KR20150066239A - Apparatus and method for detecting abnormal sdp message in 4g mobile networks - Google Patents
Apparatus and method for detecting abnormal sdp message in 4g mobile networks Download PDFInfo
- Publication number
- KR20150066239A KR20150066239A KR1020130151553A KR20130151553A KR20150066239A KR 20150066239 A KR20150066239 A KR 20150066239A KR 1020130151553 A KR1020130151553 A KR 1020130151553A KR 20130151553 A KR20130151553 A KR 20130151553A KR 20150066239 A KR20150066239 A KR 20150066239A
- Authority
- KR
- South Korea
- Prior art keywords
- packet
- user terminal
- address
- gtp
- teid
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/1016—IP multimedia subsystem [IMS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/102—Gateways
- H04L65/1033—Signalling gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1069—Session establishment or de-establishment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1101—Session protocols
- H04L65/1104—Session initiation protocol [SIP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/60—Network streaming of media packets
- H04L65/65—Network streaming protocols, e.g. real-time transport protocol [RTP] or real-time control protocol [RTCP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/128—Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
Abstract
Description
본 발명은 비정상 SDP 메시지 탐지 장치 및 방법에 관한 것으로, 보다 상세하게는 4G 모바일 네트워크에서의 비정상 SDP 메시지 탐지 장치 및 방법에 관한 것이다.The present invention relates to an apparatus and method for detecting an abnormal SDP message, and more particularly, to an apparatus and method for detecting an abnormal SDP message in a 4G mobile network.
GTP(GPRS Tunneling Protocol)는 이동 통신 네트워크, 특히 3G 또는 4G 네트워크 내에서 사용되는 프로토콜로서, 시그널링을 위한 GTP-C 패킷과 데이터 전송을 위한 GTP-U 패킷으로 구성된다.GTP (GPRS Tunneling Protocol) is a protocol used in mobile communication networks, especially 3G or 4G networks. It consists of GTP-C packets for signaling and GTP-U packets for data transmission.
이동 통신 네트워크 내에서는 VoLTE 호 설정을 위한 SIP(Session Initiaion Protocol) 메시지가 GTP 패킷에 포함되어 전송될 수 있다. SIP 메시지는 메시지 바디에 해당하는 SDP 메시지를 포함할 수 있다.In the mobile communication network, a Session Initiation Protocol (SIP) message for setting up a VoLTE call may be included in the GTP packet and transmitted. The SIP message may include an SDP message corresponding to the message body.
이러한 GTP는, 사용자 단말기(예를 들어, 스마트폰 등)의 데이터 서비스를 위하여, 데이터 호 설정, 갱신, 삭제 등과 같은 시그널링 및 데이터 전송을 수행하도록 고안되었으나, 이동 통신 네트워크를 위협하는 공격 등에 대한 침입 탐지 방법은 고려되지 않았다.Such a GTP is designed to perform signaling and data transmission, such as data call setup, update, deletion, etc., for data services of a user terminal (e.g., a smart phone, etc.) Detection methods were not considered.
따라서, SDP 메시지 내의 IP 주소가 조작된 경우에도, GTP 패킷은 제약 없이 외부 네트워크(예를 들어, IMS 네트워크)로 전달될 수 있다. 그리고, 이러한 비정상 SDP 메시지는 이동 통신 네트워크 내에서 RTP 패킷의 오전송을 유발하여, 이동 통신 네트워크 내의 다른 사용자 단말 간의 음성 통화를 도청하는 데에 이용되는 등의 위협이 될 수 있다.Therefore, even when the IP address in the SDP message is manipulated, the GTP packet can be passed to the external network (e.g., IMS network) without restriction. The abnormal SDP message may cause a false transmission of the RTP packet in the mobile communication network, and may be a threat to be used for eavesdropping voice calls between other user terminals in the mobile communication network.
본 발명이 해결하려는 과제는, 4G 모바일 네트워크 내에서 SDP 메시지 내의 사용자 단말 IP 주소를 조작하여 RTP 패킷의 오전송을 유발할 수 있는, 비정상 SDP 메시지 탐지 장치를 제공하는 것이다.SUMMARY OF THE INVENTION It is an object of the present invention to provide an apparatus for detecting an abnormal SDP message which can cause an erroneous transmission of an RTP packet by manipulating a user terminal IP address in an SDP message in a 4G mobile network.
본 발명이 해결하려는 다른 과제는, 4G 모바일 네트워크 내에서 SDP 메시지 내의 사용자 단말 IP 주소를 조작하여 RTP 패킷의 오전송을 유발할 수 있는, 비정상 SDP 메시지 탐지 방법을 제공하는 것이다.Another problem to be solved by the present invention is to provide a method of detecting an abnormal SDP message that can cause an erroneous transmission of an RTP packet by manipulating a user terminal IP address in a SDP message in a 4G mobile network.
본 발명이 해결하려는 과제들은 이상에서 언급한 과제들로 제한되지 않으며, 언급되지 않은 또 다른 과제들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.The problems to be solved by the present invention are not limited to the above-mentioned problems, and other matters not mentioned can be clearly understood by those skilled in the art from the following description.
상기 과제를 해결하기 위한 본 발명의 4G 모바일 네트워크에서의 비정상 SDP 메시지 탐지 장치의 일 면(aspect)은 GTP(GPRS Tunneling Protocol)-U 패킷의 헤더로부터 제1 TEID를 추출하고, 페이로드 내의 SDP(Session Description Protocol) 메시지로부터 제1 사용자 단말 IP 주소를 추출하는 패킷 정보 추출부, 제2 TEID 및 제2 사용자 단말 IP 주소를 포함하는 세션 정보를 저장하는 세션 정보 저장부, 상기 제1 TEID와 상기 제2 TEID가 서로 동일하고, 상기 제1 사용자 단말 IP 주소와 상기 제2 사용자 단말 IP 주소가 서로 다른지에 기초하여, 상기 SDP 메시지가 비정상 SDP 메시지인지 탐지하는 패킷 분석부, 및 상기 SDP 메시지가 비정상 SDP 메시지이면, 탐지 정책에 따라 상기 GTP-U 패킷을 처리하는 패킷 처리부를 포함하되, 상기 제1 사용자 단말 IP 주소 및 상기 제2 사용자 단말 IP 주소는 RTP(Real-time Transport Protocol) 패킷의 송수신을 위한 사용자 단말 IP 주소이다.An aspect of the apparatus for detecting abnormal SDP messages in a 4G mobile network of the present invention for extracting a first TEID from a header of a GTP (GPRS Tunneling Protocol) -U packet, A session information storage unit for storing session information including a second TEID and a second user terminal IP address, a session information storage unit for storing the first TEID and the second user terminal IP address, A packet analyzer for detecting whether the SDP message is an abnormal SDP message based on whether the first user terminal IP address and the second user terminal IP address are different from each other and whether the SDP message is an abnormal SDP Message, the GTP-U packet is processed according to a detection policy, wherein the first user terminal IP address and the second user terminal IP address are RTP (R eal-time Transport Protocol) packet.
상기 과제를 해결하기 위한 본 발명의 4G 모바일 네트워크에서의 비정상 SDP 메시지 탐지 장치의 다른 면은 GTP(GPRS Tunneling Protocol)-U 패킷의 헤더로부터 제1 TEID를 추출하고, 페이로드 내의 SDP(Session Description Protocol) 메시지로부터 제1 사용자 단말 IP 주소를 추출하는 GTP-U 패킷 정보 추출부, GTP-C 패킷의 페이로드로부터 제2 TEID 및 제2 사용자 단말 IP 주소를 추출하는 GTP-C 패킷 정보 추출부, 상기 제2 TEID 및 상기 제2 사용자 단말 IP 주소를 포함하는 세션 정보를 저장하는 세션 정보 저장부, 상기 제1 TEID와 상기 제2 TEID, 및 상기 제1 사용자 단말 IP 주소와 상기 제2 사용자 단말 IP 주소의 비교 결과에 기초하여, 상기 SDP 메시지가 비정상 SDP 메시지인지 탐지하는 패킷 분석부, 및 상기 SDP 메시지가 비정상 SDP 메시지이면, 탐지 정책에 따라 상기 GTP-U 패킷을 처리하는 패킷 처리부를 포함하되, 상기 제1 사용자 단말 IP 주소 및 상기 제2 사용자 단말 IP 주소는 RTP(Real-time Transport Protocol) 패킷의 송수신을 위한 사용자 단말 IP 주소이다.Another aspect of the apparatus for detecting an abnormal SDP message in a 4G mobile network of the present invention is to extract a first TEID from a header of a GTP (GPRS Tunneling Protocol) -U packet, A GTP-U packet information extractor for extracting a first user terminal IP address from the GTP-C message, a GTP-C packet information extractor for extracting a second TEID and a second user terminal IP address from the payload of the GTP-C packet, A first TEID, a second TEID, and a second user terminal IP address, a first TEID, a second TEID, and a first user terminal IP address and a second user terminal IP address A packet analyzer for detecting whether the SDP message is an abnormal SDP message based on a comparison result of the SDP message and a GOP-U packet according to a detection policy if the SDP message is an abnormal SDP message The first user terminal IP address and the second user terminal IP address are user terminal IP addresses for transmitting and receiving RTP (Real-time Transport Protocol) packets.
