KR20220080742A - 시그널링 DoS 트래픽 탐지 방법 및 장치 - Google Patents

시그널링 DoS 트래픽 탐지 방법 및 장치 Download PDF

Info

Publication number
KR20220080742A
KR20220080742A KR1020200159941A KR20200159941A KR20220080742A KR 20220080742 A KR20220080742 A KR 20220080742A KR 1020200159941 A KR1020200159941 A KR 1020200159941A KR 20200159941 A KR20200159941 A KR 20200159941A KR 20220080742 A KR20220080742 A KR 20220080742A
Authority
KR
South Korea
Prior art keywords
score
allocation
radio resource
signaling dos
dos traffic
Prior art date
Application number
KR1020200159941A
Other languages
English (en)
Inventor
박관영
Original Assignee
주식회사 모비젠
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 모비젠 filed Critical 주식회사 모비젠
Priority to KR1020200159941A priority Critical patent/KR20220080742A/ko
Publication of KR20220080742A publication Critical patent/KR20220080742A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 시그널링 DoS 트래픽 탐지 방법 및 장치에 관한 것으로서, 보다 자세하게는, 이동 통신망에 접속하는 통신 단말의 무선 자원의 할당 및 해지에 의해 발생되는 제어 메시지를 수집하는 단계, 상기 무선 자원의 할당 및 해지에 의해 발생되는 제어 메시지의 셋업 타임을 분석하여 그 분석한 결과에 따라 상기 통신 단말 각각의 상기 무선 자원 할당에 대한 스코어를 계산하는 단계, 상기 스코어를 이용하여 상기 통신 단말 각각에 대한 비 정상적인 무선 자원의 할당을 식별하고, 상기 식별된 결과를 기초로 상기 이동 통신망의 시그널링 DoS 트래픽을 탐지하는 단계를 포함할 수 있다.

