KR20160027841A - Voip security system and method - Google Patents

Voip security system and method Download PDF

Info

Publication number
KR20160027841A
KR20160027841A KR1020140116450A KR20140116450A KR20160027841A KR 20160027841 A KR20160027841 A KR 20160027841A KR 1020140116450 A KR1020140116450 A KR 1020140116450A KR 20140116450 A KR20140116450 A KR 20140116450A KR 20160027841 A KR20160027841 A KR 20160027841A
Authority
KR
South Korea
Prior art keywords
voip
controller
voip packet
flow
packet
Prior art date
Application number
KR1020140116450A
Other languages
Korean (ko)
Other versions
KR101800861B1 (en
Inventor
안태진
김우태
백광현
이영우
이정욱
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020140116450A priority Critical patent/KR101800861B1/en
Publication of KR20160027841A publication Critical patent/KR20160027841A/en
Application granted granted Critical
Publication of KR101800861B1 publication Critical patent/KR101800861B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1076Screening of IP real time communications, e.g. spam over Internet telephony [SPIT]
    • H04L65/1079Screening of IP real time communications, e.g. spam over Internet telephony [SPIT] of unsolicited session attempts, e.g. SPIT
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Multimedia (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

A voice over internet protocol (VoIP) security system comprises: a VoIP security device for discriminating illegal usage or hacking of a VoIP packet and blocking a VoIP packet of which the illegal usage or the hacking is detected; and a switch for delivering a VoIP packet, satisfying a condition of a flow entry generated according to a flow delivery rule of the VoIP security device, among received VoIP packets to the VoIP security device, and processing the VoIP packet with security according to a flow blocking setting of the VoIP security device or forwarding the VoIP packet through a path in accordance with the flow entry.

Description

ⅤOIP 보안 시스템 및 보안 처리 방법{VOIP SECURITY SYSTEM AND METHOD}[0002] VOIP Security System and Security Processing Method [

본 발명은 VoIP 보안 시스템 및 보안 처리 방법에 관한 것으로서, 더욱 자세하게는 소프트웨어 정의 네트워크(SDN)에서 VoIP 패킷의 불법 사용 여부 및 해킹 시도를 탐지하는 기술이다.The present invention relates to a VoIP security system and a security processing method, and more particularly, to a technology for detecting illegal use of a VoIP packet and a hacking attempt in a software defined network (SDN).

최근 들어, 스위치의 트래픽 포워딩 기능과 스위치의 제어 기능을 분리하여 통신 시스템을 효율적으로 운용하는 기술에 대한 표준화가 ONF(Open Networking Foundation), IETF(Internet Engineering Task Force), ETSI ISG NFV(Network Function Virtualization) 및 ITU-T(International Telecommunications Union Telecommunication) 등을 중심으로 진행되고 있다.In recent years, the standardization of technology for efficiently operating the communication system by separating the traffic forwarding function of the switch and the control function of the switch has been carried out by the ONF (Open Networking Foundation), IETF (Internet Engineering Task Force), ETSI ISG NFV ) And International Telecommunications Union Telecommunication (ITU-T).

SDN(Software Defined Network)은 라우터나 스위치 등의 기본 네트워크 장비에 관계없이 사용자가 통제 권한을 가지며, 별도의 소프트웨어 컨트롤러가 트래픽 흐름을 제어하는 사용자 중심의 네트워크를 의미한다. SDN (Software Defined Network) refers to a user-oriented network in which a user has control authority regardless of basic network equipment such as a router or a switch, and a separate software controller controls traffic flow.

SDN의 기술 중의 하나인 오픈플로우(OpenFlow) 기술 표준화를 추진하고 있는 표준화 단체들 중 ONF는 하드웨어(스위치)와 컨트롤러(Network OS) 사이를 연결하는 인터페이스를 정의하고 있다. 이는 네트워크를 통해 데이터 패킷을 어떻게 전달할 것인지 제어하기 위한 기능(Control Plane)을 물리적 네트워크와 분리하여 데이터 전달 기능(Data Plane)과 상호작용 하기 위한 프로토콜이다.Of the SDN standardization organizations that are promoting OpenFlow technology standardization, ONF defines the interface between hardware (switch) and controller (network OS). This is a protocol for interacting with the data transfer function (Data Plane) by separating the control plane from the physical network in order to control how to transmit data packets through the network.

또한, 최근 인터넷 전화가 급속히 확산되고, 고객이 직접 구매하는 기업용 IP-PBX 등은 공장에서 생산시 설정된 아이디(Identification, ID), 패스워드(PassWord, PW)를 그대로 사용하거나 간단한 프로그램으로 쉽게 찾아낼 수 있는 경우가 많아, 해커에 의해 쉽게 아이디, 패스워드를 도용당하고 있으며, 이러한 인터넷 전화 단말의 아이디, 패스워드를 도용하여 불법적인 국제 전화를 유발함으로써, 단말의 소유자에게 한 달에 수 백 만원에서 수 천 만원에 이르는 과금 피해를 발생시키고 있다. In recent years, IP telephony has rapidly spread and corporate IP-PBX, which is purchased directly by the customer, can be easily identified by a simple program using the ID (Identification, ID) and password (PassWord, PW) The ID and the password are easily stolen by the hacker and the ID and the password of the Internet phone terminal are illegally used to induce an illegal international call so that the owner of the terminal is able to change the phone number from several millions of won to tens of thousands of won per month Of the total billing amount.

그러나, 현재는 이러한 해킹 시도 및 불법 국제전화 발신에 대해 실시간으로 탐지할 수 있는 방안이 없는 상태이다. 일부 과금 정보를 이용한 통계적인 기법에 기초하여 이를 탐지하고, 차단하는 방법이 있으나, 이러한 방법으로는 이미 큰 금액의 국제전화 과금 피해가 발생하고 난 이후에 탐지하는 것이므로, 근본적으로 피해를 방지할 수 없는 문제점이 있다. However, there is currently no way to detect such hacking attempts and illegal international phone calls in real time. There is a method of detecting and blocking based on a statistical technique using some billing information. However, since this method detects a large amount of international telephone billing damage after occurrence thereof, it can fundamentally prevent damage There is no problem.

또한, 해킹 시도나 불법 사용이 탐지될 경우 관리자나 운용자가 직접 해당 단말 또는 장비를 수동으로 피해를 방지하기 위한 설정 작업을 하므로, 신속한 차단을 통한 피해 방지가 불가하다는 문제가 있다.In addition, when a hacking attempt or illegal use is detected, a manager or an operator manually performs a setting operation to manually prevent the terminal or the apparatus from being damaged, so that there is a problem that it is impossible to prevent damage through rapid interception.

따라서, 본 발명이 이루고자 하는 기술적 과제는 소프트웨어 정의 네트워크(SDN, Software Defined Network) 컨트롤러와 스위치를 사용하여 해커의 해킹시도 및 불법 국제전화 등 VoIP의 불법적인 사용을 탐지하고 동적으로 차단 정책을 적용하는 VoIP 보안 시스템 및 보안 처리 방법을 제공하는 것이다.Therefore, the technical problem to be solved by the present invention is to use a software defined network (SDN) controller and a switch to detect illegal use of hackers' hacking attempts, illegal international calls, etc., A VoIP security system, and a security processing method.

본 발명의 하나의 특징에 따르면, VOIP 보안 시스템은 VoIP(Voice over Internet Protocol) 패킷의 불법 사용 여부 또는 해킹 여부를 판단하고, 불법 사용 또는 해킹이 탐지된 VoIP 패킷을 차단시키는 VoIP 보안 장치, 그리고 수신된 VoIP 패킷 중에서 상기 VoIP 보안 장치의 플로우 전달 룰에 따라 생성한 플로우 엔트리의 조건을 충족하는 VoIP 패킷을 상기 VoIP 보안 장치로 전달하고, 상기 VoIP 보안 장치의 플로우 차단 설정에 따라 상기 VoIP 패킷을 보안 처리하거나 또는 플로우 엔트리에 따른 경로로 포워딩하는 스위치를 포함한다.According to an aspect of the present invention, a VoIP security system includes a VoIP security device for determining whether or not an illegal use or hacking of a Voice over Internet Protocol (VoIP) packet is detected, a VoIP packet for which illegal use or hacking is detected is blocked, The VoIP security device transmits a VoIP packet satisfying the condition of the flow entry generated according to the flow delivery rule of the VoIP security device to the VoIP security device and performs security processing of the VoIP packet according to the flow blocking setting of the VoIP security device Or for forwarding to a path according to a flow entry.

상기 VoIP 보안 장치로부터 플로우 전달 룰 설정이 요청되면, 상기 스위치에게 상기 플로우 전달 룰에 따른 플로우 엔트리 정보 생성을 요청하는 컨트롤러를 더 포함할 수 있다.And a controller for requesting the switch to generate flow entry information according to the flow forwarding rule when the flow forwarding rule setting is requested from the VoIP security apparatus.

상기 컨트롤러는,The controller comprising:

상기 VoIP 보안 장치의 플로우 차단 룰 설정에 따라 상기 스위치에게 플로우 엔트리 설정을 요청할 수 있다.And may request the switch to set a flow entry according to the flow blocking rule of the VoIP security device.

상기 VoIP 보안 장치는,The VoIP security apparatus includes:

상기 플로우 전달 룰에 따라 상기 스위치로부터 수신한 VoIP 패킷이 요청 메시지인 경우, 옵션 메시지인지 또는 레지스터 메시지인지 또는 인바이트 메시지인지에 따라 보안 처리를 수행하는 보안 처리부를 더 포함할 수 있다.And a security processor for performing security processing according to whether the VoIP packet received from the switch is a request message, an option message, a register message, or an invite message according to the flow forwarding rule.