상기 과제를 해결하기 위한 본 발명의 4G 모바일 네트워크에서의 비정상 SDP 메시지 탐지 시스템의 일 면은 세션 정보를 이용하여 비정상 SDP 메시지를 탐지하는 비정상 SDP 메시지 탐지 장치, 및 GTP(GPRS Tunneling Protocol)-C 패킷으로부터 상기 세션 정보를 추출하여 생성하는 세션 정보 수집 장치를 포함하되, 상기 비정상 SDP 메시지 탐지 장치는, 상기 세션 정보 수집 장치로부터 제2 TEID 및 제2 사용자 단말 IP 주소를 포함하는 상기 세션 정보를 수신하여 저장하는 세션 정보 저장부와, GTP-U 패킷의 헤더로부터 제1 TEID를 추출하고, 페이로드 내의 SDP(Session Description Protocol) 메시지로부터 제1 사용자 단말 IP 주소를 추출하는 GTP-U 패킷 정보 추출부와, 상기 제1 TEID와 상기 제2 TEID, 및 상기 제1 사용자 단말 IP 주소와 상기 제2 사용자 단말 IP 주소의 비교 결과에 기초하여, 상기 SDP 메시지가 비정상 SDP 메시지인지 탐지하는 패킷 분석부와, 상기 SDP 메시지가 비정상 SDP 메시지이면, 탐지 정책에 따라 상기 GTP-U 패킷을 처리하는 패킷 처리부를 포함하고, 상기 세션 정보 수집 장치는, 상기 GTP-C 패킷의 페이로드로부터 상기 제2 TEID 및 상기 제2 사용자 단말 IP 주소를 추출하는 GTP-C 패킷 정보 추출부와, 상기 제2 TEID 및 상기 제2 사용자 단말 IP 주소를 포함하는 상기 세션 정보를 생성하는 세션 정보 생성부를 포함하고, 상기 제1 사용자 단말 IP 주소 및 상기 제2 사용자 단말 IP 주소는 RTP(Real-time Transport Protocol) 패킷의 송수신을 위한 사용자 단말 IP 주소이다.According to an aspect of the present invention, there is provided an abnormal SDP message detection system for detecting an abnormal SDP message using session information, a GDP (GPRS Tunneling Protocol) Wherein the abnormal SDP message detecting apparatus receives the session information including the second TEID and the second user terminal IP address from the session information collecting apparatus and extracts the session information from the session information collecting apparatus A GTP-U packet information extracting unit for extracting a first TEID from a header of a GTP-U packet and extracting a first user terminal IP address from an SDP (Session Description Protocol) message in a payload; Based on a result of the comparison between the first TEID and the second TEID and the IP address of the first user terminal and the IP address of the second user terminal And a packet processor for processing the GTP-U packet according to a detection policy if the SDP message is an abnormal SDP message, the packet analyzer comprising: a packet analyzer for detecting whether the SDP message is an abnormal SDP message; A GTP-C packet information extracting unit for extracting the second TEID and the second user terminal IP address from the payload of the GTP-C packet, and a GTP-C packet information extracting unit for extracting the second TEID and the second user terminal IP address from the payload of the GTP- The first user terminal IP address and the second user terminal IP address are user terminal IP addresses for transmitting and receiving RTP (Real-time Transport Protocol) packets.
상기 과제를 해결하기 위한 본 발명의 4G 모바일 네트워크에서의 비정상 SDP 메시지 탐지 방법의 일 면은 GTP(GPRS Tunneling Protocol)-U 패킷의 헤더로부터 제1 TEID를 추출하는 단계, 상기 제1 TEID와 세션 정보의 제2 TEID가 동일한지 판단하는 단계, 상기 제1 TEID와 상기 제2 TEID가 동일하면, 상기 GTP-U 패킷의 페이로드 내의 SDP(Session Description Protocol) 메시지로부터 제1 사용자 단말 IP 주소를 추출하는 단계, 상기 제1 사용자 단말 IP 주소와 상기 세션 정보의 상기 제2 TEID와 대응하는 제2 사용자 단말 IP 주소가 동일한지 판단하는 단계, 및 상기 제1 사용자 단말 IP 주소와 상기 제2 사용자 단말 IP 주소가 서로 다르면, 상기 SDP 메시지를 비정상 SDP 메시지로 탐지하는 단계를 포함하되, 상기 제1 사용자 단말 IP 주소 및 상기 제2 사용자 단말 IP 주소는 RTP(Real-time Transport Protocol) 패킷의 송수신을 위한 사용자 단말 IP 주소이다.According to an aspect of the present invention, there is provided a method for detecting an abnormal SDP message in a 4G mobile network, including extracting a first TEID from a header of a GTP (GPRS Tunneling Protocol) -U packet, If the first TEID and the second TEID are the same, extracting a first user terminal IP address from an SDP (Session Description Protocol) message in a payload of the GTP-U packet Determining whether the first user terminal IP address and the second TEID of the session information are the same as a corresponding second user terminal IP address, and determining whether the first user terminal IP address and the second user terminal IP address Detecting an SDP message as an abnormal SDP message if the first user terminal IP address and the second user terminal IP address are different from each other, wherein the first user terminal IP address and the second user terminal IP address are RTP (Real-time Transport Protocol) It is the user terminal IP address for sending and receiving packets.
본 발명의 기타 구체적인 사항들은 상세한 설명 및 도면들에 포함되어 있다.Other specific details of the invention are included in the detailed description and drawings.
상술한 본 발명의 4G 모바일 네트워크에서의 비정상 SDP 메시지 탐지 장치 및 방법에 따르면, GTP-U 패킷의 헤더로부터 제1 TEID를 추출하고, 상기 GTP-U 패킷의 페이로드 내의 SDP 메시지로부터 제1 사용자 단말 IP 주소를 추출하여, 세션 정보에 저장된 제2 TEID 및 제2 사용자 단말 IP 주소와 동일한지 비교하므로, SDP 메시지 내의 사용자 단말 IP 주소를 조작하여 RTP 패킷의 오전송을 유발할 수 있는 비정상 SDP 메시지를 탐지하고 이를 차단할 수 있다.According to the apparatus and method for detecting an abnormal SDP message in the 4G mobile network of the present invention, the first TEID is extracted from the header of the GTP-U packet and the first TEID is extracted from the SDP message in the payload of the GTP- The second TEID stored in the session information and the second user terminal IP address are compared with each other to determine whether the abnormal SDP message that can cause the erroneous transmission of the RTP packet is detected by operating the IP address of the user terminal in the SDP message And can block it.
도 1은 본 발명의 일 실시예에 따른 비정상 SDP 메시지 탐지 장치를 설명하기 위한 블록도이다.
도 2는 4G 모바일 네트워크 내에서 전송되는 비정상 SDP 메시지를 설명하기 위한 도면이다.
도 3은 비정상 SDP 메시지에 따른 RTP 패킷의 오전송을 설명하기 위한 도면이다.
도 4는 SIP 메시지 내에 포함되는 값들을 개략적으로 설명하기 위한 도면이다.
도 5는 도 1의 세션 정보 저장부에 저장된 세션 정보를 설명하기 위한 테이블이다.
도 6은 비정상 SDP 메시지의 탐지 정보를 세부적으로 설명하기 위한 테이블이다.
도 7은 본 발명의 일 실시예에 따른 비정상 SDP 메시지 탐지 방법을 설명하기 위한 흐름도이다.
도 8은 본 발명의 다른 실시예에 따른 비정상 SDP 메시지 탐지 장치를 설명하기 위한 블록도이다.
도 9는 4G 모바일 네트워크에서 GTP 터널의 생성 과정을 설명하기 위한 도면이다.
도 10은 본 발명의 일 실시예에 따른 비정상 SDP 메시지 탐지 시스템을 설명하기 위한 블록도이다.
도 11은 본 발명의 몇몇 실시예에 따른 비정상 SDP 메시지 탐지 장치가 적용되는 4G 모바일 네트워크 구조를 설명하기 위한 도면이다.1 is a block diagram illustrating an apparatus for detecting abnormal SDP messages according to an exemplary embodiment of the present invention.
2 is a diagram for explaining an abnormal SDP message transmitted in a 4G mobile network.
3 is a diagram for explaining the erroneous transmission of an RTP packet according to an abnormal SDP message.
4 is a diagram for schematically explaining values included in a SIP message.
5 is a table for explaining session information stored in the session information storage unit of FIG.
6 is a table for explaining detection information of an abnormal SDP message in detail.
7 is a flowchart illustrating an abnormal SDP message detection method according to an embodiment of the present invention.
8 is a block diagram illustrating an apparatus for detecting an abnormal SDP message according to another embodiment of the present invention.
9 is a diagram for explaining a process of generating a GTP tunnel in a 4G mobile network.
10 is a block diagram illustrating an abnormal SDP message detection system according to an exemplary embodiment of the present invention.
11 is a diagram for explaining a 4G mobile network structure to which an abnormal SDP message detection apparatus according to some embodiments of the present invention is applied.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.BRIEF DESCRIPTION OF THE DRAWINGS The advantages and features of the present invention and the manner of achieving them will become apparent with reference to the embodiments described in detail below with reference to the accompanying drawings. The present invention may, however, be embodied in many different forms and should not be construed as being limited to the embodiments set forth herein. Rather, these embodiments are provided so that this disclosure will be thorough and complete, and will fully convey the scope of the invention to those skilled in the art. Is provided to fully convey the scope of the invention to those skilled in the art, and the invention is only defined by the scope of the claims. Like reference numerals refer to like elements throughout the specification.
각 블록은 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또한, 몇 가지 대체 실행 예들에서는 블록들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대 잇달아 도시되어 있는 두 개의 블록들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.Each block may represent a portion of a module, segment, or code that includes one or more executable instructions for executing the specified logical function (s). It should also be noted that in some alternative implementations the functions mentioned in the blocks may occur out of order. For example, two blocks that are shown one after the other may actually be executed substantially concurrently, or the blocks may sometimes be performed in reverse order according to the corresponding function.