Description

시그널링 DoS 트래픽 탐지 방법 및 장치{Method and apparatus for detecting signaling DoS traffic}
본 발명은 시그널링 DoS 트래픽 탐지 방법 및 장치에 관한 것이다. 보다 자세하게는, 이동 통신망에서 시그널링 DoS를 용이하게 탐지하고 동적인 통신망 환경에서도 수행될 수 있는 시그널링 DoS 트래픽 탐지 방법 및 장치에 관한 것이다.
모바일 망은 한정된 무선 자원을 가지고 있으며, 이를 효율적으로 관리하기 위하여 일정 시간동안 사용이 없는 단말의 무선 자원을 해제하고, 다시 데이터를 송수신할 때 무선 자원을 재할당한다. 이 과정에서 무선 자원의 설정을 위해서 망 장비 간 다수의 시그널링 메시지들이 전달되게 된다. 따라서 악의적인 단말이 반복적인 무선 자원 할당/해제를 통한 대량의 시그널링 메시지를 유발시킴으로써 무선 자원을 관리하는 모바일 망 장비의 장애를 유발하는 공격을 시도할 수 있는데, 이를 시그널링 DoS라고 한다.
과거의 통신망의 경우 데이터 통신 경로와 시그널링 메시지 통신 경로가 동일하기 때문에, 망 장비 증설을 통하여 시그널링 DoS에 대한 위협을 감소시킬 수 있다. 하지만 최근에는 데이터 통신 경로와 시그널링 메시지 통신 경로가 분리되어 있기 때문에, 데이터 트래픽 량 증가에 대응하여 데이터 통신 대역폭만을 증가시킬 경우에는 시그널링 DoS에 대한 위협을 감소시킬 수 없다. 따라서 상기 통신 망에서 공격자가 상대적으로 대역폭이 좁은 시그널링 메시지 경로를 노려서 시그널링 DoS 공격을 시도하게 되면 eNB, 및 MME 등의 제어 메시지를 처리하는 망 장비에 장애를 유발시킬 것으로 우려된다.
종래에는 시그널링 메시지 경로에서 시그널링 DoS 트래픽을 탐지할 수 있는 기술이 개발되었으나, 이는 통신망의 환경과 트래픽의 정상적인 속도 등을 고려하지 않은 채 고정된 기준으로 시그널링 DoS를 탐지함에 따라 다양한 환경과 변수에 의해 성능이 변하는 상황에서는 동적으로 적용되지 못하는 단점이 존재하였다. 도 1은 종래에 시그널링 DoS 트래픽을 탐지하기 위한 데이터를 추출하는 방법이다. 종래에도 통신 단말에 대한 스코어를 계산하여 시그널링 DoS 트래픽이 탐지되었는데, 이때 탐지 변수 a가 사용되었다. 탐지 변수 a는 적절한 시간차를 의미하는 기준을 나타내는 변수로서, 종래에는 고정된 값으로 이용되었다. 도 1의 (a)와 같이 가상 연결시간(tn)의 집합을 이용하여 적절한 시간을 선택한 뒤에 이를 이용하여 도 1의 (b)와 같이 각각의 가상 연결시간의 집합에 대한 오탐율을 기초로 적절한 탐지 변수 a가 결정되었다. 즉, 종래에는 실제 통신망에 가장 적절한 값으로 결정되지 못하고 실험 환경에서의 반복적인 실험을 통해 선택된 값으로 탐지 변수 a가 결정되었다.
이에, 이동 통신망에서 시그널링 DoS를 용이하게 탐지하고 동적인 환경에서도 수행될 수 있는 시그널링 DoS 트래픽 탐지 방법의 개발이 필요하다.
등록특허공보 KR 10-1564228 B1 (2015.10.23 등록)
본 발명이 해결하고자 하는 기술적 과제는, 이동 통신망에서 시그널링 DoS를 용이하게 탐지할 수 있는 시그널링 DoS 트래픽 탐지 방법 및 장치를 제공하기 위함이다.
본 발명이 해결하고자 하는 다른 기술적 과제는, 다양하게 변하는 트래픽의 양과 다양한 통신망의 환경에서 적용될 수 있는 시그널링 DoS 트래픽 탐지 방법 및 장치를 제공하기 위함이다.
본 발명이 해결하고자 하는 또 다른 기술적 과제는, 단말별 무선 자원의 할당 및 해지 기간의 시간 차를 기반으로 DoS시그널링 DoS 트래픽을 효율적으로 차단할 수 있는 시그널링 DoS 트래픽 탐지 방법 및 장치를 제공하기 위함이다.
본 발명의 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 발명의 기술분야에서의 통상의 기술자에게 명확하게 이해 될 수 있을 것이다.
상기의 문제점을 해결하기 위한 본 발명의 일 실시예에 따른 시그널링 DoS 트래픽 탐지 방법은 컴퓨팅 장치에 의해 수행되는 방법에 있어서, 이동 통신망에 접속하는 통신 단말의 무선 자원의 할당 및 해지에 의해 발생되는 제어 메시지를 수집하는 단계, 상기 무선 자원의 할당 및 해지에 의해 발생되는 제어 메시지의 셋업 타임을 분석하여 그 분석한 결과에 따라 상기 통신 단말 각각의 상기 무선 자원 할당에 대한 스코어를 계산하는 단계, 및 상기 스코어를 이용하여 상기 통신 단말 각각에 대한 비 정상적인 무선 자원의 할당을 식별하고, 상기 식별된 결과를 기초로 상기 이동 통신망의 시그널링 DoS 트래픽을 탐지하는 단계를 포함할 수 있다.
일 실시예에서, 상기 무선 자원의 할당 및 해지에 의해 발생되는 제어 메시지의 셋업 타임을 분석하여 그 분석한 결과에 따라 상기 통신 단말 각각의 상기 무선 자원 할당에 대한 스코어를 계산하는 단계는, 상기 무선 자원 할당에 대한 연결 시간을 측정하는 단계, 상기 이동 통신망의 환경에 따라 상기 스코어를 동적으로 계산할 수 있는 동적 탐지 변수를 결정하는 단계, 상기 셋업 타임과 동적 탐지 변수를 이용하여 상기 스코어를 계산하는 단계를 포함할 수 있다.
일 실시예에서, 상기 무선 자원의 할당 및 해지에 의해 발생되는 제어 메시지의 셋업 타임을 분석하여 그 분석한 결과에 따라 상기 통신 단말 각각의 상기 무선 자원 할당에 대한 스코어를 계산하는 단계는, 수학식 1을 이용하여 상기 스코어를 계산하는 단계를 포함하되, 상기 수학식 1은
Figure pat00001
이고, 상기 R은 상기 스코어를 가리키고, 상기 i는 상기 스코어의 인덱스를 가리키며, 상기 T는 현재의 연결 시간과 상기 직전 연결 시간의 차이를 가리키고, 상기 a는 동적 탐지 변수를 가리킬 수 있다.
상기의 문제점을 해결하기 위한 본 발명의 다른 실시예에 따른 시그널링 DoS 트래픽 탐지 장치는 프로세서, 네트워크 인터페이스, 상기 프로세서에 의해 실행되어 컴퓨터 프로그램을 로드(load)하는 메모리, 및 상기 컴퓨터 프로그램을 저장하는 스토리지를 포함하되, 상기 컴퓨터 프로그램은, 이동 통신망에 접속하는 통신 단말의 무선 자원의 할당 및 해지에 의해 발생되는 제어 메시지를 수집하는 인스트럭션, 상기 무선 자원의 할당 및 해지에 의해 발생되는 제어 메시지의 셋업 타임을 분석하여 그 분석한 결과에 따라 상기 통신 단말 각각의 상기 무선 자원 할당에 대한 스코어를 계산하는 인스트럭션, 상기 스코어를 이용하여 상기 통신 단말 각각에 대한 비 정상적인 무선 자원의 할당을 식별하고, 상기 식별된 결과를 기초로 상기 이동 통신망의 시그널링 DoS 트래픽을 탐지하는 인스트럭션을 포함할 수 있다.