상기 보안 처리부는,The security processing unit,

상기 VoIP 패킷이 상기 옵션 메시지인 경우, 상기 VoIP 패킷의 헤더 정보를 추출하여 추출 횟수를 카운트 하고, 누적된 카운트가 임계 유입 횟수를 초과하면 상기 컨트롤러에게 차단을 요청하며, 상기 누적된 카운트가 임계 유입 회수를 초과하지 않으면 기 정의된 블랙 리스트에 등록된 정보인 경우, 상기 컨트롤러에게 차단을 요청할 수 있다.If the VoIP packet is the option message, extracts header information of the VoIP packet and counts the number of times of extraction, and requests the controller to block if the cumulative count exceeds the threshold inflowing count, If the number of times is not exceeded, information can be requested to the controller if the information is registered in the predefined black list.

상기 보안 처리부는,The security processing unit,

상기 VoIP 패킷이 상기 옵션 메시지인 경우, 상기 VoIP 패킷의 헤더 정보를 추출하여 상기 헤더 정보가 사전에 등록된 정상적인 헤더 정보와 일치하는지 판단하고, 일치하지 않으면, 상기 헤더 정보를 블랙리스트에 포함시키고, 상기 컨트롤러에게 차단을 요청할 수 있다.If the VoIP packet is the option message, extracts header information of the VoIP packet to determine whether the header information matches the previously registered normal header information, and if the VoIP packet does not match, The controller may be requested to block.

상기 보안 처리부는,The security processing unit,

상기 VoIP 패킷이 상기 인바이트 메시지인 경우, 상기 VoIP 패킷의 헤더 정보를 추출하여 국제 전화인지 판단하고, 상기 국제 전화로 판단되면, 블랙리스트 포함 여부를 판단하여 상기 블랙리스트에 포함된 경우, 상기 컨트롤러에 차단을 요청하고 상기 블랙리스트에 포함되지 않은 경우, 블랙리스트에 포함된 국가에 해당하면 카운트를 누적하여 임계치를 초과하면 상기 컨트롤러에게 차단을 요청하고 상기 임계치를 초과하지 않으면, 상기 블랙리스트에 추가후 상기 컨트롤러에게 차단을 요청할 수 있다.If the VoIP packet is the invite message, it is determined whether the VoIP packet is an international call by extracting header information of the VoIP packet. If it is determined that the call is an international call, If the black list is not included in the black list, the count is accumulated. If the count is exceeded, the controller is requested to interrupt the controller. If the count is not exceeded, And then request the controller to interrupt.

상기 VoIP 보안 장치는,The VoIP security apparatus includes:

IP 계층 별로 구분된 플로우 전달 룰을 설정하는 플로우 전달 룰 설정부를 더 포함하고,Further comprising a flow propagation rule setting unit for setting a flow propagation rule classified for each IP layer,

상기 플로우 전달 룰은,The flow-

정적인 블랙리스트 유저 에이전트, 블랙리스트 발/착신번호, 특정 헤더 필드값을 포함하는 7 계층(L7) 룰, 특정 포트번호로 사전 지정한 임계치를 초과하여 트래픽이 인입되는 경우를 지정하는 4 계층(L4) 룰, 그리고 해킹시도 및 불법 사용 이력이 있는 소스 IP 값 및 주요 블랙리스트 국가 IP 블록 값을 포함하는 3 계층(L3) 룰을 포함할 수 있다.(L7) rule including a static blacklist user agent, a blacklist outgoing / incoming number, a specific header field value, and a 4th layer (L4) specifying a case where traffic exceeds a threshold pre- ) Rules, and a three-layer (L3) rule that includes source IP values with hacking attempts and history of illegal use and major blacklisted country IP block values.

본 발명의 다른 특징에 따르면, 보안 처리 방법은 소프트웨어 정의 네트워크(SDN, Software Defined Network)에서 VoIP 패킷에 대한 보안을 처리하는 방법으로서, 컨트롤러와 연결된 VoIP 보안 장치가 상기 컨트롤러에게 플로우 전달 룰을 설정하는 단계, 상기 컨트롤러와 연결된 스위치로부터 상기 플로우 전달 룰을 충족하는 VoIP 패킷을 수신하는 단계, 상기 VoIP 패킷의 불법 사용 여부 또는 해킹 여부를 판단하는 단계, 상기 불법 사용 또는 해킹이 탐지되면, 상기 VoIP 패킷을 차단하는 플로우 차단 설정을 상기 컨트롤러에게 요청하는 단계, 그리고 상기 불법 사용 또는 해킹 되지 않은 경우라면, 플로우 엔트리의 경로로 포워딩되도록 상기 VoIP 패킷을 상기 스위치로 리턴하는 단계를 포함한다.According to another aspect of the present invention, a security processing method is a method of processing security for a VoIP packet in a Software Defined Network (SDN), wherein a VoIP security device connected to the controller establishes a flow forwarding rule Receiving a VoIP packet satisfying the flow forwarding rule from a switch connected to the controller; determining whether the VoIP packet is illegally used or hacked; if the illegal use or hacking is detected, Requesting the controller to block flow blocking settings and returning the VoIP packet to the switch to be forwarded to the flow entry path if not illegally used or hacked.

상기 판단하는 단계는,Wherein the determining step comprises:

상기 VoIP 패킷이 요청 메시지인지 판단하는 단계, 그리고 상기 요청 메시지로 판단되면, 상기 VoIP 패킷이 옵션 메시지인지 또는 레지스터 메시지인지 또는 인바이트 메시지인지에 따른 루틴 처리를 수행하여 상기 불법 사용 여부 또는 해킹 여부를 탐지하는 단계를 포함할 수 있다.Determining whether the VoIP packet is a request message and performing a routine process according to whether the VoIP packet is an option message, a register message, or an invitation message upon determining that the VoIP packet is a request message, And a step of detecting.

상기 탐지하는 단계는,Wherein the detecting comprises:

상기 VoIP 패킷이 상기 옵션 메시지인 경우, From, User-agent, Contact, IP를 포함하는 상기 VoIP 패킷의 헤더 정보를 추출하는 단계, 상기 추출 횟수를 카운트하여 누적하는 단게, 상기 누적 횟수가 임계 유입 회수를 초과하는지 판단하는 단계, 상기 임계 유입 회수를 초과하면, 상기 컨트롤러에게 패킷 차단을 요청하는 단계, 상기 임계 유입 회수를 초과하지 않으면, 상기 헤더 정보가 블랙리스트에 포함되었는지를 판단하는 단계, 그리고 상기 블랙리스트에 포함되었다면, 상기 컨트롤러에게 상기 패킷 차단을 요청하는 단계를 포함할 수 있다.Extracting header information of the VoIP packet including From, User-agent, Contact and IP when the VoIP packet is the option message; counting and accumulating the number of times of extraction; Determining whether the header information is included in the black list if the threshold inflow count is not exceeded, determining whether the header information is included in the black list if the threshold inflow count is not exceeded, And if so included in the blacklist, requesting the controller to block the packet.

상기 탐지하는 단계는,Wherein the detecting comprises:

상기 VoIP 패킷이 상기 등록 메시지인 경우, From, User-agent, Contact, IP를 포함하는 상기 VoIP 패킷의 헤더 정보를 추출하는 단계, 상기 User-agent, 상기 Contact, 상기 IP가 모두 사전에 등록된 정보와 일치하지 않으면, 상기 컨트롤러에게 차단을 요청하고 상기 User-agent, 상기 Contact, 상기 IP를 모두 블랙리스트에 등록하는 단계, 그리고 상기 User-agent, 상기 Contact, 상기 IP 중 하나 이상이 사전에 등록된 정보와 일치하지 않으면, 일치하지 않는 정보를 블랙리스트에 등록하는 단계를 포함할 수 있다.Extracting header information of the VoIP packet including From, User-agent, Contact and IP when the VoIP packet is the registration message; extracting header information of the VoIP packet including the User-agent, Agent, the Contact, and the IP in the black list, and if at least one of the User-agent, the Contact, and the IP is registered in advance And registering the non-matching information in the black list if it does not match the information.

상기 탐지하는 단계는,Wherein the detecting comprises:

상기 VoIP 패킷이 상기 인바이트 메시지인 경우, From, User-agent, Contact, IP를 포함하는 상기 VoIP 패킷의 헤더 정보를 추출하는 단계, 상기 VoIP 패킷의 헤더 정보를 토대로 국제전화인지 판단하는 단계, 상기 국제 전화라면, 상기 VoIP 패킷의 헤더 정보가 블랙리스트 포함하는지 판단하는 단계, 상기 블랙리스트에 포함되면, 상기 컨트롤러에게 차단을 요청하는 단계, 상기 블랙리스트에 포함되지 않으면, 상기 블랙리스트에 포함된 국가에 속하는지 판단하는 단계, 상기 블랙리스트에 포함된 국가에 해당하면 카운트를 누적하여 임계치를 초과하면 상기 컨트롤러에게 차단을 요청하는 단계, 그리고 상기 임계치를 초과하지 않으면, 상기 블랙리스트에 추가후 상기 컨트롤러에게 차단을 요청하는 단계를 포함할 수 있다.Extracting header information of the VoIP packet including From, User-agent, Contact and IP when the VoIP packet is the invite message; determining whether the VoIP packet is an international call based on the header information of the VoIP packet; Determining whether header information of the VoIP packet includes a black list if the VoIP packet is an international call; requesting the controller to block the VoIP packet if it is included in the black list; Counting the number of counts corresponding to the country included in the black list and requesting the controller to interrupt the count if the number of counts exceeds a threshold value; and if the count is not exceeded, And requesting a blocking operation.