비록 제1, 제2 등이 다양한 소자, 구성요소 및/또는 섹션들을 서술하기 위해서 사용되나, 이들 소자, 구성요소 및/또는 섹션들은 이들 용어에 의해 제한되지 않음은 물론이다. 이들 용어들은 단지 하나의 소자, 구성요소 또는 섹션들을 다른 소자, 구성요소 또는 섹션들과 구별하기 위하여 사용하는 것이다. 따라서, 이하에서 언급되는 제1 소자, 제1 구성요소 또는 제1 섹션은 본 발명의 기술적 사상 내에서 제2 소자, 제2 구성요소 또는 제2 섹션일 수도 있음은 물론이다.Although the first, second, etc. are used to describe various elements, components and / or sections, it is needless to say that these elements, components and / or sections are not limited by these terms. These terms are only used to distinguish one element, element or section from another element, element or section. Therefore, it goes without saying that the first element, the first element or the first section mentioned below may be the second element, the second element or the second section within the technical spirit of the present invention.
본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성요소, 단계, 동작 및/또는 소자는 하나 이상의 다른 구성요소, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.The terminology used herein is for the purpose of illustrating embodiments and is not intended to be limiting of the present invention. In the present specification, the singular form includes plural forms unless otherwise specified in the specification. It is noted that the terms "comprises" and / or "comprising" used in the specification are intended to be inclusive in a manner similar to the components, steps, operations, and / Or additions.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.Unless defined otherwise, all terms (including technical and scientific terms) used herein may be used in a sense commonly understood by one of ordinary skill in the art to which this invention belongs. Also, commonly used predefined terms are not ideally or excessively interpreted unless explicitly defined otherwise.
도 1은 본 발명의 일 실시예에 따른 비정상 SDP 메시지 탐지 장치를 설명하기 위한 블록도이다.1 is a block diagram illustrating an apparatus for detecting abnormal SDP messages according to an exemplary embodiment of the present invention.
도 1을 참조하면, 본 발명의 일 실시예에 따른 비정상 SDP 메시지 탐지 장치(100)는 NIC(Network Interface Card; 110a, 110b), 패킷 정보 추출부(120), 패킷 분석부(130), 세션 정보 저장부(140), 탐지 정보 저장부(150), 패킷 처리부(160)를 포함한다.1, an abnormal SDP
NIC(110a)는 GTP-U 패킷을 수신하여 패킷 정보 추출부(120)에 전송하고, NIC(110b)는 패킷 처리부(150)의 제어 신호에 따라 GTP-U 패킷을 전송(forward)하거나 차단(drop)할 수 있다. NIC(110a, 110b)는 일반적인 네트워크 인터페이스 카드 또는 하드웨어 가속 네트워크 인터페이스 카드일 수 있다.The NIC 110a receives the GTP-U packet and transmits it to the packet
GTP-U 패킷은 이동 통신 네트워크 내에서 사용자 패킷을 전송하기 위해 사용된다. NIC(110a, 110b)가 처리하는 GTP-U 패킷은 사용자 단말로부터 외부 네트워크(예를 들어, 인터넷)를 향해 전송되는 GTP-U 패킷일 수 있다.The GTP-U packet is used to transmit user packets within the mobile communication network. The GTP-U packet processed by the NICs 110a, 110b may be a GTP-U packet that is transmitted from the user terminal to an external network (e.g., the Internet).
패킷 정보 추출부(120)는 GTP-U 패킷으로부터 각종 패킷 정보를 추출할 수 있다. 패킷 정보 추출부(120)는 각종 패킷 정보를 구조화된 자료 형태로 가공하여 패킷 분석부(130)에 전송할 수 있다.The packet
비정상 SDP 메시지를 탐지하기 위한 정보로서, 패킷 정보 추출부(120)는 GTP-U 패킷의 헤더(header)로부터 TEID(Tunnel Endpoint Identifier)를 추출할 수 있다. 패킷 정보 추출부(120)에 의하여 추출되는 TEID는 업링크(uplink) TEID일 수 있다. 여기서, 업링크는 사용자 단말로부터 외부 네트워크를 향해 GTP-U 패킷이 전송되는 경우를 나타내고, 다운링크(downlink)는 외부 네트워크로부터 사용자 단말을 향해 GTP-U 패킷이 전송되는 경우를 나타낼 수 있다.As information for detecting an abnormal SDP message, the packet
또한, 패킷 정보 추출부(120)는 GTP-U 패킷의 페이로드(payload) 내의 SIP(Session Initiaion Protocol) 메시지를 추출할 수 있다. SIP 메시지는 VoLTE 호 연결을 위해 사용된다. 예를 들어, SIP 메시지는 SIP 초대(INVITE) 메시지일 수 있다. 패킷 정보 추출부(120)는 SIP 메시지의 메시지 바디에 해당하는 SDP (Session Description Protocol) 메시지로부터 사용자 단말 IP 주소를 추출할 수 있다.In addition, the packet
패킷 정보 추출부(120)는 GTP-U 패킷의 페이로드 내에 SDP 메시지가 존재하는지 판단하고, SDP 메시지가 존재하는 때에 상술한 비정상 SDP 메시지를 탐지하기 위한 정보를 추출할 수 있다.The packet
추가적으로, 비정상 SDP 메시지의 탐지 정보를 생성하기 위해서, 패킷 정보 추출부(120)는 GTP-U 패킷의 헤더 내의 TEID(Tunnel Endpoint Identifier) 필드, GTP-U 패킷의 페이로드 내의 MSISDN(Mobile Subscriber ISDN Number) 필드, 목적지 IP(Internet Protocol) 필드, 목적지 포트 필드, 출발지 IP 필드, 출발지 포트 필드 등의 값을 추출할 수도 있다.In addition, in order to generate detection information of an abnormal SDP message, the packet
비정상 SDP 메시지는 SDP 메시지 내의 사용자 단말 IP 주소를 조작하여 RTP 패킷의 오전송을 유발할 수 있는 메시지를 나타낼 수 있다.The abnormal SDP message may indicate a message that can cause the mis-transmission of the RTP packet by manipulating the IP address of the user terminal in the SDP message.
도 2는 4G 모바일 네트워크 내에서 전송되는 비정상 SDP 메시지를 설명하기 위한 도면이다.2 is a diagram for explaining an abnormal SDP message transmitted in a 4G mobile network.
도 2를 참조하면, 4G 모바일 네트워크는 eNodeB(1200), S-GW(Serving Gateway; 1400)를 포함할 수 있다.Referring to FIG. 2, the 4G mobile network may include an
eNodeB(1200)는 S-GW(1400)와 연결될 수 있고, eNodeB(1200)와 S-GW(1400) 사이에는 S1-u GTP 터널이 형성될 수 있다. S1-u GTP 터널은 데이터 전송을 위한 GTP 터널일 수 있다. S1-u GTP 터널을 통해서, GTP-U 패킷(10)이 eNodeB(1200)로부터 S-GW(1400)를 향해 전송될 수 있다.The
도 2에는 명확하게 도시하지 않았으나, S-GW(1400)는 수신한 GTP-U 패킷(10)을 P-GW(PDN Gateway)로 전송할 수도 있다.2, the S-
GTP-U 패킷(10)의 헤더에는 GTP 터널용 IP 헤더, UDP 헤더, GTP-U 헤더가 결합되고, GTP-U 패킷(10)의 페이로드에는 사용자 패킷이 캡슐화될 수 있다. GTP-U 헤더에는 상술한 TEID가 포함될 수 있다. 사용자 패킷은 VoLTE 호 설정을 위한 SDP 메시지를 포함할 수 있다. 그리고, SDP 메시지 내에는 RTP(Real-time Transport Protocol) 패킷의 송수신을 위한 사용자 단말 IP 주소가 포함될 수 있다.The IP header for the GTP tunnel, the UDP header, and the GTP-U header are combined in the header of the GTP-
도 2는 이러한 사용자 단말 IP 주소가 조작된 경우를 도시한다. 사용자 단말 IP 주소가 조작된 비정상 SDP 메시지는 RTP 패킷의 오전송을 유발할 수 있다.FIG. 2 shows a case where the user terminal IP address is manipulated. The abnormal SDP message, in which the IP address of the user terminal is manipulated, may cause the RTP packet to be erroneously transmitted.
도 3은 비정상 SDP 메시지에 따른 RTP 패킷의 오전송을 설명하기 위한 도면이다.3 is a diagram for explaining the erroneous transmission of an RTP packet according to an abnormal SDP message.
도 3을 참조하면, 개략적으로, 발신자 단말(1100a)이 송신한 SIP 초대(INVITE) 메시지가 수신자 단말(1100b)에 전송되고, 수신자 단말(1100b)이 송신한 200 OK 메시지가 발신자 단말(1100a)에 전송되면, VoLTE 호 설정이 완료될 수 있다.3, the SIP Invite message transmitted from the
VoLTE 호 설정 과정에서 SIP 메시지는 4G 네트워크(1000) 내의 P-GW(1500a, 1500b, 1500c)와, IMS 네트워크(2000) 내의 P-CSCF(2100), I-CSCF(Interrogating Call Session Control Function; 2200), S-CSCF(Serving Call Session Control Function; 2300) 등을 경유하여 전달될 수 있다.In the VoLTE call setup process, the SIP message is transmitted to the P-
VoLTE 호 설정이 완료되면, 발신자 단말(1100a)과 수신자 단말(1100b)은 RTP(Real-time Transport Protocol) 패킷을 이용하여 보이스 트래픽을 송수신할 수 있다.When the VoLTE call setup is completed, the
그 밖의 VoLTE 호 설정 과정에 관한 내용은 본 발명이 속하는 기술 분야의 통상의 기술자에게 자명하고, 이에 관한 상세한 설명은 본 발명의 요지를 흐릴 수 있으므로, 이하 상세한 설명은 생략하기로 한다.Other VoLTE call setup procedures will be apparent to those skilled in the art, and detailed description thereof will not be described in detail since the gist of the present invention may be obscured.