다른 실시예에서, 상기 무선 자원의 할당 및 해지에 의해 발생되는 제어 메시지의 셋업 타임을 분석하여 그 분석한 결과에 따라 상기 통신 단말 각각의 상기 무선 자원 할당에 대한 스코어를 계산하는 인스트럭션은, 상기 셋업 타임을 측정하는 인스트럭션, 상기 이동 통신망의 환경에 따라 상기 스코어를 동적으로 계산할 수 있는 동적 탐지 변수를 결정하는 인스트럭션, 상기 셋업 타임과 동적 탐지 변수를 이용하여 상기 스코어를 계산하는 인스트럭션을 포함할 수 있다.
다른 실시예에서, 상기 스코어를 계산할 수 있는 동적 탐지 변수를 산출하는 인스트럭션은, 상기 연결 시간을 짧은 시간에서 긴 시간으로 오름 차순 정렬하는 인스트럭션, 및 상기 오름 차순 정렬된 상기 연결 시간 중에서 N%의 후보 연결 시간을 선정하는 인스트럭션을 포함할 수 있다.
다른 실시예에서, 상기 무선 자원의 할당 및 해지에 의해 발생되는 제어 메시지의 셋업 타임을 분석하여 그 분석한 결과에 따라 상기 통신 단말 각각의 상기 무선 자원 할당에 대한 스코어를 계산하는 인스트럭션은, 수학식 1을 이용하여 상기 스코어를 계산하는 인스트럭션을 포함하되, 상기 수학식 1은
Figure pat00002
이고, 상기 R은 상기 스코어를 가리키고, 상기 i는 상기 스코어의 인덱스를 가리키며, 상기 T는 연결 시간을 가리키고, 상기 a는 동적 탐지 변수를 가리킬 수 있다.
도 1은 종래의 시그널링 DoS 트래픽 탐지 방법의 일 실시예이다.
도 2는 본 발명의 일 실시예에 따른 시그널링 DoS 트래픽 탐지 시스템의 예시도이다.
도 3은 본 발명의 일 실시예에 따른 시그널링 DoS 트래픽 탐지 시스템을 구현하는 예시를 개괄적으로 설명하기 위한 도면이다.
도 4는 본 발명의 일 실시예에 따른 시그널링 DoS 트래픽 탐지 방법의 순서도이다.
도 5는 도 4의 단계 S100을 구체적으로 설명하기 위한 도면이다.
도 6은 미리 설정된 값 미만의 패킷을 보낸 통신 단말을 선별하는 개략적인 과정을 나타내는 도면이다.
도 7은 미리 설정된 값 미만의 패킷을 송신한 통신 단말을 선별하는 과정을 나타내는 순서도이다.
도 8은 도 4의 단계 S200을 구체적으로 설명하기 위한 도면이다.
도 9는 도 8의 단계 S220을 구체적으로 설명하기 위한 도면이다.
도 10은 통신 단말에 대한 스코어를 계산하여 통신 단말의 트래픽에 비 정상적인 무선 자원의 할당이 존재하는지 판단하는 알고리즘을 나타내는 도면이다.
도 11은 탐지 임계치 h를 결정하는 방법을 설명하기 위한 도면이다.
도 12은 본 발명의 일 실시예에 따른 시그널링 DoS 트래픽 탐지 방법에 따라 생성된 시그널링 DoS 트래픽을 탐지 결과 파일의 예시이다.
도 13은 본 발명의 다른 실시예에 따른 시그널링 DoS 트래픽 탐지 장치의 하드웨어 구성도이다.
이하, 첨부된 도면을 참조하여 다양한 실시예들을 상세히 설명한다. 본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 게시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 게시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다. 본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다.
이하, 도면들을 참조하여 몇몇 실시예들을 설명한다.
도 2는 본 발명의 일 실시예에 따른 시그널링 DoS 트래픽 탐지 시스템의 예시도이다.
본 실시예의 시그널링 DoS 트래픽 탐지 시스템은 본 실시예에 따른 시그널링 DoS 트래픽 탐지 시스템은 통신 단말(100) 간의 제어 메시지와 송수신 트래픽을 분석하여 그 분석한 결과로 단말 별 무선 자원의 할당 및 해지 기간을 탐지 하고, 탐지된 무선 자원의 할당 및 해지 기간의 시간 차를 기반으로 시그널링 DoS의 발생 여부를 탐지할 수 있다.
통신망의 한정된 무선 자원을 효율적으로 사용하기 위해 통신 단말(100)은 유휴 시간 동안 무선 자원을 해지하는 기능을 수행하는데, 비정상적인 무선자원의 할당 및 해지를 반복하는 경우에 무선 자원 점유에 문제가 발생될 수 있다. 예를 들어, 무선 자원 할당 및 해지를 반복하는 과정에서 MME(300)에서 S-GW(400)로 송신되는 CTP-C Modify 또는 Release 메시지가 다량 발생될 수 있다. 제어 메시지는 무선자원의 할당 및 해지 시에 발생되는 GTP-C Modify bearer request, 또는 Release Access Bearers request일 수 있다. 이에 따라 eNB(200), MME(300) 부하 및 무선자원 고갈을 유발시키며, 이러한 공격에 의해 MME(300), S-GW(400), HSS(500), P-GW(600)로 이루어진 Evolved Packet Core 전부가 마비될 수 있으며, PDN(700)(public data network) 역시 함께 모두 피해를 입을 수 있다.
시그널링 DoS 트래픽 탐지 시스템은 MME(300)와 S-GW(400) 간의 트래픽과 제어 메시지를 분석하여 악의적으로 공격하는 비정상적인 무선 자원의 점유를 DoS 위협으로 판단할 수 있다.
시그널링 DoS 트래픽 탐지 시스템은 제어 메시지를 분석하여 그 분석한 결과에 따라 단말 별 무선 자원의 할당 및 해지를 탐지할 수 있다. 이동통신망에서는 단말에 무선 자원이 할당되는 경우는 크게 세 가지 경우로 분류될 수 있다. 초기 Attach를 통한 할당의 경우와 핸드오버(Handover)를 통한 할당, 휴지 상태에서 활성 상태로의 전환을 통한 할당의 경우로, 세 경우 모두 MME(300)와 S-GW(400) 사이의 구간인 S11 구간에서 Modify Bearer Request, Modify Bearer Response 메시지를 주고받는다. S11 구간에서 이 메시지 쌍을 확인한다면, 해당 단말의 무선 자원에 대한 할당이 이루어졌음을 탐지할 수 있다.
무선 자원이 해지되는 경우 역시 세 가지 경우로 분류가 가능한데, Detach를 통한 해지, 핸드오버를 통한 다른 eNB(200) 구간으로의 전환을 통한 해지, 활성 상태에서 휴지 상태로의 전환을 통한 해지의 경우로 나눌 수 있다. 이 가운데 Detach를 통한 해지의 경우에는 활성-휴지 상태 전환을 통한 공격보다 재연결까지 더 많은 시간이 소요되므로 시그널링 DoS의 공격방법으로 효과적이지 않으며, 핸드오버의 경우 역시 비정상적인 무선 자원 할당으로의 조작이 어려우므로 본 발명의 고려대상에서 제외한다. 상태 전환을 통한 무선 자원 연결의 경우, 연결이 해지되는 시점에서 S11 구간을 모니터링하면 Release Access Bearer Request, Release Access Bearer Response 메시지를 주고받는 것을 알 수 있다. 따라서 S11 구간에서 이 메시지 쌍을 확인한다면, 해당 단말의 무선 자원에 대한 해지가 이루어졌음을 탐지할 수 있다.