본 발명의 실시예에 따르면, SDN(Software Defined Network) 기반의 컨트롤러와 스위치를 사용하여 해커의 VoIP 단말 및 장비 계정 도용 해킹 시도를 탐지하고, 도용된 계정 정보를 이용하여 불법적인 사용이 발생되는 경우를 실시간으로 탐지하여 차단한다.According to an embodiment of the present invention, when a hacking attempt of a hacker's VoIP terminal and equipment account is detected using a SDN (Software Defined Network) -based controller and a switch, and illegal use occurs using the stolen account information In real time.

또한, SDN 기반 VoIP 보안 장치를 통해 실시간적으로 해킹시도 및 불법 사용을 탐지하여 차단·우회시킬 수 있으며, 탐지·차단·우회를 위한 설정을 SDN 컨트롤러 및 스위치를 이용하여 자동으로 적용이 가능하다. In addition, SDN-based VoIP security devices can detect and block hacking attempts and illegal use in real time, and can automatically apply settings for detection, blocking, and bypassing using SDN controller and switch.

또한, IP, 전화번호 등 해킹시도 및 불법 사용 차단을 피하기 위해 핵심 파라미터를 수시로 변경하는 해킹 공격까지 파악하여 실시간 탐지 및 차단이 가능하여, 고객 과금 피해 및 타사업자에게 지불하는 정산비용 절감을 획기적으로 감소시키는 것이 가능하다.In addition, to detect hacking attacks that change key parameters from time to time in order to avoid hacking attempts such as IP and telephone number, and blocking illegal use, real-time detection and blocking can be realized, dramatically reducing the cost of settlement It is possible to reduce it.

도 1은 본 발명의 일실시예에 따른 소프트웨어 정의 네트워크(SDN, Software Defined Network) 기반 VoIP(Voice Over Internet Protocol) 보안 시스템의 구성을 개략적으로 나타낸 구성도이다.
도 2는 본 발명의 실시예에 따른 소프트웨어 정의 네트워크에서 VoIP 보안 방법의 전체 흐름도이다.
도 3은 본 발명의 실시예에 따른 VoIP 보안 장치의 해킹 시도 탐지 과정을 나타낸 순서도이다.
도 4는 도 3에서 S215 단계를 상세히 나타낸 순서도이다.
도 5는 도 3에서 S217 단계를 상세히 나타낸 순서도이다.
도 6은 도 3에서 S219 단계를 상세히 나타낸 순서도이다.FIG. 1 is a block diagram schematically illustrating a configuration of a Voice Over Internet Protocol (VoIP) security system based on a Software Defined Network (SDN) according to an embodiment of the present invention.
2 is an overall flow diagram of a VoIP security method in a software defined network according to an embodiment of the present invention.
3 is a flowchart illustrating a hacking attempt detection process of a VoIP security device according to an embodiment of the present invention.
FIG. 4 is a detailed flowchart of step S215 in FIG.
FIG. 5 is a detailed flowchart of step S217 in FIG.
FIG. 6 is a detailed flowchart of step S219 in FIG.

아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art can easily carry out the present invention. The present invention may, however, be embodied in many different forms and should not be construed as limited to the embodiments set forth herein. In order to clearly illustrate the present invention, parts not related to the description are omitted, and similar parts are denoted by like reference characters throughout the specification.

명세서 전체에서, 어떤 부분이 어떤 구성 요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성 요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있는 것을 의미한다.Throughout the specification, when an element is referred to as "comprising ", it means that it can include other elements as well, without excluding other elements unless specifically stated otherwise.

또한, 명세서에 기재된 "…부", "…모듈" 의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.Also, the terms of " part ", "... module" in the description mean units for processing at least one function or operation, which may be implemented by hardware or software or a combination of hardware and software.

또한, 명세서에 기재된 '컨트롤러(controller)'는 트래픽의 흐름을 제어하기 위해 관련 구성 요소(예를들면, 스위치, 라우터 등)를 제어하는 기능 요소(entity)를 의미하는 것으로, 물리적인 구현 형태나 구현 위치 등에 한정되지 않는다. 예를 들어, 컨트롤러는 ONF나, IETF, ETSI 및/또는 ITU-T 등에서 정의하고 있는 컨트롤러 기능 요소(entity)를 의미할 수 있다. The term 'controller' as used herein refers to a functional entity that controls related components (eg, switches, routers, etc.) to control the flow of traffic. And the like. For example, a controller may refer to a controller functional entity defined by ONF, IETF, ETSI, and / or ITU-T.

또한, 명세서에 기재된 '스위치'는 트래픽(또는 패킷)을 실질적으로 포워딩하거나 스위칭 또는 라우팅하는 기능 요소를 의미하는 것으로, ONF나, IETF, ETSI 및/또는 ITU-T 등에서 정의하고 있는 스위치, 라우터, 스위치 요소, 라우터 요소, 포워딩 요소 등을 의미할 수 있다.The 'switch' described in the specification means a functional element for substantially forwarding, switching, or routing traffic (or packet). The switch may be a switch, a router, a router, or the like defined by ONF, IETF, ETSI and / or ITU- A switch element, a router element, a forwarding element, and the like.

이하, 도면을 참조로 하여 본 발명의 실시예에 따른 VoIP 보안 시스템 및 보안 처리 방법에 대하여 상세히 설명한다. Hereinafter, a VoIP security system and a security processing method according to an embodiment of the present invention will be described in detail with reference to the drawings.

도 1은 본 발명의 일실시예에 따른 소프트웨어 정의 네트워크(SDN, Software Defined Network) 기반 VoIP(Voice Over Internet Protocol) 보안 시스템의 구성을 개략적으로 나타낸 구성도이다.FIG. 1 is a block diagram schematically illustrating a configuration of a Voice Over Internet Protocol (VoIP) security system based on a Software Defined Network (SDN) according to an embodiment of the present invention.

도 1을 참조하면, 유선 액세스 망(1), 코어 망(2), 무선 액세스 망(3)은 모두 복수의 스위치(100)를 포함한다. 이때, 유선 액세스 망(2)과 무선 액세스 망(3)은 코어 망(2)과 각각 연결된다. Referring to FIG. 1, the wired access network 1, the core network 2, and the radio access network 3 all include a plurality of switches 100. At this time, the wired access network 2 and the radio access network 3 are connected to the core network 2, respectively.

이때, 유선 액세스 망(1) 및 무선 액세스 망(3)은 VoIP(Voice over Internet Protocol), 무선의 VoLTE(voice over LTE), WiFi 등을 이용하는 mobile VoIP를 포함할 수 있다.At this time, the wired access network 1 and the radio access network 3 may include a mobile VoIP using Voice over Internet Protocol (VoIP), voice over LTE (VoLTE), WiFi, or the like.

복수의 스위치(100)는 컨트롤러(200)와 연결된다. 그리고 컨트롤러(200)는 VoIP 해킹 탐지를 수행하는 VoIP 보안 장치(300)와 연결된다.A plurality of switches (100) are connected to the controller (200). The controller 200 is connected to the VoIP security device 300 that performs VoIP hacking detection.

복수의 스위치(100)는 플로우 테이블(flow table)을 가지고 있으며, 플로우 테이블의 각 엔트리(entry)에는 특정 조건(rule)에 부합하는 플로우를 스위치(100)가 어떻게 처리할 것인지가 기술된다. 또한, 해당 조건의 플로우에 대한 통계(Statistics)가 함께 저장될 수도 있다. The plurality of switches 100 has a flow table, and each entry of the flow table describes how the switch 100 processes a flow conforming to a specific rule. In addition, statistics on the flow of the condition may be stored together.

복수의 스위치(100)는 컨트롤러(200)의 명령을 수신하여 VoIP 보안 장치(300)로 네트워크(1, 2, 3)에서 송수신되는 패킷을 전송하거나, VoIP 보안 장치(300)가 전송한 차단 및 우회 명령에 따라 실제 차단 또는 우회하도록 플로우 처리를 수행한다.The plurality of switches 100 receives commands from the controller 200 and transmits packets transmitted and received on the networks 1, 2 and 3 to the VoIP security apparatus 300 or blocks transmitted and received by the VoIP security apparatus 300. [ And performs flow processing so as to actually block or bypass according to the detour command.

여기서, 플로우는 스위치 포트(port), VLAN(Virtual LAN) ID, 송신자 MAC(Media Access Control) 주소, 수신자 MAC 주소, 이더넷 타입(Ethernet Type), 송신자 IP 주소, 수신자 IP 주소, IP 프로토콜 종류, 송신자 포트(port), 수신자 포트(port) 등을 포함하는 구별자를 통해 구별될 수 있다. 구별자를 이용하여 특정 플로우들이 같은 플로우로 취급되거나, 혹은 서로 다른 플로우로 취급되는 조건(rule)을 정의할 수 있다.Here, the flow includes a switch port, a VLAN ID, a sender MAC address, a receiver MAC address, an Ethernet type, a sender IP address, a receiver IP address, an IP protocol type, Such as a port, a recipient port, and the like. A discriminator can be used to define a rule in which certain flows are treated as the same flow or treated as different flows.