한편, SIP 메시지의 메시지 바디에 해당하는 SDP 메시지의 값들을 조작하는 경우, 즉 RTP 패킷의 송수신을 위한 사용자 단말 IP 주소를 공격자(1600)의 IP 주소로 조작하는 경우, 발신자 단말(1100a) 또는 수신자 단말(1100b)이 전송하는 RTP 패킷이 공격자(1600)에게 전달될 수 있다. 공격자는 RTP 패킷을 분석하여 발신자 단말(1100a)과 수신자 단말(1100b) 간의 음성 통화 내용을 확인할 수 있다. 특히, 공격자가 전달받은 RTP 패킷을 발신자 단말(1100a) 또는 수신자 단말(1100b)에게 다시 전송(forward)하는 경우, 해당 단말은 RTP 패킷의 오전송 사실을 파악할 수 없다. 이와 같이, 비정상 SDP 메시지가 전송되는 경우, 도청 등의 위협이 있을 수 있다.Meanwhile, when the values of the SDP message corresponding to the message body of the SIP message are manipulated, that is, when the user terminal IP address for transmitting / receiving the RTP packet is manipulated by the IP address of the
본 발명의 실시예에 따른 비정상 SDP 메시지 탐지 장치(100)는 이러한 비정상 SDP 메시지를 탐지하기 위하여, GTP 터널의 생성시 할당된 TEID 및 사용자 단말 IP 주소를 세션 정보로 미리 저장하고, 세션 정보와 GTP-U 패킷으로부터 추출된 TEID 및 사용자 단말 IP 주소를 비교할 수 있다.In order to detect the abnormal SDP message, the
도 4는 SIP 메시지 내에 포함되는 값들을 개략적으로 설명하기 위한 도면이다.4 is a diagram for schematically explaining values included in a SIP message.
도 4를 참조하면, SIP 메시지는 메시지 헤더(Message Header)와 메시지 바디(Message Body)를 포함할 수 있다. SIP 메시지의 메시지 헤더와 메시지 바디에는 각종 필드들이 포함될 수 있다. 여기서, SIP 메시지의 메시지 바디는 상술한 SDP 메시지에 해당할 수 있다.Referring to FIG. 4, the SIP message may include a message header and a message body. The message header and the message body of the SIP message may include various fields. Here, the message body of the SIP message may correspond to the above-described SDP message.
예를 들어, SIP 메시지의 메시지 바디는 Connection Information 필드, Media Description, name and address 필드 등을 포함할 수 있다. Connection Information 필드에는 RTP 패킷의 송수신을 위한 사용자 단말 IP 주소가 기록되고, Media Description, name and address 필드에는 RTP 패킷의 송수신을 위한 포트가 기록될 수 있다. For example, the message body of a SIP message may include a Connection Information field, a Media Description, a name and address field, and the like. In the Connection Information field, a user terminal IP address for transmitting / receiving an RTP packet is recorded, and a port for transmitting / receiving an RTP packet is recorded in a Media Description, name and address field.
패킷 정보 추출부(120)는 SIP 메시지의 메시지 바디의 Connection Information 필드로부터 사용자 단말 IP 주소를 추출할 수 있다.The packet
도 4에는 명확하게 도시하지 않았으나, SIP 메시지의 메시지 바디에는 사용자 단말 IP 주소가 기록되는 다른 필드들이 더 포함될 수 있다. 실시예에 따라, 패킷 정보 추출부(120)는 이러한 필드들로부터 사용자 단말 IP 주소를 추출하도록 변형될 수 있다.Although not clearly shown in FIG. 4, the message body of the SIP message may further include other fields in which a user terminal IP address is recorded. According to the embodiment, the packet
이하에서는, 각각의 TEID 및 사용자 단말 IP 주소를 서로 구별하기 위해서, GTP-U 패킷으로부터 추출된 TEID 및 사용자 단말 IP 주소를 제1 TEID 및 제1 사용자 단말 IP 주소로 언급하고, 세션 정보에 포함되는 TEID 및 사용자 단말 IP 주소를 제2 TEID 및 제2 사용자 단말 IP 주소로 언급하여 설명하기로 한다.Hereinafter, the TEID extracted from the GTP-U packet and the user terminal IP address are referred to as the first TEID and the first user terminal IP address to distinguish the TEID and the user terminal IP address from each other, The TEID and the user terminal IP address will be referred to as the second TEID and the second user terminal IP address.
다시 도 1을 참조하면, 패킷 분석부(130)는 비정상 SDP 메시지 탐지 동작을 수행할 수 있다. 패킷 분석부(130)는 제1 TEID와 제2 TEID, 및 제1 사용자 단말 IP 주소와 제2 사용자 단말 IP 주소를 비교하고, 비교 결과에 기초하여 비정상 SDP 메시지를 탐지할 수 있다.Referring again to FIG. 1, the
세션 정보 저장부(140)는 제2 TEID 및 제2 사용자 단말 IP 주소를 포함하는 세션 정보를 미리 저장할 수 있다. 제2 TEID 및 제2 사용자 단말 IP 주소는 GTP-C 패킷으로부터 추출될 수 있다. GTP-C 패킷은 이동 통신 네트워크 내에서 데이터 호 설정, 갱신, 삭제 등과 같은 시그널링을 수행하기 위해 사용된다.The session
도 5는 도 1의 세션 정보 저장부에 저장된 세션 정보를 설명하기 위한 테이블이다.5 is a table for explaining session information stored in the session information storage unit of FIG.
도 5를 참조하면, 세션 정보는 제2 TEID 및 제2 사용자 단말 IP 주소를 포함한다. 제2 TEID는 업링크 Data TEID일 수 있다. 즉, 제2 TEID는 사용자 단말로부터 외부 네트워크를 향해 전송되는 GTP-U 패킷에 관한 것이다. 제2 사용자 단말 IP 주소는 IMS용 IP 주소이다. 즉, 제2 사용자 단말 IP 주소는 RTP 패킷의 송수신을 위한 IP 주소에 관한 것이다. 제2 사용자 단말 IP 주소는 대응하는 제2 TEID와 매핑되어 저장될 수 있다.Referring to FIG. 5, the session information includes a second TEID and a second user terminal IP address. The second TEID may be an uplink Data TEID. That is, the second TEID relates to a GTP-U packet that is transmitted from the user terminal to the external network. The second user terminal IP address is an IMS IP address. That is, the IP address of the second user terminal is related to the IP address for transmitting / receiving the RTP packet. The second user terminal IP address may be mapped to the corresponding second TEID and stored.
다시 도 1을 참조하면, 패킷 분석부(130)는 제1 TEID와 제2 TEID, 및 제1 사용자 단말 IP 주소와 제2 사용자 단말 IP 주소를 비교하기 위해서, 먼저 제1 TEID와 동일한 제2 TEID가 세션 정보 내에 존재하는지 판단할 수 있다. 다음으로, 패킷 분석부(130)는 제1 TEID와 동일한 제2 TEID가 세션 정보 내에 존재하면, 세션 정보로부터 상기 제2 TEID와 대응하는 제2 사용자 단말 IP 주소를 추출할 수 있다. 그리고, 패킷 분석부는 제1 사용자 단말 IP 주소와 제2 사용자 단말 IP 주소가 동일한지 판단할 수 있다. 패킷 분석부(130)는 제1 사용자 단말 IP 주소와 제2 사용자 단말 IP 주소가 서로 다르면, GTP-U 패킷에 포함된 SDP 메시지를 비정상 SDP 메시지로 판단할 수 있다.Referring again to FIG. 1, in order to compare the first TEID and the second TEID, and the IP address of the first user terminal and the IP address of the second user terminal, the
도 6은 비정상 SDP 메시지의 탐지 정보를 세부적으로 설명하기 위한 테이블이다.6 is a table for explaining detection information of an abnormal SDP message in detail.
도 6을 참조하면, 탐지 정보 저장부(150)는 비정상 SDP 메시지의 탐지 결과에 따라, 비정상 SDP 메시지의 탐지 정보(또는, 로그)를 생성 및 저장할 수 있다.Referring to FIG. 6, the detection
예를 들어, 비정상 SDP 메시지의 탐지 정보는 탐지 시간, 탐지 항목, 사용자 단말 식별 번호, 차단 여부 등의 필드를 포함할 수 있다. 이외에도, 비정상 SDP 메시지의 탐지 정보는 TEID, 목적지 IP, 목적지 포트, 출발지 IP, 출발지 포트, 도용한 사용자 단말 식별 번호 등의 필드를 더 포함할 수도 있다.For example, the detection information of the abnormal SDP message may include fields such as detection time, detection item, user terminal identification number, blocking status, and the like. In addition, the detection information of the abnormal SDP message may further include fields such as a TEID, a destination IP, a destination port, a source IP, a source port, a used user terminal identification number, and the like.
다시 도 1을 참조하면, 패킷 처리부(160)는 비정상 SDP 메시지로 탐지된 GTP-U 패킷을 탐지 정책에 따라 처리할 수 있다. 패킷 처리부(160)는 비정상 SDP 메시지로 탐지된 GTP-U 패킷을 전송(forward)하거나 차단(drop)하도록 NIC(110b)를 제어할 수 있다. 여기서, GTP-U 패킷을 전송한다는 것은 GTP-U 패킷을 목적지 IP로 전송하는 것을 나타내고, GTP-U 패킷을 차단한다는 것은 GTP-U 패킷을 목적지 IP로 전송하지 않는 것을 나타낼 수 있다.Referring again to FIG. 1, the
도 1의 비정상 SDP 메시지 탐지 장치(100)에서, NIC(110a, 110b), 패킷 정보 추출부(120), 패킷 분석부(130), 세션 정보 저장부(140), 탐지 정보 저장부(150), 패킷 처리부(160)를 별도의 구성 요소로 설명하였으나, 실시예에 따라, 몇몇 구성 요소가 일체로 구성되도록 다양하게 변형될 수 있다.1, the NICs 110a and 110b, the packet
도 7은 본 발명의 일 실시예에 따른 비정상 SDP 메시지 탐지 방법을 설명하기 위한 흐름도이다.7 is a flowchart illustrating an abnormal SDP message detection method according to an embodiment of the present invention.