시그널링 DoS 트래픽 탐지 시스템은 탐지된 무선 자원을 할당 및 해지하는 기간 동안 송수신되는 트래픽을 분석하여 그 분 석한 결과에 따라 비정상적 무선 자원의 할당을 식별할 수 있다. Modify Bearer Request와 Modify Bearer Response 메시지를 통한 연결이 정상임을 확인하기 위해서는, 해당 연결시각에서 해지시각까지 생성된 데이터 베어러를 통하여 데이터 트래픽이 정상적으로 발생하는지를 확인해야 한다. 다수의 시그널링 메시지를 발생시켜서 망에 부하를 주는 연결은 반복적인 연결을 위하여 망에 전송하는 데이터 트래픽이 없거나 극소량 발생하는 특징을 가진다.
시그널링 DoS 트래픽 탐지 시스템은 특정 패킷에서 송신한 단말을 식별하기 위해서는 이전 단계에서 관찰된 Modify Bearer Request와 Modify Bearer Response 메시지를 확인한다. 망 장비들은 각 단말의 데이터를 구분하기 위하여 TEID(Tunnel Endpoint Identifier)를 식별자로 사용하는데, Modify Bearer Request 메시지에는 S1-U 구간에서 eNB(200)가 사용할 TEID 정보가 들어가며, Modify Bearer Response 메시지에는 S1-U 구간에서 S-GW(400)가 사용할 TEID 정보가 들어간다. 따라서, 이 정보를 미리 데이터베이스화 하여 관리한다면, 해당 TEID를 사용하는 데이터 패킷이 어떤 단말인지를 식별할 수 있다.
시그널링 DoS 트래픽 탐지 시스템은 식별된 비정상적인 무선자원을 할당 및 해지하는 제어 메시지의 셋업 타임을 분석하고 그 분석한 결과에 따라 시그널링 DoS를 탐지할 수 있다.
특정 단말에 대한 비정상적인 무선 자원 할당 정보를 누적하여 관리하면, 얼마나 반복적이고 주기적으로 비정상 적인 무선 자원 할당이 발생하였는지에 대한 분석이 가능하다. 시그널링 DoS 트래픽 탐지 시스템은 얼마나 반복적이고 주기적으로 비정상 적인 무선 자원 할당이 발생하였는지에 대해 각 통신 단말(100) 별로 스코어를 계산할 수 있고, 그 결과 값이 탐지 임계치 h 이상이 될 경우 시그널링 DoS로 탐지할 수 있다.
이때, 본 발명의 시그널링 DoS 트래픽 탐지 시스템은 고정된 상수를 이용하여 스코어를 계산하는 것이 아니라 실시간으로 변할 수 있는 동적 탐지 변수를 이용하여 시그널링 DoS 탐지에 대한 스코어를 계산할 수 있다. 이에 따라 통신망이 다양한 환경으로 변하거나 트래픽 양이 변하는 상황에 있더라도 동적 탐지 변수를 이용하여 시그널링 DoS 탐지에 대한 스코어를 계산하기 때문에 DoS 트래픽을 보다 정확하게 판단할 수 있는 장점이 있다.
도 3은 본 발명의 일 실시예에 따른 시그널링 DoS 트래픽 탐지 시스템을 구현하는 예시를 개괄적으로 설명하기 위한 도면이다.
도 3과 같이 시그널링 DoS 트래픽 탐지 시스템은 수집 시스템(10)에서 통신 단말의 IMSI의 끝자리를 이용하여 스트림 플랫폼(20)으로 분배할 수 있다. 스트림 플랫폼(20)은 KAFKA 로 구현될 수 있으며, 수집된 트래픽은 세션관리 처리모듈을 거쳐 데이터베이스(30)에 저장될 수 있다. 데이터베이스(30)는 Current session table과 modify time table을 포함하는 timestamp를 관리할 수 있다. 처리 모듈(40)은 GTP 제어 메시지를 이용하여 DoS를 탐지할 수 있고, 탐지 결과에 대한 정보는 탐지 결과 관리 테이블(50)에서 관리될 수 있다.
지금까지 도 2 및 도 3을 참조하여 본 발명의 시그널링 DoS 트래픽 탐지 시스템을 개략적으로 설명하였다. 이하, 도 4 내지 도 12을 참조하여 시그널링 DoS 트래픽 탐지 방법을 설명하도록 한다. 본 실시예는 컴퓨팅 장치에 의하여 수행될 수 있다. 예를 들어, 상기 컴퓨팅 장치는 시그널링 DoS 트래픽 탐지 서버 또는 위험 탐지 및 통계 처리모듈 일 수 있다. 본 실시예를 설명함에 있어서, 몇몇 동작의 수행 주체에 대한 기재가 생략될 수 있다. 이 때, 상기 수행 주체는 상기 컴퓨팅 장치이다.
도 4는 본 발명의 일 실시예에 따른 시그널링 DoS 트래픽 탐지 방법의 순서도이고, 도 5는 도 4의 단계 S100을 구체적으로 설명하기 위한 도면이며, 도 6은 미리 설정된 값 미만의 패킷을 보낸 통신 단말을 선별하는 개략적인 과정을 나타내는 도면이다.
도 4의 단계 S100에서 이동 통신망에 접속하는 통신 단말의 무선 자원의 할당 및 해지에 의해 발생되는 제어 메시지가 수집될 수 있다. 이때 제어 메시지는 GTP-C 제어 메시지일 수 있다.
도 5와 같이 단계 S100에서 제어 메시지가 수집될 때 단계 S110에서 각각의 통신 단말에 대한 IMSI 끝자리를 이용하여 제어 메시지가 수집될 수 있다. 이때, 각각의 통신 단말에 대한 IMSI 끝자리는 0 부터 9로 분류될 수 있다. 단계 S120에서 통신 단말 중에서 미리 설정된 값 미만의 패킷을 송신하는 통신 단말이 선정되고, 분석된 통신 단말에 대한 스코어가 분석될 수 있다.
도 6과 같이 각각의 통신 단말에 대한 IMSI 끝자리를 이용하여 제어 메시지가 수집될 수 있는데, IMSI 끝자리가 0 부터 9중에 해당되는 자리수로 분류하여 테이블에 저장될 수 있다. 이때, 미리 설정된 값 미만의 패킷을 송신하는 통신 단말이 선정될 수 있다. 미리 설정된 값 이상의 패킷을 송신하는 단말은 테이블에서 해당 통신 단말의 사용자 정보가 제거될 수 있다. 이후, 미리 설정된 값 미만의 패킷을 송신하는 통신 단말은 시그널링 DoS 트래픽 탐지에 대한 스코어가 계산될 수 있다. 이러한 과정을 도 7을 참조하여 구체적으로 설명하도록 한다. 도 7은 미리 설정된 값 미만의 패킷을 송신한 통신 단말을 선별하는 과정을 나타내는 순서도이다.
HUPT(미리 설정된 값 이상의 패킷) 테이블에는 IMSI+sessionid의 BearerCreatedTime이 저장될 수 있다. MMT 테이블에는 Modify time이 저장될 수 있다. 본 과정에서 미리 설정된 값 이상의 패킷을 삭제하기 위한 TEMP_MMT 테이블이 이용될 수 있으나, 이는 구현을 위한 구성일 뿐 이러한 구성을 필수적으로 사용해야 하는 것은 아님에 주의해야 한다.