컨트롤러(200)는 스위치(100)에 특정 플로우 조건 및 처리 지침(Rule, Action)을 주입하여 특정 플로우를 어떤 경로로 전달할 것인지 제어할 수 있다. 컨트롤러(200)는 VoIP 보안 장치(300)로부터 스위치(100)에 적용할 플로우 정책을 수신받아 스위치(100) 정책에 맞게 플로우 엔트리(flow entry)로 변경하여 적용되도록 한다. The controller 200 may inject specific flow conditions and processing instructions (Rule, Action) to the switch 100 to control the path through which the specific flow is transmitted. The controller 200 receives the flow policy to be applied to the switch 100 from the VoIP security apparatus 300 and changes the flow entry into a flow entry according to the policy of the switch 100 to be applied.

VoIP 보안 장치(300)는 해커의 해킹 시도 및 국제전화 발신 등 불법적인 단말 사용을 탐지하고 차단하도록 명령한다. The VoIP security device 300 instructs the hacker to detect and block illegal use of the terminal, such as a hacking attempt and an international call.

플로우 전달 룰 설정부(310)는 스위치(100)가 인터넷 전화 단말에서 발신하거나 또는 착신된 신호 메시지를 에서 분석한 후 조건에 맞는 플로우를 VoIP 보안 장치(300)로 전송하면, 해당 플로우가 해킹 시도 및 불법 사용 플로우인지 판단한다. 그리고 컨트롤러(200)로 해당 플로우를 차단 및 우회하도록 요청 메시지를 전송한다. 그러면, 컨트롤러(200)는 VoIP 보안 장치(300)로부터 수신한 요청 메시지를 스위치(100)에 적용하기 위한 메시지로 변경하여 스위치(100)로 전달하여 해당 플로우가 차단 및 우회되도록 처리하여 통신 서비스 가입자들에게 해킹에 의한 피해를 미연에 방지하도록 한다. The flow forwarding rule setting unit 310 analyzes a signal message transmitted from the Internet telephone terminal or received signaling message from the switch 100 and transmits a flow corresponding to the condition to the VoIP security apparatus 300. When the flow advances to the VoIP security apparatus 300, And an illegal use flow. And sends a request message to the controller 200 to block and bypass the flow. Then, the controller 200 changes the request message received from the VoIP security device 300 to a message for applying to the switch 100, and transmits the message to the switch 100 so that the corresponding flow is blocked and bypassed, To prevent damage caused by hacking.

보안 처리부(330)는 스위치(100)로부터 전달된 패킷의 해킹 여부 및 불법 사용 여부를 판단하고, 해킹 및 불법 사용이 탐지되면 컨트롤러(200)에게 플로우 차단을 설정한다.The security processing unit 330 determines whether or not the packet transmitted from the switch 100 is hacked or illegally used, and sets the flow blocking to the controller 200 when hacking or illegal use is detected.

도 2는 본 발명의 실시예에 따른 소프트웨어 정의 네트워크에서 VoIP 보안 방법의 전체 흐름도이다.2 is an overall flow diagram of a VoIP security method in a software defined network according to an embodiment of the present invention.

도 2를 참조하면, VoIP 보안 장치(300)의 플로우 전달 룰 설정부(310)는 컨트롤러(200)에게 플로우 전달 룰을 설정한다(S101). 즉, SDN 기반 인터넷 전화 신호 메시지의 포워딩 룰(forwarding rule)을 설정한다. Referring to FIG. 2, the flow delivery rule setting unit 310 of the VoIP security apparatus 300 sets a flow delivery rule to the controller 200 (S101). That is, a forwarding rule of the SDN-based Internet telephony signaling message is set.

이때, 계층 별(L3~L7 계층)로 동적 설정할 수 있다.At this time, dynamic setting can be performed for each layer (L3 to L7 layers).

하나의 실시예에 따르면, 플로우 전달 룰은 해킹 시도 및 불법 사용 판단을 위한 VoIP 신호 메시지를 전달 받기 위해 컨트롤러(200)로 전송된다. IP Layer별로 구분될 수 있으며, 표 1과 같다.According to one embodiment, the flow forwarding rule is sent to the controller 200 to receive a VoIP signaling message for a hacking attempt and an illegal usage decision. It can be classified by IP layer, as shown in Table 1.

계층hierarchy 내용Contents L7 정보About L7 static black-list User-Agent, black-list 발/착신번호, 특정 SIP header field 값static black-list User-Agent, black-list Foot / called number, specific SIP header field value L4 정보About L4 특정 포트번호로 (SIP인 경우 5060) 사전 지정한 임계치를 초과하여 트래픽이 들어오는 경우With a specific port number (5060 for SIP) If traffic exceeds the pre-specified threshold L3 정보About L3 해킹시도 및 불법사용 이력이 있는 source IP값
주요 블랙리스트 국가 IP 블록 값Source IP values with hacking attempts and illegal usage history
Major Blacklist Country IP Block Value

그러면, 컨트롤러(200)는 스위치(100)에게 플로우 전달 룰에 따른 플로우 엔트리 정보 생성을 요청한다(S103). 즉, 컨트롤러(200)는 VoIP 보안 장치(300)가 요청한 정보가 정상적으로 VoIP 보안 장치(300) 전송되도록 스위치에 플로우 엔트리 생성 생성 메시지를 전송한다.Then, the controller 200 requests the switch 100 to generate the flow entry information according to the flow delivery rule (S103). That is, the controller 200 transmits a flow entry creation message to the switch such that the information requested by the VoIP security device 300 is normally transmitted to the VoIP security device 300.

스위치(100)는 컨트롤러(200)의 요청에 따라 플로우 엔트리를 설정한다(S105). 즉, 해킹시도 및 불법 사용을 판단하기 위해 스위치가 VoIP 보안 장치(300)로 전달할 플로우 조건을 설정하는 단계이다.The switch 100 sets a flow entry at the request of the controller 200 (S105). That is, it is a step of setting a flow condition to be transmitted to the VoIP security device 300 by the switch in order to determine a hacking attempt and illegal use.

그러면, 스위치(100)는 플로우 테이블에 컨트롤러(200)가 요청한 플로우엔트리를 생성한다. 여기서, 플로우 엔트리는 표 2와 같다.Then, the switch 100 generates the flow entry requested by the controller 200 in the flow table. Here, the flow entries are shown in Table 2.

Match fieldsMatch fields ActionsActions CountersCounters LayerLayer 비고/ 예시Remarks / Examples sip.User-Agent == 특정값sip.User-Agent == specific value Forward to output port
(->해킹탐지 시스템)Forward to output port
(-> Hacking detection system) L7L7 Friendly-Scanner 등
해킹에 주로 사용되는 User-Agent 명Friendly-Scanner etc.
User-Agent name used mainly for hacking sip.To == 특정값sip.To == specific value 무설정 or임계치 (ex: 3회/sec)No setting or threshold (ex: 3 times / sec) L7L7 001, 00727 등으로 시작되는 국제전화International calls beginning with 001, 00727, etc. sip.From==“1234567“sip.From == "1234567" L7L7 해킹시도 및 불법사용 이력이 있는 발신번호Attempted hacking and illegal use of caller ID src ip==black-list IPsrc ip == black-list IP 임계치
(ex: 10회/sec)Threshold
(ex: 10 times / sec) L4L4 임계치는 플로우별로 counter 및 max bit rate 등으로 설정 가능Threshold can be set by counter and max bit rate for each flow dst port == 5060dst port == 5060 L3L3 해킹탐지시스템 port는 물리 및 가상포트(터널링) 모두 가능Hacking detection system port can be both physical and virtual port (tunneling)

표 2를 참조하면, Match fields는 Actions을 수행하기 위해 만족해야 할 조건을 기술하는 항목이다. Actions는 Match fields를 만족하는 플로우(flow)가 발생시 SDN 스위치가 수행해야 할 행동을 기술하는 항목이다. Counters는 Match 조건을 만족하는 플로우(flow)의 패킷 개수로써, 해킹 시도 및 불법 사용 판단을 위해 지정한 임계치를 초과하여 패킷이 유입되는지를 판단하기 위해 사용되는 항목이다. Referring to Table 2, Match fields are items describing conditions to be satisfied in order to perform Actions. Actions describe the actions that the SDN switch should perform when a flow that satisfies the match fields occurs. Counters are the number of packets in a flow satisfying a match condition and used for judging whether a packet exceeds a predetermined threshold value for hacking attempts or illegal use judgments.

스위치(100)는 패킷이 유입(S107)되면, 유입된 패킷이 S105 단계에서 생성된 플로우 엔트리에 설정된 조건을 만족하는지 판단한다(S109).The switch 100 determines whether the incoming packet satisfies the condition set in the flow entry created in step S105 (S109).

이때, 플로우 조건을 만족하면, 유입된 패킷을 VoIP 보안 장치(300)로 전송한다(S111).At this time, if the flow condition is satisfied, the VoIP security device 300 transmits the incoming packet to the VoIP security device 300 (S111).

VoIP 보안 장치(300)의 보안 처리부(330)는 수신된 패킷에 대해 인터넷 전화 해킹 시도 및 불법 사용 탐지 로직에 의한 탐지를 수행한다. The security processing unit 330 of the VoIP security device 300 performs detection of an Internet telephone hacking attempt and illegal use detection logic on the received packet.

이때, VoIP 보안 장치(300)는 OPTIONS scanning, REGISTER 인증 단계, INVITE 통화 시도 단계로 구분하여 해킹 시도 및 불법 사용 여부를 판단한다(S113).At this time, the VoIP security device 300 divides the OPTIONS scanning, the REGISTER authentication step, and the INVITE call attempting step and judges whether a hacking attempt or illegal use is made (S113).