도 7을 참조하면, 본 발명의 일 실시예에 따른 비정상 SDP 메시지 탐지 방법에서는, 먼저 NIC(110a)에서, GTP-U 패킷을 수신한다(S201).Referring to FIG. 7, in the abnormal SDP message detection method according to an embodiment of the present invention, the
이어서, 패킷 추출부(120)에서, GTP-U 패킷의 목적지 포트가 SIP 포트인지 판단한다(S202). 예를 들어, 패킷 추출부(120)는 GTP-U 패킷의 목적지 포트의 값이 “5060”인지 판단하고, 목적지 포트의 값이 “5060”인 때에 상기 GTP-U 패킷이 SIP 메시지를 포함하는 것으로 판단할 수 있다.Then, the
이어서, 패킷 추출부(120)에서, GTP-U 패킷의 페이로드 내에 SDP 메시지가 존재하는지 판단한다(S203). SDP 메시지가 존재하지 않는 때에는, 패킷 분석부(130)가 이하의 비정상 SDP 메시지의 탐지 동작을 수행하지 않을 수 있다.Then, the
이어서, GTP-U 패킷의 페이로드 내에 SDP 메시지가 존재하면, 패킷 추출부(120)에서, GTP-U 패킷의 헤더로부터 제1 TEID를 추출하고, SDP 메시지로부터 제1 사용자 단말 IP 주소를 추출한다(S204). 상술한 바와 같이, 제1 TEID는 업링크 Data TEID일 수 있다. 패킷 정보 추출부(120)는 각종 패킷 정보를 구조화된 자료 형태로 가공할 수 있다.If there is an SDP message in the payload of the GTP-U packet, the
이어서, 패킷 분석부(130)에서, 제1 TEID와 동일한 제2 TEID가 세션 정보 내에 존재하는지 판단한다(S205).Then, the
이어서, 제1 TEID와 동일한 제2 TEID가 세션 정보 내에 존재하면, 패킷 분석부(130)에서, 패킷 정보 추출부(120)에 의해 가공된 정보로부터 제1 사용자 단말 IP 주소를 추출한다(S206). 상술한 바와 같이, 제1 사용자 단말 IP 주소는 IMS용 IP 주소일 수 있다.If the second TEID identical to the first TEID exists in the session information, the
이어서, 패킷 분석부(130)에서, 제1 사용자 단말 IP 주소와 제2 사용자 단말 IP 주소가 일치하는지 판단한다(S207). 상술한 바와 같이, 패킷 분석부(140)는 세션 정보로부터 상기 제2 TEID와 대응하는 제2 사용자 단말 IP 주소를 추출하고, 제1 사용자 단말 IP 주소와 제2 사용자 단말 IP 주소가 동일한지 판단할 수 있다.Next, the
이어서, 제1 사용자 단말 IP 주소와 제2 사용자 단말 IP 주소가 일치하지 않으면, 즉 제1 사용자 단말 IP 주소와 제2 사용자 단말 IP 주소가 서로 다르면, 패킷 분석부(130)에서, 상기 SDP 메시지를 비정상 SDP 메시지로 탐지하고, 탐지 정보 저장부(150)에서, 비정상 SDP 메시지의 탐지 정보를 생성 및 저장한다(S208). 상술한 바와 같이, 비정상 SDP 메시지의 탐지 정보는 탐지 시간, 탐지 항목, 사용자 단말 식별 번호, 차단 여부, TEID, 목적지 IP, 목적지 포트, 출발지 IP, 출발지 포트, 도용한 사용자 단말 식별 번호 등의 필드를 포함할 수 있다.If the first user terminal IP address and the second user terminal IP address do not match, that is, if the first user terminal IP address and the second user terminal IP address are different from each other, the
이어서, 패킷 처리부(160)에서, 비정상 SDP 메시지로 탐지된 GTP-U 패킷을 탐지 정책에 따라 처리한다(S209).Then, the
도 8은 본 발명의 다른 실시예에 따른 비정상 SDP 메시지 탐지 장치를 설명하기 위한 블록도이다. 설명의 편의를 위하여, 도 1과 차이점을 중점으로 하여 설명하기로 한다.8 is a block diagram illustrating an apparatus for detecting an abnormal SDP message according to another embodiment of the present invention. For convenience of explanation, the differences from FIG. 1 will be mainly described.
도 8을 참조하면, 본 발명의 다른 실시예에 따른 비정상 SDP 메시지 탐지 장치(300)는 NIC(310a, 310b), 패킷 분류부(320), GTP-C 패킷 정보 추출부(330), 세션 정보 생성부(340), 세션 정보 저장부(350), GTP-U 패킷 정보 추출부(360), 패킷 분석부(370), 탐지 정보 저장부(380), 패킷 처리부(390)을 포함한다.8, an abnormal SDP
NIC(310a)는 GTP 패킷을 수신하여 패킷 분류부(320)에 전송하고, NIC(310b)는 패킷 처리부(390)의 제어 신호에 따라 GTP 패킷을 전송(forward)하거나 차단(drop)할 수 있다.The
패킷 분류부(320)는 GTP 패킷을 분류할 수 있다. 패킷 분류부(320)는 GTP 패킷을 GTP-C 패킷과 GTP-U 패킷으로 분류할 수 있다. 패킷 분류부(320)는 분류 결과에 따라 GTP-C 패킷은 GTP-C 패킷 정보 추출부(330)에 전송하고, GTP-U 패킷은 GTP-U 패킷 정보 추출부(360)에 전송할 수 있다.The
GTP-C 패킷 정보 추출부(330)는 GTP-C 패킷으로부터 각종 패킷 정보를 추출할 수 있다. 예를 들어, GTP-C 패킷은 세션 생성 응답(Create Session Response) 메시지일 수 있다. GTP-C 패킷 정보 추출부(330)는 GTP-C 패킷의 페이로드로부터 제2 TEID 및 제2 사용자 단말 IP 주소를 추출할 수 있다.The GTP-C packet
세션 정보 생성부(340)는 제2 TEID 및 제2 사용자 단말 IP 주소를 포함하는 세션 정보를 생성할 수 있다. 세션 정보 생성부(340)는 세션 정보를 세션 정보 저장부(350)에 저장할 수 있다.The session
패킷 처리부(390)는 GTP-C 패킷을 전송하도록 NIC(310b)를 제어할 수 있다.The
도 9는 4G 모바일 네트워크에서 GTP 터널의 생성 과정을 설명하기 위한 도면이다.9 is a diagram for explaining a process of generating a GTP tunnel in a 4G mobile network.
도 9를 참조하면, 4G 모바일 네트워크에서 GTP 터널을 생성하기 위해서, 세션 생성 요청 메시지(Create Session Response)와 세션 생성 응답(Create Session Response) 메시지가 전송될 수 있다. 세션 생성 요청 메시지와 세션 생성 응답 메시지는 GTP-C 패킷으로 전송될 수 있다.Referring to FIG. 9, in order to create a GTP tunnel in the 4G mobile network, a Create Session Response message and a Create Session Response message may be transmitted. The session creation request message and the session creation response message may be transmitted in the GTP-C packet.
먼저, 사용자 단말(1100)이 MME(1300)에 접속 요청(Attach Request) 메시지를 전송하고, MME(1300)가 S-GW(1400)에 세션 생성 요청 메시지를 전송하고, S-GW(1400)가 P-GW(1500)에 세션 생성 요청 메시지를 전송할 수 있다. 이에 대한 응답으로, P-GW(1500)가 S-GW(1400)에 세션 생성 응답 메시지를 전송하여, S-GW(1400)와 P-GW(1500)간 S5 GTP 터널을 생성할 수 있다. 그리고, S-GW(1400)가 MMME(1300)에 세션 생성 응답 메시지를 전송하여, MME(1300)과 S-GW(1400)간 S11 GTP 터널을 생성할 수 있다. 그리고, MME(1300)가 사용자 단말(1100)에 접속 응답(Attach Response) 메시지를 전송하여, eNB(1200)와 S-GW(1400)간 S1-u GTP 터널을 생성할 수 있다.First, the
도 9에는 명확하게 도시하지 않았으나, S1-u GTP 터널의 생성 전에, eNB(1200) 및 MME(1300) 사이, MME(1300) 및 S-GW(1400) 사이에서 추가적인 메시지가 더 송수신될 수 있다.9, additional messages may be transmitted and received between the
GTP 터널의 생성 과정에서, GTP-C 패킷 정보 추출부(330)는 세션 생성 응답 메시지로부터 제2 TEID 및 제2 사용자 단말 IP 주소를 추출할 수 있다. 이에 따라, 세션 생성시 사용자 단말(1100)에게 할당된 IP 주소와 세션 생성 이후 GTP-U 패킷의 SDP 메시지에 포함되는 IP 주소의 일치 여부를 비교할 수 있다.In the process of generating the GTP tunnel, the GTP-C packet
도 10은 본 발명의 일 실시예에 따른 비정상 SDP 메시지 탐지 시스템을 설명하기 위한 블록도이다. 설명의 편의를 위하여 도 8과 차이점을 중점으로 하여 설명하기로 한다.10 is a block diagram illustrating an abnormal SDP message detection system according to an exemplary embodiment of the present invention. For convenience of explanation, the differences from FIG. 8 will be mainly described.