MMT 테이블에 저장된 값은 TEMP_MMT에 저장되고, TEMP_MMT에서 HUPT에 해당되는 값들을 탐색한 후 TEMP_MMT 테이블에서 해당 통신 단말에 time 값이 삭제될 수 있다. 이러한 과정을 통해 미리 설정된 값 미만의 패킷을 송신한 통신 단말이 선별될 수 있다.
도 8은 도 4의 단계 S200을 구체적으로 설명하기 위한 도면이고, 도 9는 도 8의 단계 S220을 구체적으로 설명하기 위한 도면이다.
도 8을 참조하면, 도 4의 단계 S200에서 통신 단말 각각의 상기 무선 자원 할당에 대한 스코어가 계산될 수 있다. 이때, 무선 자원의 할당 및 해지에 의해 발생되는 제어 메시지의 셋업 타임이 분석되고 그 분석한 결과에 따라 계산될 수 있다. 여기서 셋업 타임은 무선자원을 할당 및 해지하는 연결 시간, 또는 현재 연결 시간과 직전 연결 시간의 차이를 의미할 수 있다. 구체적으로, 무선 자원의 할당이 발생한 현재 연결 시간과 직전 연결 시간 타임을 비교하여 현재의 연결 시간과 상기 직전 연결 시간의 차이가 측정될 수 있다. 측정된 연결 시간의 차이는 데이터베이스에 저장될 수 있다.
단계 S220이 수행될 때, 도 9의 단계 S221 내지 S223이 수행될 수 있다. 구체적으로, 단계 S221에서 데이터베이스에 저장된 연결 시간의 차이는 짧은 시간에서 긴 시간으로 오름 차순 정렬되고, 단계 S222에서 오름 차순 정렬된 상기 연결 시간의 차이 중에서 N%의 후보 연결 시간이 선정될 수 있다.
상기 N%는 사용자의 설정에 의해 입력된 값일 수 있다. 이때, N%는 바람직하게 10%로 입력될 수 있다. 이후, 단계 s223에서 후보 연결 시간을 이용하여 동적 탐지 변수 a가 결정될 수 있다.
이러한 단계에 거쳐 결정된 후보 연결 시간을 이용하여 각각의 통신 단말의 시그널링 DoS 트래픽 탐지에 대한 스코어가 계산될 수 있다. 시그널링 DoS 트래픽 탐지에 대한 스코어는 아래 수학식을 통해 계산될 수 있다.
Figure pat00003
여기서 R은 스코어를 가리키고, i는 스코어의 인덱스를 가리키며, 상기 T는 연결 시간을 가리키고, a는 동적 탐지 변수를 가리킨다. 즉, 스코어는 직전 스코어를 이용하여 계산된 값과 0 중에서 더 큰 값으로 설정될 수 있는데, 상기 단계 S221 및 S222에서 선정된 후보 시간을 동적탐지 시간으로 나눈 값을 1에서 뺀뒤 이를 직전 스코어를 이용하여 계산된 값은 직전 스코어 더하고, 그 값과 0 중에서 더 큰 값이 시그널링 DoS 트래픽 탐지에 대한 스코어로 결정될 수 있다.
이때, 무선 자원의 할당의 연결 시간이 동적 탐지 변수보다 작으면 상기 R이 커지고, 상기 무선 자원의 할당의 연결 시간이 동적 탐지 변수보다 크면 상기 R이 작아진다. 즉, 본 발명에 따르면 빠른 시간 간격 동안 제어 메시지를 발생시키는 통신 단말의 스코어를 높게 계산할 수 있는데, 이때 실시간으로 계속하여 변하는 평균 시간 차(실시예에 따라 상위 10%의 빠른 시간 간격)를 이용하여 각각의 환경과 상황에 적응하여 동적으로 스코어를 계산으로 적용할 수 있는 장점이 있다.
도 10은 통신 단말에 대한 스코어를 계산하여 통신 단말의 트래픽에 비 정상적인 무선 자원의 할당이 존재하는지 판단하는 알고리즘을 나타내는 도면이고, 도 11은 탐지 임계치 h를 결정하는 방법을 설명하기 위한 도면이다.
도 10과 같이 MMT 테이블의 Value에 저장된 복수 개의 modify time이 모두 확인될 수 있다. 만약 해당 통신 단말에 대한 R 스코어가 RVT(R Value Tabe)에 존재하는 경우 존재하는 R 스코어를 이전 R 스코어로 저장할 수 있다. 만약 해당 통신 단말에 대한 R 스코어가 RVT(R Value Tabe)에 존재하지 않는 경우 이전 R 스코어를 0으로 저장할 수 있다.
이후 각각의 셋업 타임의 연결 시간의 차이를 이용하여 T를 계산하고, 계산된 T의 집합 중에서 빠른 우선 순위로 상위 10%의 T의 집합의 평균을 이용하여 a가 결정될 수 있다. 이를 상기 수학식 1에 대입한 뒤 스코어 R이 계산될 수 있다.
만약 스코어 R이 탐지 임계치 h 보다 높은 경우 비 정상적인 무선 자원의 할당이 발생된 것으로 식별될 수 있다. 이때, 도 11과 같이 통신 단말 별로 계산된 상기 스코어에 대한 통계를 생성할 수 있는데, 시그마 1에서 시그마 3으로 가면서 정상으로 간주하는 범위와 비정상으로 간주하는 범위가 달라질 수 있다. 시그마 4,5 이상으로 가면서 정상으로 간주하는 범위와 비정상으로 간주하는 범위가 달라질 수 있는데, 이를 이용하여 탐지 임계치 h가 결정될 수 있다.
일 실시예에서 초기 탐지 임계치 h는 3으로 설정될 수 있다. 이러한 탐지 임계치 h는 스코어 R에 대한 데이터가 많아 짐에 따라 변경될 수도 있다.
도 12은 본 발명의 일 실시예에 따른 시그널링 DoS 트래픽 탐지 방법에 따라 생성된 시그널링 DoS 트래픽을 탐지 결과 파일의 예시이다.
도 12와 같이 비 정상적인 무선 자원의 할당이 발생된 통신 단말에 대한 시그널링 DoS 트래픽을 탐지 결과 파일이 생성될 수 있다. 예를 들어 'ATTACKER INFO'에는 공격 단말 식별 MSISDN, 공격 단말 식별 IMSI, USER,IP_version, 공격 단말의 IP, 공격자 접속 기지국 ID, 공격자 접속 기지국 IP, 공격자 접속 지역 이 포함되고, 'Target infor'에는 Target 장비 IP가 포함되며, '위협 판단'에는 탐지시간, 세션시작 시간, 1분간 1분간 M-R 카운트, 위협 점수 및 탐지 메시지를 포함하는 위협 판단에 대한 정보가 포함될 수 있다.
본 발명의 일 실시예에 따른 시그널링 DoS 트래픽 탐지 방법은 통신망의 환경과 상황에 적응하여 동적으로 스코어를 계산함에 따라 evolved Packet Core에서 발생될 수 있는 시그널링 DoS 트래픽을 용이하게 탐지할 수 있는 장점이 있다.
지금까지 도 2 내지 도 12를 참조하여 본 명세서에 기재된 시그널링 DoS 트래픽 탐지 방법을 설명하였다.
도 13는 컴퓨팅 장치(500)를 나타내는 예시적인 하드웨어 구성도이다.
도 13에 도시된 바와 같이, 컴퓨팅 장치(500)는 하나 이상의 프로세서(510), 버스(550), 통신 인터페이스(570), 프로세서(510)에 의하여 수행되는 컴퓨터 프로그램(591)을 로드(load)하는 메모리(530)와, 컴퓨터 프로그램(591)를 저장하는 스토리지(590)를 포함할 수 있다. 다만, 도 13에는 본 발명의 일 실시예에 따른과 관련 있는 구성요소들 만이 도시되어 있다. 따라서, 본 발명의 일 실시예에 따른이 속한 기술분야의 통상의 기술자라면 도 13에 도시된 구성요소들 외에 다른 범용적인 구성 요소들이 더 포함될 수 있음을 알 수 있다.