보안 처리부(330)는 해킹 시도 및 불법 사용으로 판단되면, 컨트롤러(200)에게 플로우 차단을 설정한다(S115). 즉, 해킹 시도 및 불법 사용으로 탐지된 플로우에 대한 차단 처리를 수행하는 단계이다.If it is determined that the hacking attempt is illegal, the security processing unit 330 sets the flow blocking to the controller 200 (S115). That is, the blocking process is performed for the flow detected by the hacking attempt and illegal use.

이때, 플로우 차단 설정은 L3 ~ L7 계층에 이르는 다양한 튜플(tuple) 정보 조합 가능하다. 예를들면, IP, port, 메시지 종류, User-Agent, Expire time, 발/착신 전화번호 등을 조합할 수 있다. At this time, it is possible to combine various tuple information ranging from L3 to L7 layers in the flow blocking setting. For example, IP, port, message type, User-Agent, Expire time, and incoming / outgoing phone number can be combined.

또한, 플로우 차단 설정은 차단을 위한 플로우 엔트리의 유효시간 설정 가능:및 아이들(idle)/하드 타임아웃(*hard timeout) 값 설정을 통한 차단 기간 설정을 포함한다.Also, the flow blocking setting includes setting the blocking time period for setting the valid time of the flow entry for blocking: and setting the idle / hard timeout value.

그러면, 컨트롤러(200)는 스위치(100)에게 플로우 차단 설정에 따른 플로우 엔트리 생성을 요청한다(S117). Then, the controller 200 requests the switch 100 to create a flow entry according to the flow blocking setting (S117).

스위치(100)는 VoIP 보안 장치(300)에서 수신한 튜플 정보를 표 2의 match fields 및 action(drop, redirect 등) 처리에 따라 플로우 엔트리를 생성하고 생성한 플로우 엔트리에 따라 해당 플로우를 차단한다(S119). 이때, 스위치(100)는 해킹 시도 및 불법 사용으로 탐지된 플로우인 경우, 플로우 드롭(Flow Drop) 또는 리다이렉션(Redirection) 처리한다.The switch 100 generates a flow entry according to the match fields and action (drop, redirect, etc.) of the tuple information received from the VoIP security device 300 and blocks the corresponding flow according to the generated flow entry S119). At this time, the switch 100 performs a flow drop or a redirection in the case of a flow detected by a hacking attempt and illegal use.

구분division Match fieldsMatch fields timeouttimeout ActionsActions 실시예 1Example 1 src ip==a.a.a.a, src port==1111, sip.Request==“REGISTER”, sip.UA==“friendly-scanner”src ip == a.a.a.a, src port == 1111, sip.Request == "REGISTER", sip.UA == "friendly-scanner" idle timeout =3600idle timeout = 3600 dropdrop 실시예 2Example 2 dst ip==b.b.b.b, dst port==2222, sip.Request==“INVITE”, sip.Expire<=600dst ip == b.b.b, dst port == 2222, sip.Request == "INVITE", sip.Expire <= 600 dropdrop 실시예 3Example 3 dst ip==b.b.b.b, dst port==2222,
sip.From==“111111 “dst ip == bbbb, dst port == 2222,
sip.From == "111111" hard timeout =3600hard timeout = 3600 dropdrop 실시예 4Example 4 src ip==a.a.a.a, src port==1111,
sip.From==“444444“src ip == aaaa, src port == 1111,
sip.From == "444444" redirect
(sink hole)redirect
a sink hole,

표 3을 참조하면, 실시예 1은 발신지 IP가 a.a.a.a, 발신지 port가 1111이며 신호 메시지 종류가 REGISTER 중 UserAgent가"friendly-scanner"인 플로우(flow)를 drop(차단)하도록 하는 플로우 엔트리(flow entry)의 예시이다. Idle timeout 값은 match fields를 만족하는 플로우(flow)가 지정된 시간(예: 3600초) 동안 더 이상 유입되지 않는 경우 자동적으로 해당 플로우 엔트리(flow entry)를 삭제하도록 설정한다. 즉, 해커가 해당 플로우(flow)가 차단됨을 인지하여 일정 시간 동안 해당 플로우(flow)로 해킹 시도를 하지 않는 경우, 운용자가 수동으로 해당 플로우(flow)를 삭제할 필요없이 SDN 스위치에서 자동적으로 해당 플로우 엔트리(flow entry)를 삭제되도록 할 수 있다. Referring to Table 3, according to the first embodiment, the flow entry (flow entry) for allowing the user agent to drop (block) a flow of "friendly-scanner" in the REGISTER of the source IP and the source port is 11a, ). The Idle timeout value is set to automatically delete the flow entry if the flow satisfying the match fields is no longer in the specified time (eg 3600 seconds). That is, when the hacker recognizes that the flow is blocked and does not attempt to hack in the flow for a certain period of time, the operator does not need to manually delete the flow, The flow entry can be deleted.

또한, 실시예 2는 착신지 IP가 b.b.b.b, 착신지 port가 2222이며 신호 메시지(발명 종류가 INVITE 중 session Expire 값이 600이하인 flow를 drop(차단)하도록 하는 플로우 엔트리(flow entry)의 예시이다. 운용자가 불법호 착신장비로 지정한 착신 IP, 포트(port)로 메시지를 보내는 통화 중 비정상적으로 만료 시간(Expire time)이 짧은 호를 불법 국제전화로 판단하여 drop 시키는 실시예이다. In addition, the second embodiment is an example of a flow entry in which the destination IP is bbbb, the destination port is 2222, and a signal message (dropping a flow whose session expire value is less than 600 in the INVITE of the invention type) is shown. This is an example in which an operator determines that an illegal international call is an illegal international call and drops an abnormally short expiration time during a call to a destination IP or port designated as an illegal call receiving apparatus.

또한, 실시예 3는 착신지 IP가 b.b.b.b, 착신지 port가 2222이며 발신번호가 운용자가 지정한 특정 번호(본 예시에서는"111111"인 flow를 drop(차단)하도록 하는 flow entry 예시이다. Hard timeout 값은 match field 만족여부와 관계없이 지정된 시각(본 예시에는 3600초) 동안만 flow entry가 설정되고 이후에는 자동적으로 삭제하도록 설정한다. The third example is a flow entry example in which the destination IP is bbbb, the destination port is 2222, and the calling number drops a flow of a specific number designated by the operator (in this example, "111111"). Is set so that the flow entry is set only for the designated time (3600 seconds in this example) regardless of whether the match field is satisfied or not, and then the flow entry is automatically deleted.

또한, 실시예 4는 발신지 IP가 a.a.a.a, 발신지 port가 1111이며 발신번호가 "444444"(해킹에 사용된 이력이 있는 조작된 발신 전화번호)인 flow가 유입될 경우, 이 메시지를 통화 연결시키기 위한 교환장비로 보내지 않고, sink hole 처리시키는 임의의 장치로 보내어 사업자의 망 자원을 낭비하지 않도록 우회(redirect)키시는 flow entry에 대한 예시이다.In addition, in the fourth embodiment, when a flow of which the source IP is aaaa, the source port is 1111, and the calling number is "444444" (the manipulated originating telephone number used for hacking) is inputted, A redirect key is an example of a flow entry so that it is not sent to the exchange equipment and is sent to any device that processes the sink hole and does not waste network resources of the provider.

한편, VoIP 보안 장치(300)는 해킹 시도 및 불법 사용이 아니라고 판단되면, 컨트롤러(200)에게 S111 단계에서 수신된 패킷을 다시 리턴한다(S121). Meanwhile, if it is determined that the VoIP security device 300 is not a hacking attempt or illegal use, the VoIP security device 300 returns the packet received in step S111 to the controller 200 again (S121).

그러면, VoIP 보안 장치(300)는 S107 단계에서 전달 조건을 만족하지 않거나 또는 S121 단계에서 패킷이 리턴되면, 원래 경로, 즉 플로우 테이블에 따라 해당 패킷을 포워딩한다(S123).In step S123, the VoIP security device 300 forwards the packet according to the original path, that is, the flow table, if the delivery condition is not satisfied in step S107 or if the packet is returned in step S121.

도 3은 본 발명의 실시예에 따른 VoIP 보안 장치의 해킹 시도 탐지 과정을 나타낸 순서도이다.3 is a flowchart illustrating a hacking attempt detection process of a VoIP security device according to an embodiment of the present invention.

도 3을 참조하면, VoIP 보안 장치(300)의 보안 처리부(330)는 정보 매핑 테이블을 로딩한다(S201). 여기서, 정보 매핑 테이블은 단말의 전화번호별 IP, User-Agent, Contact 등의 정보를 저장하고 있는 테이블이다. 이 정보 매핑 테이블은 도 5에서 블랙리스트(Black list) 등록 판단시 특정 전화번호에 정상적으로 매핑되어 있던 값과 비교 값과의 일치 여부에 사용된다. Referring to FIG. 3, the security processing unit 330 of the VoIP security device 300 loads an information mapping table (S201). Here, the information mapping table is a table that stores information such as IP, User-Agent, and Contact for each phone number of the terminal. This information mapping table is used to determine whether or not a value mapped to a specific telephone number normally matches with a comparison value when determining a black list registration in FIG.

VoIP 보안 장치(300)는 스위치(100)로부터 SIP 패킷이 수신(S203)되면, 요청 메시지인지를 판단한다(S205).When the SIP packet is received from the switch 100 (S203), the VoIP security apparatus 300 determines whether it is a request message (S205).