도 10을 참조하면, 본 발명의 일 실시예에 따른 비정상 SDP 메시지 탐지 시스템(400)은 세션 정보 수집 장치(410)와 비정상 SDP 메시지 탐지 장치(420)를 포함한다.Referring to FIG. 10, an abnormal SDP
세션 정보 수집 장치(410)는 NIC(411a, 411b), GTP-C 패킷 정보 추출부(412), 세션 정보 생성부(413)을 포함하여 구성되고, GTP-C 패킷으로부터 세션 정보를 추출하여 생성할 수 있다.The session
비정상 SDP 메시지 탐지 장치(420)는 NIC(421a, 421b), GTP-U 패킷 정보 추출부(422), 패킷 분석부(423), 세션 정보 저장부(424), 탐지 정보 생성부(425), 패킷 처리부(426)를 포함하여 구성되고, 세션 정보를 이용하여 비정상 SDP 메시지를 탐지할 수 있다.The abnormal SDP
도 10의 비정상 SDP 메시지 탐지 시스템(400)은 GTP-U 패킷으로부터 제1 TEID 및 제1 사용자 단말 IP 주소를 추출하고, 세션 정보와의 비교 결과에 따라 비정상 SDP 메시지를 탐지하는 구성 요소와, GTP-C 패킷으로부터 제2 TEID 및 제2 사용자 단말 IP 주소를 추출하고, 이를 포함하는 세션 정보를 생성하는 구성 요소가 물리적으로 분리된 경우를 도시한 것이다.The abnormal SDP
세션 정보 저장부(424)는 세션 정보 수집 장치(410)으로부터 수신한 세션 정보를 저장할 수 있다.The session
도 11은 본 발명의 몇몇 실시예에 따른 비정상 SDP 메시지 탐지 장치가 적용되는 4G 모바일 네트워크 구조를 설명하기 위한 도면이다.11 is a diagram for explaining a 4G mobile network structure to which an abnormal SDP message detection apparatus according to some embodiments of the present invention is applied.
도 11을 참조하면, 4G 모바일 네트워크(1000)는 사용자 단말(1100), eNodeB(1200), MME(1300), S-GW(1400), P-GW(1500)을 포함할 수 있다.Referring to FIG. 11, a
사용자 단말(1100)은 4G 모바일 네트워크(1000)에 가입되어 있는 휴대 단말일 수 있다. eNodeB(1200)는 기지국으로서 사용자 단말(1100)과 4G 모바일 네트워크(1000) 간에 무선 연결을 제공할 수 있다. MME(1300)과 S-GW(1400)는 S11 GTP 터널을 통해서 GTP-C 패킷을 송수신할 수 있다. eNodeB(1200)과 S-GW(1400)는 S1-u GTP 터널을 통해서 GTP-U 패킷을 송수신할 수 있다. S-GW(1400)와 P-GW(1500)는 S5 GTP 터널을 통해서 GTP-C 패킷 또는 GTP-U 패킷을 송수신할 수 있다. P-GW(1500)는 외부 네트워크(예를 들어, IMS 네트워크(2000))과 연결될 수 있다.The
P-GW(1500)는 IMS 네트워크(2000) 내의 P-CSCF(2100)와 연결되어, SIP 메시지를 송수신할 수 있다.The P-
4G 모바일 네트워크(1000)에서 S11 GTP 터널은 세션 컨트롤을 위한 패스(path)일 수 있다. 4G 모바일 네트워크(1000)에서 S1-u GTP 터널은 데이터 트래픽을 위한 패스일 수 있다. 4G 모바일 네트워크(1000)에서 S5 GTP 터널은 세션 컨트롤 및 데이터 트래픽을 위한 패스일 수 있다.In the
본 발명의 몇몇 실시예에 따른 비정상 SDP 메시지 탐지 장치(100, 300)는 eNodeB(1200) 및 MME(1300)와 S-GW(1400)의 사이(P1, P2), 또는 S-GW(1400)과 P-GW(1500)의 사이(P3)에 제공될 수 있다. 또한, 본 발명의 몇몇 실시예에 따른 비정상 SDP 메시지 탐지 장치(100, 300)는 S-GW(1400) 또는 P-GW(1500)의 내부 구성 요소로 제공될 수도 있다. 본 발명의 몇몇 실시예에 따른 비정상 SDP 메시지 탐지 시스템(400)의 세션 정보 수집 장치(410)는 MME(1300)와 S-GW(1400) 사이(P2)에 제공되고, 비정상 호 탐지 장치(420)는 eNodeB(1200)와 S-GW(1400) 사이(P1)에 제공될 수 있다.The abnormal SDP
본 발명의 몇몇 실시예에 따른 비정상 SDP 메시지 탐지 장치 또는 시스템(100, 300, 400)이 4G 모바일 네트워크(1000)의 내부(P1, P2, P3)에 제공되므로, SDP 메시지 내의 사용자 단말 IP 주소를 조작하여 RTP 패킷의 오전송을 유발할 수 있는, 비정상 SDP 메시지의 탐지 및 차단이 이루어질 수 있다.Since the abnormal SDP message detection device or
본 발명의 실시예들과 관련하여 설명된 방법 또는 알고리즘의 단계는, 프로세서에 의해 실행되는 하드웨어 모듈, 소프트웨어 모듈, 또는 그 2 개의 결합으로 직접 구현될 수 있다. 소프트웨어 모듈은 RAM 메모리, 플래시 메모리, ROM 메모리, EPROM 메모리, EEPROM 메모리, 레지스터, 하드 디스크, 착탈형 디스크, CD-ROM, 또는 본 발명의 기술 분야에서 잘 알려진 임의의 형태의 컴퓨터로 읽을 수 있는 기록 매체에 상주할 수도 있다. 예시적인 기록 매체는 프로세서에 연결되며, 그 프로세서는 기록 매체로부터 정보를 독출할 수 있고 기록 매체에 정보를 기입할 수 있다. 다른 방법으로, 기록 매체는 프로세서와 일체형일 수도 있다. 프로세서 및 기록 매체는 주문형 집적회로(ASIC) 내에 상주할 수도 있다. ASIC는 사용자 단말기 내에 상주할 수도 있다. 다른 방법으로, 프로세서 및 기록 매체는 사용자 단말기 내에 개별 구성 요소로서 상주할 수도 있다.The steps of a method or algorithm described in connection with the embodiments of the invention may be embodied directly in hardware, software modules, or a combination of the two, executed by a processor. A software module may reside in RAM memory, flash memory, ROM memory, EPROM memory, EEPROM memory, registers, a hard disk, a removable disk, a CD-ROM, or any form of computer readable recording medium known in the art Lt; / RTI > An exemplary recording medium is coupled to a processor, which is capable of reading information from, and writing information to, the recording medium. Alternatively, the recording medium may be integral with the processor. The processor and the recording medium may reside in an application specific integrated circuit (ASIC). The ASIC may reside within the user terminal. Alternatively, the processor and the recording medium may reside as discrete components in a user terminal.
이상 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.While the present invention has been described in connection with what is presently considered to be practical exemplary embodiments, it is to be understood that the invention is not limited to the disclosed embodiments, but, on the contrary, You will understand. It is therefore to be understood that the above-described embodiments are illustrative in all aspects and not restrictive.
100: 비정상 SDP 메시지 탐지 장치
110a, 110b: NIC
120: 패킷 정보 추출부
130: 패킷 분석부
140: 세션 정보 저장부
150: 탐지 정보 저장부
160; 패킷 처리부100: abnormal SDP message detection device
110a, 110b: NIC
120: Packet information extracting unit
130: Packet Analysis Unit
140: Session information storage unit
150: Detection information storage unit
160; The packet processor
Claims (22)
제2 TEID 및 제2 사용자 단말 IP 주소를 포함하는 세션 정보를 저장하는 세션 정보 저장부;
상기 제1 TEID와 상기 제2 TEID가 서로 동일하고, 상기 제1 사용자 단말 IP 주소와 상기 제2 사용자 단말 IP 주소가 서로 다른지에 기초하여, 상기 SDP 메시지가 비정상 SDP 메시지인지 탐지하는 패킷 분석부; 및
상기 SDP 메시지가 비정상 SDP 메시지이면, 탐지 정책에 따라 상기 GTP-U 패킷을 처리하는 패킷 처리부를 포함하되,
상기 제1 사용자 단말 IP 주소 및 상기 제2 사용자 단말 IP 주소는 RTP(Real-time Transport Protocol) 패킷의 송수신을 위한 사용자 단말 IP 주소인, 비정상 SDP 메시지 탐지 장치.A packet information extracting unit for extracting a first TEID from a header of a GTP (GPRS Tunneling Protocol) -U packet and extracting a first user terminal IP address from a SDP (Session Description Protocol) message in a payload;
A session information storage unit for storing session information including a second TEID and a second user terminal IP address;
A packet analyzer for detecting whether the SDP message is an abnormal SDP message based on whether the first TEID and the second TEID are equal to each other and whether the first user terminal IP address and the second user terminal IP address are different from each other; And
And a packet processor for processing the GTP-U packet according to a detection policy if the SDP message is an abnormal SDP message,
Wherein the first user terminal IP address and the second user terminal IP address are user terminal IP addresses for transmitting and receiving a Real-time Transport Protocol (RTP) packet.
상기 패킷 정보 추출부는 상기 SDP 메시지의 Connection Information 필드로부터 상기 제1 사용자 단말 IP 주소를 추출하는, 비정상 SDP 메시지 탐지 장치.The method according to claim 1,
Wherein the packet information extractor extracts the first user terminal IP address from the Connection Information field of the SDP message.