프로세서(510)는 컴퓨팅 장치(500)의 각 구성의 전반적인 동작을 제어한다. 프로세서(510)는 CPU(Central Processing Unit), MPU(Micro Processor Unit), MCU(Micro Controller Unit), GPU(Graphic Processing Unit) 또는 본 발명의 일 실시예에 따른의 기술 분야에 잘 알려진 임의의 형태의 프로세서 중 적어도 하나를 포함하여 구성될 수 있다. 또한, 프로세서(510)는 본 명세서에 기재된 다양한 실시예들에 따른 방법/동작을 실행하기 위한 적어도 하나의 애플리케이션 또는 프로그램에 대한 연산을 수행할 수 있다. 컴퓨팅 장치(500)는 하나 이상의 프로세서를 구비할 수 있다.
메모리(530)는 각종 데이터, 명령 및/또는 정보를 저장한다. 메모리(530)는 본 명세서에 기재된 다양한 실시예들에 따른 방법/동작들을 실행하기 위하여 스토리지(590)로부터 하나 이상의 프로그램(591)을 로드(load) 할 수 있다. 메모리(530)의 예시는 RAM이 될 수 있으나, 이에 한정되는 것은 아니다.
버스(550)는 컴퓨팅 장치(500)의 구성 요소 간 통신 기능을 제공한다. 버스(550)는 주소 버스(Address Bus), 데이터 버스(Data Bus) 및 제어 버스(Control Bus) 등 다양한 형태의 버스로 구현될 수 있다.
통신 인터페이스(570)는 컴퓨팅 장치(500)의 유무선 인터넷 통신을 지원한다. 통신 인터페이스(570)는 인터넷 통신 외의 다양한 통신 방식을 지원할 수도 있다. 이를 위해, 통신 인터페이스(570)는 본 발명의 일 실시예에 따른의 기술 분야에 잘 알려진 통신 모듈을 포함하여 구성될 수 있다.
스토리지(590)는 하나 이상의 컴퓨터 프로그램(591)을 비임시적으로 저장할 수 있다. 스토리지(590)는 ROM(Read Only Memory), EPROM(Erasable Programmable ROM), EEPROM(Electrically Erasable Programmable ROM), 플래시 메모리 등과 같은 비휘발성 메모리, 하드 디스크, 착탈형 디스크, 또는 본 발명의 일 실시예에 따른이 속하는 기술 분야에서 잘 알려진 임의의 형태의 컴퓨터로 읽을 수 있는 기록 매체를 포함하여 구성될 수 있다.
컴퓨터 프로그램(591)은 본 명세서에 기재된 다양한 실시예들에 따른 방법/동작들이 구현된 하나 이상의 인스트럭션들을 포함할 수 있다. 컴퓨터 프로그램(591)이 메모리(530)에 로드 되면, 프로세서(510)는 상기 하나 이상의 인스트럭션들을 실행시킴으로써 본 명세서에 기재된 다양한 실시예들에 따른 방법/동작들을 수행할 수 있다.
일 실시예에서, 상기 프로그램(591)은 이동 통신망에 접속하는 통신 단말의 무선 자원의 할당 및 해지에 의해 발생되는 제어 메시지를 수집하는 인스트럭션, 상기 무선 자원의 할당 및 해지에 의해 발생되는 제어 메시지의 셋업 타임을 분석하여 그 분석한 결과에 따라 상기 통신 단말 각각의 상기 무선 자원 할당에 대한 스코어를 계산하는 인스트럭션, 상기 스코어를 이용하여 상기 통신 단말 각각에 대한 비 정상적인 무선 자원의 할당을 식별하고, 상기 식별된 결과를 기초로 상기 이동 통신망의 시그널링 DoS 트래픽을 탐지하는 인스트럭션을 포함할 수 있다.
일 실시예에서, 상기 무선 자원의 할당 및 해지에 의해 발생되는 제어 메시지의 셋업 타임을 분석하여 그 분석한 결과에 따라 상기 통신 단말 각각의 상기 무선 자원 할당에 대한 스코어를 계산하는 인스트럭션은, 상기 셋업 타임을 측정하는 인스트럭션, 상기 이동 통신망의 환경에 따라 상기 스코어를 동적으로 계산할 수 있는 동적 탐지 변수를 결정하는 인스트럭션, 상기 셋업 타임과 동적 탐지 변수를 이용하여 상기 스코어를 계산하는 인스트럭션을 포함할 수 있다.
일 실시예에서, 상기 스코어를 계산할 수 있는 동적 탐지 변수를 산출하는 인스트럭션은, 상기 연결 시간을 짧은 시간에서 긴 시간으로 오름 차순 정렬하는 인스트럭션, 및 상기 오름 차순 정렬된 상기 연결 시간 중에서 N%의 후보 연결 시간을 선정하는 인스트럭션을 포함할 수 있다.
일 실시예에서, 상기 무선 자원의 할당 및 해지에 의해 발생되는 제어 메시지의 셋업 타임을 분석하여 그 분석한 결과에 따라 상기 통신 단말 각각의 상기 무선 자원 할당에 대한 스코어를 계산하는 인스트럭션은, 수학식 1을 이용하여 상기 스코어를 계산하는 인스트럭션을 포함하되, 상기 수학식 1은
Figure pat00004
이고, 상기 R은 상기 스코어를 가리키고, 상기 i는 상기 스코어의 인덱스를 가리키며, 상기 T는 연결 시간을 가리키고, 상기 a는 동적 탐지 변수를 가리킬 수 있다.
지금까지 설명된 실시예들에 따른 방법들은 컴퓨터가 읽을 수 있는 코드로 구현된 컴퓨터프로그램의 실행에 의하여 수행될 수 있다. 상기 컴퓨터프로그램은 인터넷 등의 네트워크를 통하여 제1 컴퓨팅 장치로부터 제2 컴퓨팅 장치에 전송되어 상기 제2 컴퓨팅 장치에 설치될 수 있고, 이로써 상기 제2 컴퓨팅 장치에서 사용될 수 있다. 상기 제1 컴퓨팅 장치 및 상기 제2 컴퓨팅 장치는, 서버 장치, 클라우드 서비스를 위한 서버 풀에 속한 물리 서버, 데스크탑 피씨와 같은 고정식 컴퓨팅 장치를 모두 포함한다.
상기 컴퓨터프로그램은 DVD-ROM, 플래시 메모리 장치 등의 기록매체에 저장된 것일 수도 있다.
또 다른 실시예에서, 시그널링 DoS 트래픽 탐지 장치는 이동 통신망에 접속하는 통신 단말의 무선 자원의 할당 및 해지에 의해 발생되는 제어 메시지를 수집하는 수집부, 무선 자원의 할당 및 해지에 의해 발생되는 제어 메시지의 셋업 타임을 분석하여 그 분석한 결과에 따라 상기 통신 단말 각각의 상기 무선 자원 할당에 대한 스코어를 계산하는 계산부, 및 상기 스코어를 이용하여 상기 통신 단말 각각에 대한 비 정상적인 무선 자원의 할당을 식별하고, 상기 식별된 결과를 기초로 상기 이동 통신망의 시그널링 DoS 트래픽을 탐지하는 탐지부를 포함할 수 있다.
이상 첨부된 도면을 참조하여 실시예들을 설명하였지만, 본 발명의 일 실시예에 따른이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명의 일 실시예에 따른들이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적인 것이 아닌 것으로 이해해야만 한다.