이때, 요청 메시지로 판단되지 않으면, S203 단계로 다시 돌아간다.At this time, if the request message is not determined, the process returns to step S203.

반면, 요청 매시지로 판단되면, 옵션(OPTION) 메시지인지를 판단(S207)하거나 또는 레지스터(REGISTER) 메시지 인지를 판단(S209)하거나 또는 인바이트(INVITE) 메시지인지를 판단(S211)한다.On the other hand, if it is determined to be a request message, it is determined whether the message is an option message (S207) or whether it is a register message (S209) or an INVITE message (S211).

여기서, S207 단계에서 옵션 메시지로 판단되면, 옵션 처리 루틴에 따른 처리를 수행한다(S213). If it is determined in step S207 that the message is an option message, processing according to the option processing routine is performed (S213).

이때, 옵션 메시지는 SIP에서 단말이나 장비의 능력(Capability)를 파악하기 위해 사용하는 메시지이다. 해커는 이 메시지를 이용하여 인터넷 전화 단말이나 IP-PBX와 같은 VoIP장비를 찾아내기 위해 사용한다. IP 범위를 임의로 지정하여 다량의 SIP 메시지를 전송하기 때문에 특정 소스 IP(source IP)나 목적지 IP(destination IP)에서 단위 시간에 임계치를 초과하여 발생되는 경우를 탐지한다.At this time, the option message is a message used in SIP to grasp the capability of the terminal or equipment. The hacker uses this message to find VoIP equipment such as Internet phone terminal or IP-PBX. Since a large number of SIP messages are transmitted by arbitrarily specifying an IP range, a case where a source IP (source IP) or a destination IP (destination IP) is generated in excess of a threshold value per unit time is detected.

또한, S209 단계에서 레지스터 메시지로 판단되면, 레지스터 처리 루틴에 따른 처리를 수행한다(S215). If it is determined in step S209 that the message is a register message, processing according to the register processing routine is performed (S215).

이때, 레지스터는 SIP에서 단말이 정상적인 통화서비스를 제공받기 위해 수행되는 인증 단계에 사용되는 메시지이다. 해커는 이 메시지를 이용하여 VoIP 단말이나 IP-PBX와 같은 VoIP 장비의 계정을 도용하기 위해 사용한다. VoIP 보안 장치(300)는 정상적으로 사용되었던 단말과 IP-PBX 장비의 User-Agent, Contact, IP 값을 저장하고 있다가, 계정 획득 시도시에 사용되는 레지스터 메시지의 헤더값과 비교하여, 해킹시도 여부를 판단한다.At this time, the register is a message used in an authentication step performed in order to provide a normal call service to the terminal in SIP. The hacker uses this message to steal accounts of VoIP equipment such as VoIP terminal or IP-PBX. The VoIP security device 300 stores the User-Agent, Contact, and IP values of the terminal normally used and the IP-PBX device, compares the value with the header value of the register message used when attempting to acquire the account, .

또한, S211 단계에서 인바이트 메시지로 판단되면, 인바이트 처리 루틴에 따른 처리를 수행한다(S217).If it is determined in step S211 that the message is an invite message, processing according to the invite processing routine is performed (S217).

또한, S207 단계, S209 단계, S211 단계를 만족하지 않으면, S203 단계를 수행한다.If step S207, step S209, and step S211 are not satisfied, step S203 is performed.

도 4는 도 3에서 S215 단계를 상세히 나타낸 순서도로서, 특히, 옵션을 통한 해킹 스캐닝(scanning) 탐지 절차를 설명하는 흐름도이다.FIG. 4 is a flowchart illustrating in detail step S215 in FIG. 3, and particularly, a flowchart illustrating a hacking scanning detection procedure through an option.

도 4를 참조하면, VoIP 보안 장치(300)의 보안 처리부(330)는 스위치(100)로부터 전달된 SIP 패킷으로부터 From, User-agent, Contact, IP를 추출(S301)하고 카운트를 누적한다(S303).4, the security processing unit 330 of the VoIP security apparatus 300 extracts From, User-agent, Contact, and IP from the SIP packet transmitted from the switch 100 (S301) and accumulates the counts (S303 ).

VoIP 보안 장치(300)는 누적된 카운트를 기초로 하여 SIP 패킷의 임계 유입 회수를 초과하는지 판단한다(S305). 즉, 수신된 SIP 패킷의 누적 수가 기 정의된 수를 초과하는지 판단하는 것이다.The VoIP security device 300 determines whether the number of critical inflows of the SIP packet exceeds the accumulated count based on the accumulated count (S305). That is, it is determined whether the cumulative number of received SIP packets exceeds a predetermined number.

VoIP 보안 장치(300)는 임계 유입 회수를 초과하면, 컨트롤러(200)에게 해당 SIP 패킷의 차단을 요청한다(S307). If the VoIP security device 300 exceeds the threshold entry count, the VoIP security device 300 requests the controller 200 to block the corresponding SIP packet (S307).

반면, 임계 유입 회수를 초과하지 않으면, S301 단계에서 추출한 정보가 블랙리스트에 포함되는지 판단한다(S309).On the other hand, if the number of critical inflows is not exceeded, it is determined whether the information extracted in step S301 is included in the black list (S309).

이때, 블랙리스트에 포함되면, 마찬가지로 컨트롤러(200)에게 해당 SIP 패킷의 차단을 요청한다(S307).At this time, if it is included in the black list, the controller 200 requests the controller 200 to block the corresponding SIP packet (S307).

도 5는 도 3에서 S217 단계를 상세히 나타낸 순서도로서, 레지스터(REGISTER)를 통한 인증 정보 해킹 시도 탐지 절차를 설명하는 흐름도이다.FIG. 5 is a flowchart illustrating in detail step S217 in FIG. 3, which is a flowchart for explaining an authentication information hacking attempt detection procedure using a register REGISTER.

도 5를 참조하면, VoIP 보안 장치(300)의 보안 처리부(330)는 스위치(100)로부터 전달된 SIP 패킷으로부터 From, User-agent, Contact, IP를 추출(S401)한다.5, the security processing unit 330 of the VoIP security device 300 extracts From, User-agent, Contact, and IP from the SIP packet transmitted from the switch 100 (S401).

VoIP 보안 장치(300)는 S401 단계에서 추출한 User-agent가 정상적으로 사용되는 기 정의된 값과 일치하는지 판단한다(S403).The VoIP security device 300 determines whether the user-agent extracted in step S401 matches a predefined value that is normally used (S403).

이때 일치하면, S401 단계에서 추출한 Contact가 정상적으로 사용되는 기 정의된 값과 일치하는지 판단한다(S405).At this time, if they match, it is determined whether the contact extracted in step S401 matches a predefined value that is normally used (S405).

이때, 일치하면, S401 단계에서 추출한 IP가 정상적으로 사용되는 기 정의된 값과 일치하는지 판단한다(S407).At this time, if they match, it is determined whether the IP extracted in step S401 matches a predefined value that is normally used (S407).

이때, 일치하면, 정상 처리로 간주하여 프로세스를 종료한다. At this time, if they match, it is regarded as a normal process and the process is terminated.

반면, S403 단계에서 일치하지 않으면, S401 단계에서 추출한 Contact가 정상적으로 사용되는 기 정의된 값과 일치하는지 판단한다(S409).On the other hand, if it is determined in step S403 that they do not coincide with each other, it is determined whether the contact extracted in step S401 matches a predefined value that is normally used (S409).

이때, 일치하면, S415 단계를 수행한다. At this time, if they match, step S415 is performed.

반면, 일치하지 않으면, S401 단계에서 추출한 IP가 정상적으로 사용되는 기 정의된 값과 일치하는지 판단한다(S411).On the other hand, if they do not match, it is determined whether the IP extracted in step S401 matches a predefined value that is normally used (S411).

이때, 일치하지 않으면, 컨트롤러(200)에게 해당 패킷의 차단을 요청한다(S413). 그리고 S401 단계에서 추출한 User-agent, Contact, IP를 블랙리스트 DB에 저장한다(S415). At this time, if they do not match, the controller 200 is requested to block the packet (S413). Then, the user-agent, contact, and IP extracted in step S401 are stored in the blacklist DB (S415).

또한, S405 단계, S407 단계에서 일치하지 않으면, S415 단계를 수행한다. If it is determined in steps S405 and S407 that they do not match, step S415 is performed.

도 6은 도 3에서 S219 단계를 상세히 나타낸 순서도로서, 인바이트 탐지 절차를 설명하는 흐름도이다.FIG. 6 is a flowchart illustrating step S219 in FIG. 3 in detail.

도 6을 참조하면, VoIP 보안 장치(300)의 보안 처리부(330)는 스위치(100)로부터 전달된 SIP 패킷으로부터 From, User-agent, Contact, IP를 추출(S501)한다.6, the security processing unit 330 of the VoIP security device 300 extracts From, User-agent, Contact, and IP from the SIP packet transmitted from the switch 100 (S501).

여기서, From은 SIP 패킷의 발신자를 나타내고, User-agent는 패킷을 전송한 단말 또는 장비의 기종 및 버전 정보를 나타내며, Contact는 교환기 및 고정단말에 직접적으로 연락할 수 있는 SIP URI가 포함될 수 있다. IP는 발신지 주소 및 착신지 주소를 포함한다.Here, From indicates the sender of the SIP packet, User-agent indicates the model and version information of the terminal or equipment that transmitted the packet, and Contact can include the SIP URI that can directly contact the exchange and the fixed terminal. The IP includes a source address and a destination address.

