087
는 시간간격에 도착한 패킷량이 차이를 보이는 기준 시간, 단말기
Figure pat00088
, 서버
Figure pat00089
사이에 데이터를 주고 받는 플로우
Figure pat00090
에서 처음 패킷을 받은 시간은
Figure pat00091
, 현재 패킷을 받은 시간은
Figure pat00092
, 시간 간격은
Figure pat00093
,
Figure pat00094
Figure pat00095
에서 단말기가 받은 패킷량의 합,
Figure pat00096
Figure pat00097
동안에 도착한 패킷 수,
Figure pat00098
는 한 플로우에서 나올 수 있는 최소한의 공격 패킷수)11. The method of claim 10,
The suspicion score
Figure pat00084

ego,
Through the detection server
Figure pat00085
(A1) based on the received packet amount versus the DCH holding time,
Figure pat00086
(A2) using the ratio of the total packet amount and the attack packet amount in each time interval;
The method comprising the steps of: a) detecting an attack in a third generation mobile communication;
(
Figure pat00087
A reference time at which a packet amount arriving at a time interval shows a difference,
Figure pat00088
, server
Figure pat00089
The flow of data between
Figure pat00090
The time the first packet was received from
Figure pat00091
, The time the current packet was received
Figure pat00092
, The time interval is
Figure pat00093
,
Figure pat00094
The
Figure pat00095
The sum of the packet amounts received by the terminal,
Figure pat00096
The
Figure pat00097
≪ / RTI >
Figure pat00098
Is the minimum number of attack packets that can come out of a flow) 제8항에 있어서,
상기 탐지 서버를 통하여, 일정 주기를 기준으로 짧은 주기로 데이터를 보낼 때와 긴 주기로 데이터를 보낼 때를 나누어 의심 스코어를 증가시키는 단계;
를 더 포함하여 구성되는 것을 특징으로 하는 3세대 이동통신에서의 디시에이치 고갈형 공격 탐지 방법.9. The method of claim 8,
Increasing the suspect score by dividing the time of sending data in a short period and the time of sending data in a long period based on a predetermined period through the detection server;
The method comprising the steps of: a) detecting an attack in a third generation mobile communication; 제8항 또는 제12항에 있어서,
상기 탐지 서버를 통하여, 짧은 주기로 데이터를 보낼 경우, 유저들 간의 주고받은 전체 패킷량과 DCH 채널을 유지한 시간의 비율에 따라 의심 스코어를 증가시키는 단계;
를 더 포함하여 구성되는 것을 특징으로 하는 3세대 이동통신에서의 디시에이치 고갈형 공격 탐지 방법.The method according to claim 8 or 12,
Increasing suspicious scores according to a ratio of a total amount of packets exchanged between users and a time of maintaining a DCH channel when data is transmitted in a short period through the detection server;
The method comprising the steps of: a) detecting an attack in a third generation mobile communication; 제8항 또는 제12항에 있어서,
상기 탐지 서버를 통하여, 긴 주기로 데이터를 보낼 경우, 최소한의 공격 패킷수와 도착한 패킷 수의 비율을 이용하여 의심 스코어를 증가시키는 단계;
를 더 포함하여 구성되는 것을 특징으로 하는 3세대 이동통신에서의 디시에이치 고갈형 공격 탐지 방법.
The method according to claim 8 or 12,
Increasing the suspicious score by using a ratio of the minimum number of attack packets and the number of arriving packets when data is sent over a long period through the detection server;
The method comprising the steps of: a) detecting an attack in a third generation mobile communication;
KR1020120076036A 2012-07-12 2012-07-12 Detection System and Method for DCH starvation DoS attack in 3G KR101444899B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120076036A KR101444899B1 (en) 2012-07-12 2012-07-12 Detection System and Method for DCH starvation DoS attack in 3G

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120076036A KR101444899B1 (en) 2012-07-12 2012-07-12 Detection System and Method for DCH starvation DoS attack in 3G

Publications (2)

Publication Number Publication Date
KR20140027585A true KR20140027585A (en) 2014-03-07
KR101444899B1 KR101444899B1 (en) 2014-09-26

Family

ID=50641394

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120076036A KR101444899B1 (en) 2012-07-12 2012-07-12 Detection System and Method for DCH starvation DoS attack in 3G

Country Status (1)

Country Link
KR (1) KR101444899B1 (en)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7525921B1 (en) 2003-06-04 2009-04-28 Juniper Networks, Inc. Discard interface for diffusing network attacks
US20060230450A1 (en) * 2005-03-31 2006-10-12 Tian Bu Methods and devices for defending a 3G wireless network against a signaling attack
KR100733830B1 (en) 2005-06-09 2007-07-02 충남대학교산학협력단 DDoS Detection and Packet Filtering Scheme
KR100803029B1 (en) 2006-12-01 2008-02-18 경희대학교 산학협력단 Method for cooperatively defending of ddos attack using statistical detection

Also Published As

Publication number Publication date
KR101444899B1 (en) 2014-09-26

Similar Documents

Publication Publication Date Title
Lee et al. On the detection of signaling DoS attacks on 3G wireless networks
US8873753B2 (en) Analysis of network operation
Abdelrahman et al. Signalling storms in 3G mobile networks
EP1864471B1 (en) Methods and devices for defending a 3g wireless network against a signaling attack
Lee et al. On the detection of signaling DoS attacks on 3G/WiMax wireless networks
US20210250771A1 (en) Method For Determining Class Information And Apparatus
EP2792178B1 (en) Method for detection of persistent malware on a network node
US8565755B1 (en) Network control of radio resources to mitigate network overuse by machine to machine devices
EP3195539B1 (en) Methods and nodes for handling overload
US20210250811A1 (en) Method for controlling connection between terminal and network, and related apparatus
Gelenbe et al. Detection and mitigation of signaling storms in mobile networks
US9219976B2 (en) Private branch exchange system, private branch exchange server, and communication method
Wu et al. Defending against DoS attacks on 3G cellular networks via randomization method
KR101444899B1 (en) Detection System and Method for DCH starvation DoS attack in 3G
US20150341361A1 (en) Controlling a Mobile Device in a Telecommunications Network
CN106470421A (en) A kind of method and apparatus preventing malicious peer from illegally occupying resources of core network
JP2015115794A (en) Transfer device, transfer method, and transfer program
KR101013274B1 (en) Method and system for intercepting unusual call in wireless data communication environment
KR101564228B1 (en) SYSTEM FOR DETECTING SIGNALING DoS TRAFFIC IN MOBILE COMMUNICATION NETWORK AND METHOD THEREOF
KR101253615B1 (en) Security system on 3g wcdma networks
Park et al. Threats and countermeasures on a 4G mobile network
Park et al. Vestiges of past generation: Threats to 5G core network
Gelenbe et al. Time-outs and counters against storms
EP4181554A1 (en) Traffic control server and method
KR102276090B1 (en) Method and apparatus for rearranging traffic data

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170918

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180903

Year of fee payment: 5