Claims (18)

  1. 컴퓨팅 장치에 의해 수행되는 방법에 있어서,
    이동 통신망에 접속하는 통신 단말의 무선 자원의 할당 및 해지에 의해 발생되는 제어 메시지를 수집하는 단계;
    상기 무선 자원의 할당 및 해지에 의해 발생되는 제어 메시지의 셋업 타임을 분석하여 그 분석한 결과에 따라 상기 통신 단말 각각의 상기 무선 자원 할당에 대한 스코어를 계산하는 단계; 및
    상기 스코어를 이용하여 상기 통신 단말 각각에 대한 비 정상적인 무선 자원의 할당을 식별하고, 상기 식별된 결과를 기초로 상기 이동 통신망의 시그널링 DoS 트래픽을 탐지하는 단계를 포함하는,
    시그널링 DoS 트래픽 탐지 방법.
  2. 제1항에 있어서,
    상기 무선 자원의 할당 및 해지에 의해 발생되는 제어 메시지의 셋업 타임을 분석하여 그 분석한 결과에 따라 상기 통신 단말 각각의 상기 무선 자원 할당에 대한 스코어를 계산하는 단계는,
    상기 무선 자원 할당에 대한 연결 시간을 측정하는 단계;
    상기 이동 통신망의 환경에 따라 상기 스코어를 동적으로 계산할 수 있는 동적 탐지 변수를 결정하는 단계; 및
    상기 셋업 타임과 동적 탐지 변수를 이용하여 상기 스코어를 계산하는 단계를 포함하는,
    시그널링 DoS 트래픽 탐지 방법.
  3. 제2항에 있어서,
    상기 무선 자원 할당에 대한 연결 시간을 측정하는 단계,
    상기 무선 자원의 할당이 발생한 현재의 연결 시간과 직전 연결 시간을 비교하는 단계; 및
    상기 현재의 연결 시간과 상기 직전 연결 시간의 차이를 측정하는 단계를 포함하는,
    시그널링 DoS 트래픽 탐지 방법.
  4. 제2항에 있어서,
    상기 스코어를 계산할 수 있는 동적 탐지 변수를 결정하는 단계는,
    데이터베이스에 저장된 상기 연결 시간의 차이를 짧은 시간에서 긴 시간으로 오름 차순 정렬하는 단계; 및
    상기 오름 차순 정렬된 상기 연결 시간의 차이 중에서 상위 N%의 후보 연결 시간을 선정하는 단계를 포함하는,
    시그널링 DoS 트래픽 탐지 방법.
  5. 제4항에 있어서,
    상기 N은 사용자의 설정에 의해 지정된 값인,
    시그널링 DoS 트래픽 탐지 방법.
  6. 제5항에 있어서,
    상기 N은 10인,
    시그널링 DoS 트래픽 탐지 방법.
  7. 제5항에 있어서,
    상기 사용자의 설정에 의해 입력된 상기 N%의 후보 연결 시간을 선정하는 단계는,
    상기 후보 연결 시간의 평균을 이용하여 상기 동적 탐지 변수 a를 결정하는 단계를 포함하는,
    시그널링 DoS 트래픽 탐지 방법.
  8. 제2항에 있어서,
    상기 무선 자원의 할당 및 해지에 의해 발생되는 제어 메시지의 셋업 타임을 분석하여 그 분석한 결과에 따라 상기 통신 단말 각각의 상기 무선 자원 할당에 대한 스코어를 계산하는 단계는,
    수학식 1을 이용하여 상기 스코어를 계산하는 단계를 포함하되,
    상기 수학식 1은,
    Figure pat00005
    이고,
    상기 R은 상기 스코어를 가리키고, 상기 i는 상기 스코어의 인덱스를 가리키며, 상기 T는 현재의 연결 시간과 상기 직전 연결 시간의 차이를 가리키고, 상기 a는 동적 탐지 변수를 가리키는,
    시그널링 DoS 트래픽 탐지 방법.
  9. 제8항에 있어서,
    상기 스코어를 이용하여 상기 통신 단말 각각에 대한 비 정상적인 무선 자원의 할당을 식별하고, 상기 식별된 결과를 기초로 상기 이동 통신망의 시그널링 DoS 트래픽을 탐지하는 단계는,
    상기 R이 탐지 임계치 h 보다 높은 경우 상기 비 정상적인 무선 자원의 할당이 발생된 것으로 식별하는 단계를 포함하는,
    시그널링 DoS 트래픽 탐지 방법.
  10. 제9항에 있어서,
    상기 R이 탐지 임계치 h 보다 높은 경우 상기 비 정상적인 무선 자원의 할당이 발생된 것으로 식별하는 단계는,
    수집되는 트래픽에 대해 상기 통신 단말 별로 상기 스코어를 계산하는 단계;
    상기 통신 단말 별로 계산된 상기 스코어에 대한 통계를 생성하는 단계; 및
    상기 스코어에 대한 통계를 기초로 상기 비정상 적인 무선 자원이 할당되는 상기 탐지 임계치 h를 결정하는 단계를 포함하는,
    시그널링 DoS 트래픽 탐지 방법.
  11. 제1항에 있어서,
    상기 이동 통신망에 접속하는 통신 단말의 무선 자원의 할당 및 해지에 의해 발생되는 제어 메시지를 수집하는 단계는,
    각각의 통신 단말에 대한 IMSI 끝자리를 이용하여 제어 메시지를 수집하는 단계;
    상기 통신 단말 중에서 미리 설정된 값 미만의 패킷을 송신하는 통신 단말을 선정하는 단계를 포함하는,
    시그널링 DoS 트래픽 탐지 방법.
  12. 제1항에 있어서,
    상기 스코어를 이용하여 상기 통신 단말 각각에 대한 비 정상적인 무선 자원의 할당을 식별하고, 상기 식별된 결과를 기초로 상기 이동 통신망의 시그널링 DoS 트래픽을 탐지하는 단계는,
    상기 시그널링 DoS 트래픽을 탐지 결과 파일을 생성하는 단계를 포함하되,
    상기 시그널링 DoS 트래픽을 탐지 결과 파일은,
    상기 DoS 트래픽의 탐지시간, 세션 시작 시간, 1분간 M-R 카운트, 위협 점수 및 탐지 메시지를 포함하는 위협 판단에 대한 정보를 포함하는,
    시그널링 DoS 트래픽 탐지 방법.
  13. 프로세서;
    네트워크 인터페이스;
    상기 프로세서에 의해 실행되어 컴퓨터 프로그램을 로드(load)하는 메모리; 및
    상기 컴퓨터 프로그램을 저장하는 스토리지를 포함하되,
    상기 컴퓨터 프로그램은,
    이동 통신망에 접속하는 통신 단말의 무선 자원의 할당 및 해지에 의해 발생되는 제어 메시지를 수집하는 인스트럭션;