VoIP 보안 장치(300)는 S501 단계에서 추출한 정보를 토대로 국제전화인지를 판단한다(S503).The VoIP security apparatus 300 determines whether it is an international call based on the information extracted in step S501 (S503).

이때, 국제전화가 아니라면 단계를 종료한다. If this is not an international call, end the step.

반면, 국제전화라면 S401 단계에서 추출한 User-agent, Contact, IP가 블랙리스트에 포함되는지 판단한다(S505).On the other hand, if the call is an international call, it is determined whether the User-agent, Contact, and IP extracted in step S401 are included in the black list (S505).

이때, 블랙리스트에 포함되면 컨트롤러(200)에게 수신된 패킷의 차단을 요청한다(S507).At this time, if it is included in the black list, the controller 200 is requested to block the received packet (S507).

반면, 블랙리스트에 포함되지 않으면, 블랙리스트 국가에 속하는지 판단한다(S509).On the other hand, if it is not included in the blacklist, it is determined whether it belongs to the blacklist country (S509).

이때, 블랙리스트 국가에 속하면, 카운트를 누적(S511)하고, 누적된 카운트가 임계치를 초과하는지 판단한다(S513). At this time, if it belongs to the blacklist country, the count is accumulated (S511), and it is determined whether the accumulated count exceeds the threshold value (S513).

이때 임계치를 초과하면 블랙리스트에 S501 단계에서 추출한 정보를 등록한다(S515). 그리고 S507 단계를 수행한다.At this time, if the threshold value is exceeded, the information extracted in step S501 is registered in the black list (S515). Then, step S507 is performed.

반면, 블랙리스트 국가에 속하지 않으면, 단계를 종료한다.On the other hand, if it does not belong to the blacklisted country, the step ends.

이상에서 설명한 본 발명의 실시예는 장치 및 방법을 통해서만 구현이 되는 것은 아니며, 본 발명의 실시예의 구성에 대응하는 기능을 실현하는 프로그램 또는 그 프로그램이 기록된 기록 매체를 통해 구현될 수도 있다. The embodiments of the present invention described above are not implemented only by the apparatus and method, but may be implemented through a program for realizing the function corresponding to the configuration of the embodiment of the present invention or a recording medium on which the program is recorded.

이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments, It belongs to the scope of right.

Claims (13)

VoIP(Voice over Internet Protocol) 패킷의 불법 사용 여부 또는 해킹 여부를 판단하고, 불법 사용 또는 해킹이 탐지된 VoIP 패킷을 차단시키는 VoIP 보안 장치, 그리고
수신된 VoIP 패킷 중에서 상기 VoIP 보안 장치의 플로우 전달 룰에 따라 생성한 플로우 엔트리의 조건을 충족하는 VoIP 패킷을 상기 VoIP 보안 장치로 전달하고, 상기 VoIP 보안 장치의 플로우 차단 설정에 따라 상기 VoIP 패킷을 보안 처리하거나 또는 플로우 엔트리에 따른 경로로 포워딩하는 스위치
를 포함하는 VoIP 보안 시스템.A VoIP security device for judging whether or not a VoIP packet is illegally used or hacked and for blocking a VoIP packet in which illegal use or hacking is detected, and
A VoIP packet transmission unit for delivering, to the VoIP security apparatus, a VoIP packet that satisfies a condition of a flow entry generated according to a flow delivery rule of the VoIP security apparatus among the received VoIP packets, A switch for performing processing or for forwarding to a path according to a flow entry
Gt; VoIP &lt; / RTI &gt; 제1항에 있어서,
상기 VoIP 보안 장치로부터 플로우 전달 룰 설정이 요청되면, 상기 스위치에게 상기 플로우 전달 룰에 따른 플로우 엔트리 정보 생성을 요청하는 컨트롤러
를 더 포함하는 VoIP 보안 시스템.The method according to claim 1,
A controller for requesting the switch to generate flow entry information according to the flow forwarding rule when the flow forwarding rule setting is requested from the VoIP security apparatus,
The VoIP security system further comprising: 제2항에 있어서,
상기 컨트롤러는,
상기 VoIP 보안 장치의 플로우 차단 룰 설정에 따라 상기 스위치에게 플로우 엔트리 설정을 요청하는 VoIP 보안 시스템.3. The method of claim 2,
The controller comprising:
And requests a flow entry setting to the switch according to a flow blocking rule of the VoIP security device. 제3항에 있어서,
상기 VoIP 보안 장치는,
상기 플로우 전달 룰에 따라 상기 스위치로부터 수신한 VoIP 패킷이 요청 메시지인 경우, 옵션 메시지인지 또는 레지스터 메시지인지 또는 인바이트 메시지인지에 따라 보안 처리를 수행하는 보안 처리부
를 포함하는 VoIP 보안 시스템.The method of claim 3,
The VoIP security apparatus includes:
A security processing unit that performs security processing according to whether the VoIP packet received from the switch is a request message, whether it is an option message, a register message, or an invite message according to the flow delivery rule;
Gt; VoIP &lt; / RTI &gt; 제4항에 있어서,
상기 보안 처리부는,
상기 VoIP 패킷이 상기 옵션 메시지인 경우, 상기 VoIP 패킷의 헤더 정보를 추출하여 추출 횟수를 카운트 하고, 누적된 카운트가 임계 유입 횟수를 초과하면 상기 컨트롤러에게 차단을 요청하며, 상기 누적된 카운트가 임계 유입 회수를 초과하지 않으면 기 정의된 블랙 리스트에 등록된 정보인 경우, 상기 컨트롤러에게 차단을 요청하는 VoIP 보안 시스템.5. The method of claim 4,
The security processing unit,
If the VoIP packet is the option message, extracts header information of the VoIP packet and counts the number of times of extraction, and requests the controller to block if the cumulative count exceeds the threshold inflowing count, And notifies the controller of the blocking if the information is registered in the predefined black list. 제4항에 있어서,
상기 보안 처리부는,
상기 VoIP 패킷이 상기 옵션 메시지인 경우, 상기 VoIP 패킷의 헤더 정보를 추출하여 상기 헤더 정보가 사전에 등록된 정상적인 헤더 정보와 일치하는지 판단하고, 일치하지 않으면, 상기 헤더 정보를 블랙리스트에 포함시키고, 상기 컨트롤러에게 차단을 요청하는 VoIP 보안 시스템.5. The method of claim 4,
The security processing unit,
If the VoIP packet is the option message, extracts header information of the VoIP packet to determine whether the header information matches the previously registered normal header information, and if the VoIP packet does not match, And requesting the controller to block the VoIP security system. 제4항에 있어서,
상기 보안 처리부는,
상기 VoIP 패킷이 상기 인바이트 메시지인 경우, 상기 VoIP 패킷의 헤더 정보를 추출하여 국제 전화인지 판단하고, 상기 국제 전화로 판단되면, 블랙리스트 포함 여부를 판단하여 상기 블랙리스트에 포함된 경우, 상기 컨트롤러에 차단을 요청하고 상기 블랙리스트에 포함되지 않은 경우, 블랙리스트에 포함된 국가에 해당하면 카운트를 누적하여 임계치를 초과하면 상기 컨트롤러에게 차단을 요청하고 상기 임계치를 초과하지 않으면, 상기 블랙리스트에 추가후 상기 컨트롤러에게 차단을 요청하는 VoIP 보안 시스템.5. The method of claim 4,
The security processing unit,
If the VoIP packet is the invite message, it is determined whether the VoIP packet is an international call by extracting header information of the VoIP packet. If it is determined that the call is an international call, If the black list is not included in the black list, the count is accumulated. If the count is exceeded, the controller is requested to interrupt the controller. If the count is not exceeded, And then requests the controller to block the VoIP security system. 제4항에 있어서,
상기 VoIP 보안 장치는,
IP 계층 별로 구분된 플로우 전달 룰을 설정하는 플로우 전달 룰 설정부를 더 포함하고,
상기 플로우 전달 룰은,
정적인 블랙리스트 유저 에이전트, 블랙리스트 발/착신번호, 특정 헤더 필드값을 포함하는 7 계층(L7) 룰,
특정 포트번호로 사전 지정한 임계치를 초과하여 트래픽이 인입되는 경우를 지정하는 4 계층(L4) 룰, 그리고
해킹시도 및 불법 사용 이력이 있는 소스 IP 값 및 주요 블랙리스트 국가 IP 블록 값을 포함하는 3 계층(L3) 룰
을 포함하는 VoIP 보안 시스템.5. The method of claim 4,
The VoIP security apparatus includes:
Further comprising a flow propagation rule setting unit for setting a flow propagation rule classified for each IP layer,
The flow-
A static black list user agent, a black list footer / called number, a seven layer (L7) rule including a specific header field value,
A four-layer (L4) rule for specifying a case where traffic exceeds a predetermined threshold specified by a specific port number, and
3-tier (L3) rules containing source IP values and major blacklist country IP block values with hacking attempts and illegal usage history
Gt; VoIP &lt; / RTI &gt; 소프트웨어 정의 네트워크(SDN, Software Defined Network)에서 VoIP 패킷에 대한 보안을 처리하는 방법으로서,
컨트롤러와 연결된 VoIP 보안 장치가 상기 컨트롤러에게 플로우 전달 룰을 설정하는 단계,
상기 컨트롤러와 연결된 스위치로부터 상기 플로우 전달 룰을 충족하는 VoIP 패킷을 수신하는 단계,
상기 VoIP 패킷의 불법 사용 여부 또는 해킹 여부를 판단하는 단계,
상기 불법 사용 또는 해킹이 탐지되면, 상기 VoIP 패킷을 차단하는 플로우 차단 설정을 상기 컨트롤러에게 요청하는 단계, 그리고
상기 불법 사용 또는 해킹 되지 않은 경우라면, 플로우 엔트리의 경로로 포워딩되도록 상기 VoIP 패킷을 상기 스위치로 리턴하는 단계
를 포함하는 보안 처리 방법.A method of handling security for VoIP packets in a Software Defined Network (SDN)
The VoIP security device connected to the controller establishing a flow forwarding rule to the controller,
Receiving a VoIP packet satisfying the flow delivery rule from a switch connected to the controller,
Determining whether the VoIP packet is illegally used or hacked,
Requesting, from the controller, a flow blocking setting for blocking the VoIP packet if the illegal use or hacking is detected; and
Returning the VoIP packet to the switch to be forwarded to the path of the flow entry if it is not illegally used or hacked;
. 제9항에 있어서,
상기 판단하는 단계는,
상기 VoIP 패킷이 요청 메시지인지 판단하는 단계, 그리고
상기 요청 메시지로 판단되면, 상기 VoIP 패킷이 옵션 메시지인지 또는 레지스터 메시지인지 또는 인바이트 메시지인지에 따른 루틴 처리를 수행하여 상기 불법 사용 여부 또는 해킹 여부를 탐지하는 단계
를 포함하는 보안 처리 방법.10. The method of claim 9,
Wherein the determining step comprises:
Determining whether the VoIP packet is a request message, and
If it is determined that the VoIP packet is an option message, a register message, or an invitation message, it is determined whether the VoIP packet is illegal or hacked
. 제10항에 있어서,
상기 탐지하는 단계는,
상기 VoIP 패킷이 상기 옵션 메시지인 경우, From, User-agent, Contact, IP를 포함하는 상기 VoIP 패킷의 헤더 정보를 추출하는 단계,
상기 추출 횟수를 카운트하여 누적하는 단게,
상기 누적 횟수가 임계 유입 회수를 초과하는지 판단하는 단계,
상기 임계 유입 회수를 초과하면, 상기 컨트롤러에게 패킷 차단을 요청하는 단계,
상기 임계 유입 회수를 초과하지 않으면, 상기 헤더 정보가 블랙리스트에 포함되었는지를 판단하는 단계, 그리고
상기 블랙리스트에 포함되었다면, 상기 컨트롤러에게 상기 패킷 차단을 요청하는 단계
를 포함하는 보안 처리 방법.11. The method of claim 10,
Wherein the detecting comprises:
Extracting header information of the VoIP packet including From, User-agent, Contact and IP when the VoIP packet is the option message,
The number of extraction times is counted and accumulated,
Determining whether the accumulated number of times exceeds a threshold inflow number,
Requesting the controller to block the packet if the number of critical inflows is exceeded,
Determining whether the header information is included in the black list if the number of critical inflows is not exceeded, and
Requesting the controller to block the packet if it is included in the blacklist
. 제10항에 있어서,
상기 탐지하는 단계는,
상기 VoIP 패킷이 상기 등록 메시지인 경우, From, User-agent, Contact, IP를 포함하는 상기 VoIP 패킷의 헤더 정보를 추출하는 단계,
상기 User-agent, 상기 Contact, 상기 IP가 모두 사전에 등록된 정보와 일치하지 않으면, 상기 컨트롤러에게 차단을 요청하고 상기 User-agent, 상기 Contact, 상기 IP를 모두 블랙리스트에 등록하는 단계, 그리고
상기 User-agent, 상기 Contact, 상기 IP 중 하나 이상이 사전에 등록된 정보와 일치하지 않으면, 일치하지 않는 정보를 블랙리스트에 등록하는 단계
를 포함하는 보안 처리 방법.11. The method of claim 10,
Wherein the detecting comprises:
Extracting header information of the VoIP packet including From, User-agent, Contact and IP when the VoIP packet is the registration message;
If the user-agent, the contact, and the IP do not agree with the previously registered information, the controller requests the controller to block and registers the User-agent, the Contact, and the IP in the blacklist.
Registering the non-matching information in the black list if at least one of the User-agent, the Contact, and the IP does not match the previously registered information
. 제10항에 있어서,
상기 탐지하는 단계는,
상기 VoIP 패킷이 상기 인바이트 메시지인 경우, From, User-agent, Contact, IP를 포함하는 상기 VoIP 패킷의 헤더 정보를 추출하는 단계,
상기 VoIP 패킷의 헤더 정보를 토대로 국제전화인지 판단하는 단계,
상기 국제 전화라면, 상기 VoIP 패킷의 헤더 정보가 블랙리스트 포함하는지 판단하는 단계,
상기 블랙리스트에 포함되면, 상기 컨트롤러에게 차단을 요청하는 단계,
상기 블랙리스트에 포함되지 않으면, 상기 블랙리스트에 포함된 국가에 속하는지 판단하는 단계,
상기 블랙리스트에 포함된 국가에 해당하면 카운트를 누적하여 임계치를 초과하면 상기 컨트롤러에게 차단을 요청하는 단계, 그리고
상기 임계치를 초과하지 않으면, 상기 블랙리스트에 추가후 상기 컨트롤러에게 차단을 요청하는 단계
를 포함하는 보안 처리 방법.11. The method of claim 10,
Wherein the detecting comprises:
Extracting header information of the VoIP packet including From, User-agent, Contact and IP when the VoIP packet is the invite message;
Determining whether the call is an international call based on the header information of the VoIP packet,
Determining whether header information of the VoIP packet includes a black list if the VoIP packet is an international call;
Requesting the controller to block if it is included in the blacklist,
Determining whether the user belongs to a country included in the black list if the user is not included in the black list,
Accumulating counts corresponding to the countries included in the black list, and requesting the controller to block if the counts are exceeded; and
And if it does not exceed the threshold, requesting the controller to block after adding to the blacklist
.
KR1020140116450A 2014-09-02 2014-09-02 Voip security system and method KR101800861B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140116450A KR101800861B1 (en) 2014-09-02 2014-09-02 Voip security system and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140116450A KR101800861B1 (en) 2014-09-02 2014-09-02 Voip security system and method