상기 GTP-U 패킷은 SIP 초대(SIP INVITE) 메시지를 포함하고, 상기 SDP 메시지는 상기 SIP 초대(SIP INVITE) 메시지의 메시지 바디(message body)에 해당하는, 비정상 SDP 메시지 탐지 장치.3. The method of claim 2,
Wherein the GTP-U packet comprises a SIP INVITE message and the SDP message corresponds to a message body of the SIP INVITE message.
상기 패킷 정보 추출부는 상기 GTP-U 패킷의 페이로드 내에 상기 SDP 메시지가 존재하는지 판단하고, 상기 SDP 메시지가 존재하는 때에 상기 제1 TEID 및 상기 제1 사용자 단말 IP 주소를 추출하는, 비정상 SDP 메시지 탐지 장치.The method according to claim 1,
Wherein the packet information extractor is configured to determine whether the SDP message exists in the payload of the GTP-U packet, and extract the first TEID and the first user terminal IP address when the SDP message is present, Device.
상기 비정상 SDP 메시지의 탐지 정보를 저장하는 탐지 정보 저장부를 더 포함하는, 비정상 SDP 메시지 탐지 장치.The method according to claim 1,
And a detection information storage unit for storing detection information of the abnormal SDP message.
상기 탐지 정보는 탐지 시간, 탐지 항목, 사용자 식별번호, 차단 여부, TEID(Tunnel Endpoint Identifier), 목적지 IP(Internet Protocol), 목적지 포트, 출발지 IP, 출발지 포트를 포함하는, 비정상 SDP 메시지 탐지 장치.6. The method of claim 5,
Wherein the detection information includes a detection time, a detection item, a user identification number, a blocking status, a tunnel endpoint identifier (TEID), a destination IP, a destination port, a source IP, and a source port.
GTP-C 패킷의 페이로드로부터 제2 TEID 및 제2 사용자 단말 IP 주소를 추출하는 GTP-C 패킷 정보 추출부;
상기 제2 TEID 및 상기 제2 사용자 단말 IP 주소를 포함하는 세션 정보를 저장하는 세션 정보 저장부;
상기 제1 TEID와 상기 제2 TEID, 및 상기 제1 사용자 단말 IP 주소와 상기 제2 사용자 단말 IP 주소의 비교 결과에 기초하여, 상기 SDP 메시지가 비정상 SDP 메시지인지 탐지하는 패킷 분석부; 및
상기 SDP 메시지가 비정상 SDP 메시지이면, 탐지 정책에 따라 상기 GTP-U 패킷을 처리하는 패킷 처리부를 포함하되,
상기 제1 사용자 단말 IP 주소 및 상기 제2 사용자 단말 IP 주소는 RTP(Real-time Transport Protocol) 패킷의 송수신을 위한 사용자 단말 IP 주소인, 비정상 SDP 메시지 탐지 장치.A GTP-U packet information extracting unit for extracting a first TEID from a header of a GTP (GPRS Tunneling Protocol) -U packet and extracting a first user terminal IP address from an SDP (Session Description Protocol) message in a payload;
A GTP-C packet information extracting unit for extracting a second TEID and a second user terminal IP address from the payload of the GTP-C packet;
A session information storage unit for storing session information including the second TEID and the second user terminal IP address;
A packet analyzer for detecting whether the SDP message is an abnormal SDP message based on a comparison result between the first TEID and the second TEID and the IP address of the first user terminal and the IP address of the second user terminal; And
And a packet processor for processing the GTP-U packet according to a detection policy if the SDP message is an abnormal SDP message,
Wherein the first user terminal IP address and the second user terminal IP address are user terminal IP addresses for transmitting and receiving a Real-time Transport Protocol (RTP) packet.
상기 GTP-U 패킷 정보 추출부는 상기 SDP 메시지의 Connection Information 필드로부터 상기 제1 사용자 단말 IP 주소를 추출하는, 비정상 SDP 메시지 탐지 장치.8. The method of claim 7,
Wherein the GTP-U packet information extractor extracts the first user terminal IP address from the Connection Information field of the SDP message.
상기 GTP-C 패킷은 세션 생성 응답(Create Session Response) 메시지이고,
상기 GTP-C 패킷 정보 추출부는 상기 세션 생성 응답 메시지의 페이로드로부터 상기 제2 TEID 및 상기 제2 사용자 단말 IP 주소를 추출하는, 비정상 SDP 메시지 탐지 장치.8. The method of claim 7,
The GTP-C packet is a Create Session Response message,
Wherein the GTP-C packet information extractor extracts the second TEID and the second user terminal IP address from the payload of the session creation response message.
상기 비정상 SDP 메시지의 탐지 정보를 저장하는 탐지 정보 저장부를 더 포함하는, 비정상 SDP 메시지 탐지 장치.8. The method of claim 7,
And a detection information storage unit for storing detection information of the abnormal SDP message.
상기 GTP-C 패킷 및 상기 GTP-U 패킷은 S-GW(Serving Gateway)와 P-GW(PDN Gateway)간 생성되는 S5 터널에서 전송되는, 비정상 SDP 메시지 탐지 장치.8. The method of claim 7,
Wherein the GTP-C packet and the GTP-U packet are transmitted in an S5 tunnel generated between an S-GW (Serving Gateway) and a P-GW (PDN Gateway).
GTP(GPRS Tunneling Protocol)-C 패킷으로부터 상기 세션 정보를 추출하여 생성하는 세션 정보 수집 장치를 포함하되,
상기 비정상 SDP 메시지 탐지 장치는,
상기 세션 정보 수집 장치로부터 제2 TEID 및 제2 사용자 단말 IP 주소를 포함하는 상기 세션 정보를 수신하여 저장하는 세션 정보 저장부와,
GTP-U 패킷의 헤더로부터 제1 TEID를 추출하고, 페이로드 내의 SDP(Session Description Protocol) 메시지로부터 제1 사용자 단말 IP 주소를 추출하는 GTP-U 패킷 정보 추출부와,
상기 제1 TEID와 상기 제2 TEID, 및 상기 제1 사용자 단말 IP 주소와 상기 제2 사용자 단말 IP 주소의 비교 결과에 기초하여, 상기 SDP 메시지가 비정상 SDP 메시지인지 탐지하는 패킷 분석부와,
상기 SDP 메시지가 비정상 SDP 메시지이면, 탐지 정책에 따라 상기 GTP-U 패킷을 처리하는 패킷 처리부를 포함하고,
상기 세션 정보 수집 장치는,
상기 GTP-C 패킷의 페이로드로부터 상기 제2 TEID 및 상기 제2 사용자 단말 IP 주소를 추출하는 GTP-C 패킷 정보 추출부와,
상기 제2 TEID 및 상기 제2 사용자 단말 IP 주소를 포함하는 상기 세션 정보를 생성하는 세션 정보 생성부를 포함하고,
상기 제1 사용자 단말 IP 주소 및 상기 제2 사용자 단말 IP 주소는 RTP(Real-time Transport Protocol) 패킷의 송수신을 위한 사용자 단말 IP 주소인, 비정상 SDP 메시지 탐지 시스템.An abnormal SDP message detection device for detecting an abnormal SDP message using session information; And
And a session information collecting device for extracting and generating the session information from a GTP (GPRS Tunneling Protocol) -C packet,
Wherein the abnormal SDP message detection device comprises:
A session information storage unit for receiving and storing the session information including the second TEID and the second user terminal IP address from the session information collecting apparatus,
A GTP-U packet information extracting unit for extracting a first TEID from a header of a GTP-U packet and extracting a first user terminal IP address from an SDP (Session Description Protocol) message in a payload;
A packet analyzer for detecting whether the SDP message is an abnormal SDP message based on a comparison result between the first TEID and the second TEID and the IP address of the first user terminal and the IP address of the second user terminal;
And a packet processor for processing the GTP-U packet according to a detection policy if the SDP message is an abnormal SDP message,
The session information collecting apparatus comprises:
A GTP-C packet information extracting unit for extracting the second TEID and the second user terminal IP address from the payload of the GTP-C packet;
And a session information generator for generating the session information including the second TEID and the second user terminal IP address,
Wherein the first user terminal IP address and the second user terminal IP address are user terminal IP addresses for transmitting and receiving RTP (Real-time Transport Protocol) packets.
상기 GTP-U 패킷 정보 추출부는 상기 SDP 메시지의 Connection Information 필드로부터 상기 제1 사용자 단말 IP 주소를 추출하는, 비정상 SDP 메시지 탐지 시스템.13. The method of claim 12,
Wherein the GTP-U packet information extractor extracts the first user terminal IP address from the Connection Information field of the SDP message.
상기 패킷 정보 추출부는 상기 GTP-U 패킷의 페이로드 내에 상기 SDP 메시지가 존재하는지 판단하고, 상기 SDP 메시지가 존재하는 때에 상기 제1 TEID 및 상기 제1 사용자 단말 IP 주소를 추출하는, 비정상 SDP 메시지 탐지 시스템.13. The method of claim 12,
Wherein the packet information extractor is configured to determine whether the SDP message exists in the payload of the GTP-U packet, and extract the first TEID and the first user terminal IP address when the SDP message is present, system.
상기 GTP-C 패킷은 세션 생성 응답(Create Session Response) 메시지이고,
상기 GTP-C 패킷 정보 추출부는 상기 세션 생성 응답 메시지의 페이로드로부터 상기 제2 TEID 및 상기 제2 사용자 단말 IP 주소를 추출하는, 비정상 SDP 메시지 탐지 시스템.13. The method of claim 12,
The GTP-C packet is a Create Session Response message,
Wherein the GTP-C packet information extractor extracts the second TEID and the second user terminal IP address from the payload of the session creation response message.