Publications (2)

Publication Number Publication Date
KR20160027841A true KR20160027841A (en) 2016-03-10
KR101800861B1 KR101800861B1 (en) 2017-11-23

Family

ID=55539123

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140116450A KR101800861B1 (en) 2014-09-02 2014-09-02 Voip security system and method

Country Status (1)

Country Link
KR (1) KR101800861B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106550159A (en) * 2017-01-23 2017-03-29 广州海格通信集团股份有限公司 VoIP communication systems

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101095861B1 (en) * 2010-08-05 2011-12-21 주식회사 윈스테크넷 Voip firewall system and control method thereof for call limitation technique based on call number information
JP5489239B2 (en) * 2011-01-27 2014-05-14 株式会社Kddi研究所 Routing method and signaling system for signaling message after session transition

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106550159A (en) * 2017-01-23 2017-03-29 广州海格通信集团股份有限公司 VoIP communication systems
CN106550159B (en) * 2017-01-23 2019-09-06 广州海格通信集团股份有限公司 VoIP communication system

Also Published As

Publication number Publication date
KR101800861B1 (en) 2017-11-23

Similar Documents

Publication Publication Date Title
US11700268B2 (en) Systems and methods for providing shifting network security via multi-access edge computing
US11553342B2 (en) Methods, systems, and computer readable media for mitigating 5G roaming security attacks using security edge protection proxy (SEPP)
US7436770B2 (en) Metering packet flows for limiting effects of denial of service attacks
US8315245B2 (en) Overload call control in a VoIP network
US8514845B2 (en) Usage of physical layer information in combination with signaling and media parameters
WO2008131667A1 (en) Method, device for identifying service flows and method, system for protecting against a denial of service attack
CA3013899C (en) Methods, telecommunication switches and computer programs for processing call setup signalling
US9491302B2 (en) Telephone call processing method and apparatus
WO2017143897A1 (en) Method, device, and system for handling attacks
WO2017035717A1 (en) Distributed denial of service attack detection method and associated device
KR20180046894A (en) NFV based messaging service security providing method and system for the same
RU2576488C1 (en) METHOD OF CONSTRUCTING DATA NETWORKS WITH HIGH LEVEL OF SECURITY FROM DDoS ATTACKS
KR101800861B1 (en) Voip security system and method
US8646081B1 (en) Method and system to detect a security event in a packet flow and block the packet flow at an egress point in a communication network
KR20150093194A (en) Controlling a mobile device in a telecommunications network
CN105850091A (en) A method for providing a connection between a communications service provider and an internet protocol, ip, server, providing a service, as well as a perimeter network, comprising the ip server, and an ip server providing the service
KR101466895B1 (en) Method of detecting voip fraud, apparatus performing the same and storage media storing the same
KR101379779B1 (en) Caller Information Modulated Voice/Message Phishing Detecting and Blocking Method
KR102299225B1 (en) Service security system for internet protocol calling based on SDN/NFV, and service security method thereof
KR102274589B1 (en) Apparatus and method for preventing error traffic on a international phone call
US20100098233A1 (en) Methods, computer program products, and systems for providing called party initiated priority marking
Quingueni et al. Reduction of traffic between switches and IDS for prevention of DoS attack in SDN
KR20050002542A (en) The method for protection DOS attack traffic by setting time frequency number which has multi-thresholds in access gateway or media gateway
WO2011072531A1 (en) Method and system for managing whole network shielding

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
GRNT Written decision to grant