상기 비정상 SDP 메시지의 탐지 정보를 저장하는 탐지 정보 저장부를 더 포함하는, 비정상 SDP 메시지 탐지 시스템.13. The method of claim 12,
And a detection information storage unit for storing detection information of the abnormal SDP message.
상기 GTP-C 패킷은 MME(Mobility Management Entity)와 S-GW(Serving Gateway)간 생성되는 S11 터널에서 전송되고, 상기 GTP-U 패킷은 eNodeB와 상기 S-GW간 생성되는 S1-u 터널에서 전송되는, 비정상 SDP 메시지 탐지 시스템.13. The method of claim 12,
The GTP-C packet is transmitted in an S11 tunnel generated between an MME (Mobility Management Entity) and an S-GW (Serving Gateway), and the GTP-U packet is transmitted in an S1-u tunnel generated between an eNodeB and the S- An abnormal SDP message detection system.
상기 제1 TEID와 세션 정보의 제2 TEID가 동일한지 판단하는 단계;
상기 제1 TEID와 상기 제2 TEID가 동일하면, 상기 제1 사용자 단말 IP 주소와 상기 세션 정보의 상기 제2 TEID와 대응하는 제2 사용자 단말 IP 주소가 동일한지 판단하는 단계; 및
상기 제1 사용자 단말 IP 주소와 상기 제2 사용자 단말 IP 주소가 서로 다르면, 상기 SDP 메시지를 비정상 SDP 메시지로 탐지하는 단계를 포함하되,
상기 제1 사용자 단말 IP 주소 및 상기 제2 사용자 단말 IP 주소는 RTP(Real-time Transport Protocol) 패킷의 송수신을 위한 사용자 단말 IP 주소인, 비정상 SDP 메시지 탐지 방법.Extracting a first TEID from a header of a GTP (GPRS Tunneling Protocol) -U packet and extracting a first user terminal IP address from a SDP (Session Description Protocol) message in a payload of the GTP-U packet;
Determining whether the first TEID and the second TEID of the session information are identical;
Determining if the first TEID and the second TEID are the same, comparing the first user terminal IP address and the second TEID of the session information with a corresponding second user terminal IP address; And
Detecting an SDP message as an abnormal SDP message if the first user terminal IP address and the second user terminal IP address are different from each other,
Wherein the first user terminal IP address and the second user terminal IP address are user terminal IP addresses for transmitting and receiving a Real-time Transport Protocol (RTP) packet.
상기 SDP 메시지가 비정상 SDP 메시지이면, 탐지 정책에 따라 상기 GTP-U 패킷을 처리하는 단계를 더 포함하는, 비정상 SDP 메시지 탐지 방법.19. The method of claim 18,
And if the SDP message is an abnormal SDP message, processing the GTP-U packet according to a detection policy.
상기 제1 사용자 단말 IP 주소를 추출하는 단계는, 상기 SDP 메시지의 Connection Information 필드로부터 상기 제1 사용자 단말 IP 주소를 추출하는, 비정상 SDP 메시지 탐지 방법.19. The method of claim 18,
Wherein the extracting of the first user terminal IP address extracts the first user terminal IP address from the Connection Information field of the SDP message.
상기 GTP-U 패킷의 페이로드 내에 상기 SDP 메시지가 존재하는지 판단하는 단계를 더 포함하고,상기 제1 TEID 및 상기 제1 사용자 단말 IP 주소를 추출하는 단계는 상기 SDP 메시지가 존재하는 때에 상기 GTP-U 패킷의 헤더로부터 상기 제1 TEID를 추출하고, 상기 GTP-U 패킷의 페이로드 내의 상기 SDP 메시지로부터 상기 제1 사용자 단말 IP 주소를 추출하는, 비정상 SDP 메시지 탐지 방법.19. The method of claim 18,
Further comprising: determining whether the SDP message is present in a payload of the GTP-U packet, wherein extracting the first TEID and the first user terminal IP address comprises: Extracting the first TEID from a header of the UTP packet and extracting the first user terminal IP address from the SDP message in a payload of the GTP-U packet.
상기 비정상 SDP 메시지의 탐지 정보를 저장하는 단계를 더 포함하는, 비정상 SDP 메시지 탐지 방법.19. The method of claim 18,
Further comprising storing detection information of the abnormal SDP message.
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020130151553A KR101536178B1 (en) | 2013-12-06 | 2013-12-06 | Apparatus and method for detecting abnormal sdp message in 4g mobile networks |
PCT/KR2014/008842 WO2015083927A1 (en) | 2013-12-06 | 2014-09-23 | Apparatus and method for detecting abnormal sdp message in 4g mobile networks |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020130151553A KR101536178B1 (en) | 2013-12-06 | 2013-12-06 | Apparatus and method for detecting abnormal sdp message in 4g mobile networks |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20150066239A true KR20150066239A (en) | 2015-06-16 |
KR101536178B1 KR101536178B1 (en) | 2015-07-13 |
Family
ID=53273649
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020130151553A KR101536178B1 (en) | 2013-12-06 | 2013-12-06 | Apparatus and method for detecting abnormal sdp message in 4g mobile networks |
Country Status (2)
Country | Link |
---|---|
KR (1) | KR101536178B1 (en) |
WO (1) | WO2015083927A1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114039788A (en) * | 2021-11-15 | 2022-02-11 | 绿盟科技集团股份有限公司 | Strategy transmission method, network gate system, electronic equipment and storage medium |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101711074B1 (en) * | 2015-12-24 | 2017-02-28 | 한국인터넷진흥원 | Apparatus, system and method for detecting a sip tunneling packet in 4g mobile networks |
KR102116307B1 (en) | 2019-11-26 | 2020-05-29 | 한국인터넷진흥원 | Method and apparatus for detecting diameter protocol idr message spoofing attack on mobile communication network |
CN111859036B (en) * | 2020-08-19 | 2024-02-13 | 深圳市富之富信息科技有限公司 | Short message data detection method and device, computer equipment and storage medium |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5332580B2 (en) * | 2008-12-15 | 2013-11-06 | 富士通株式会社 | Network quality monitoring apparatus and method in internet service with signaling |
KR101201546B1 (en) * | 2012-08-13 | 2012-11-15 | 한국인터넷진흥원 | Apparatus and method for IP spoofing detectng in mobile environment using GTP |
-
2013
- 2013-12-06 KR KR1020130151553A patent/KR101536178B1/en not_active IP Right Cessation
-
2014
- 2014-09-23 WO PCT/KR2014/008842 patent/WO2015083927A1/en active Application Filing
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114039788A (en) * | 2021-11-15 | 2022-02-11 | 绿盟科技集团股份有限公司 | Strategy transmission method, network gate system, electronic equipment and storage medium |
CN114039788B (en) * | 2021-11-15 | 2023-05-26 | 绿盟科技集团股份有限公司 | Policy transmission method, gateway system, electronic equipment and storage medium |
Also Published As
Publication number | Publication date |
---|---|
WO2015083927A1 (en) | 2015-06-11 |
KR101536178B1 (en) | 2015-07-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101414231B1 (en) | Apparatus and method for detecting abnormal call | |
US8402538B2 (en) | Method and system for detecting and responding to harmful traffic | |
US8218534B2 (en) | VoIP anomaly traffic detection method with flow-level data | |
KR101536178B1 (en) | Apparatus and method for detecting abnormal sdp message in 4g mobile networks | |
KR101228089B1 (en) | Ip spoofing detection apparatus | |
KR101388627B1 (en) | Apparatus for blocking abnormal traffic in 4g mobile network | |
CN112995352B (en) | IPv6 network space mapping system and mapping method based on flow analysis | |
US20170201533A1 (en) | Mobile aware intrusion detection system | |
EP2978277B1 (en) | Data transmission methods and gateways | |
US20190319924A1 (en) | Monitoring device and method implemented by an access point for a telecommunications network | |
KR101538309B1 (en) | APPARATUS, SYSTEM AND METHOD FOR DETECTING ABNORMAL VoLTE REGISTRATION MESSAGE IN 4G MOBILE NETWORKS | |
US20090138959A1 (en) | DEVICE, SYSTEM AND METHOD FOR DROPPING ATTACK MULTIMEDIA PACKET IN THE VoIP SERVICE | |
KR102171348B1 (en) | Method and apparatus for application detection | |
CN106162733B (en) | A kind of abnormal flow suppressing method and device | |
US8713678B1 (en) | System, method, and computer program product for identifying unwanted data communicated via a session initiation protocol | |
KR101534161B1 (en) | Apparatus and method for user session management in 4G mobile network | |
KR101516233B1 (en) | Apparatus and method for detecting abnormal sip refer message in 4g mobile networks | |
KR101499022B1 (en) | Apparatus and method for detecting abnormal MMS message in 4G mobile network | |
KR101516234B1 (en) | Apparatus and method for detecting abnormal sip subscribe message in 4g mobile networks | |
KR101534160B1 (en) | Apparatus and method for VoLTE session management in 4G mobile network | |
KR101538310B1 (en) | APPARATUS, SYSTEM AND METHOD FOR DETECTING ABNORMAL MESSAGE FOR OBTAINING LOCATION INFORMATION BASED ON VoLTE SERVICE IN 4G MOBILE NETWORKS | |
KR101541119B1 (en) | APPARATUS, SYSTEM AND METHOD FOR DETECTING ABNORMAL VoLTE DE-REGISTRATION MESSAGE IN 4G MOBILE NETWORKS | |
CN104378819B (en) | The synchronous method and system of communicating data in network switching process | |
KR101785680B1 (en) | Apparatus, system and method for detecting a rtp tunneling packet in 4g mobile networks | |
CN112653708B (en) | Media flow detection method, device, network equipment and readable storage medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
LAPS | Lapse due to unpaid annual fee |