    상기 무선 자원의 할당 및 해지에 의해 발생되는 제어 메시지의 셋업 타임을 분석하여 그 분석한 결과에 따라 상기 통신 단말 각각의 상기 무선 자원 할당에 대한 스코어를 계산하는 인스트럭션; 및
    상기 스코어를 이용하여 상기 통신 단말 각각에 대한 비 정상적인 무선 자원의 할당을 식별하고, 상기 식별된 결과를 기초로 상기 이동 통신망의 시그널링 DoS 트래픽을 탐지하는 인스트럭션을 포함하는,
    시그널링 DoS 트래픽 탐지 장치.
  14. 제13항에 있어서,
    상기 무선 자원의 할당 및 해지에 의해 발생되는 제어 메시지의 셋업 타임을 분석하여 그 분석한 결과에 따라 상기 통신 단말 각각의 상기 무선 자원 할당에 대한 스코어를 계산하는 인스트럭션은,
    상기 무선 자원 할당에 대한 연결 시간을 측정하는 인스트럭션;
    상기 이동 통신망의 환경에 따라 상기 스코어를 동적으로 계산할 수 있는 동적 탐지 변수를 결정하는 인스트럭션;
    상기 셋업 타임과 동적 탐지 변수를 이용하여 상기 스코어를 계산하는 인스트럭션을 포함하는,
    시그널링 DoS 트래픽 탐지 장치.
  15. 제14항에 있어서,
    상기 스코어를 계산할 수 있는 동적 탐지 변수를 결정하는 인스트럭션은,
    데이터베이스에 저장된 상기 연결 시간의 차이를 짧은 시간에서 긴 시간으로 오름 차순 정렬하는 인스트럭션; 및
    상기 오름 차순 정렬된 상기 연결 시간의 차이 중에서 상위 N%의 후보 연결 시간을 선정하는 인스트럭션을 포함하는,
    시그널링 DoS 트래픽 탐지 장치.
  16. 제13항에 있어서,
    상기 무선 자원의 할당 및 해지에 의해 발생되는 제어 메시지의 셋업 타임을 분석하여 그 분석한 결과에 따라 상기 통신 단말 각각의 상기 무선 자원 할당에 대한 스코어를 계산하는 인스트럭션은,
    수학식 1을 이용하여 상기 스코어를 계산하는 인스트럭션을 포함하되,
    상기 수학식 1은,
    Figure pat00006
    이고,
    상기 R은 상기 스코어를 가리키고,
    상기 i는 상기 스코어의 인덱스를 가리키며,
    상기 T는 현재의 연결 시간과 상기 직전 연결 시간의 차이를 가리키고, 상기 a는 동적 탐지 변수를 가리키는,
    시그널링 DoS 트래픽 탐지 장치.
  17. 프로세서에 의해 실행 가능한 컴퓨터 프로그램 명령어들을 포함하는, 시그널링 DoS 트래픽 탐지하기 위한 컴퓨터 프로그램으로서,
    상기 컴퓨터 프로그램 명령어들이 컴퓨팅 디바이스의 프로세서에 의해 실행되는 경우에,
    이동 통신망에 접속하는 통신 단말의 무선 자원의 할당 및 해지에 의해 발생되는 제어 메시지를 수집하는 단계;
    상기 무선 자원의 할당 및 해지에 의해 발생되는 제어 메시지의 셋업 타임을 분석하여 그 분석한 결과에 따라 상기 통신 단말 각각의 상기 무선 자원 할당에 대한 스코어를 계산하는 단계; 및
    상기 스코어를 이용하여 상기 통신 단말 각각에 대한 비 정상적인 무선 자원의 할당을 식별하고, 상기 식별된 결과를 기초로 상기 이동 통신망의 시그널링 DoS 트래픽을 탐지하는 단계를 포함하는 동작들을 수행하는 컴퓨터 프로그램이 기록된,
    컴퓨터 판독 가능한 기록 매체.
  18. 이동 통신망에 접속하는 통신 단말의 무선 자원의 할당 및 해지에 의해 발생되는 제어 메시지를 수집하는 수집부;
    상기 무선 자원의 할당 및 해지에 의해 발생되는 제어 메시지의 셋업 타임을 분석하여 그 분석한 결과에 따라 상기 통신 단말 각각의 상기 무선 자원 할당에 대한 스코어를 계산하는 계산부; 및
    상기 스코어를 이용하여 상기 통신 단말 각각에 대한 비 정상적인 무선 자원의 할당을 식별하고, 상기 식별된 결과를 기초로 상기 이동 통신망의 시그널링 DoS 트래픽을 탐지하는 탐지부를 포함하는,
    시그널링 DoS 트래픽 탐지 장치.
KR1020200159941A 2020-11-25 2020-11-25 시그널링 DoS 트래픽 탐지 방법 및 장치 KR20220080742A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200159941A KR20220080742A (ko) 2020-11-25 2020-11-25 시그널링 DoS 트래픽 탐지 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200159941A KR20220080742A (ko) 2020-11-25 2020-11-25 시그널링 DoS 트래픽 탐지 방법 및 장치

Publications (1)

Publication Number Publication Date
KR20220080742A true KR20220080742A (ko) 2022-06-15

Family

ID=81987416

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200159941A KR20220080742A (ko) 2020-11-25 2020-11-25 시그널링 DoS 트래픽 탐지 방법 및 장치

Country Status (1)

Country Link
KR (1) KR20220080742A (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102442520B1 (ko) * 2022-07-18 2022-09-13 한국인터넷진흥원 RRC 연결에서 DoS 공격 대응 방법 및 서버

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101564228B1 (ko) 2013-12-23 2015-10-29 한국인터넷진흥원 이동통신망에서 시그널링 DoS 트래픽을 탐지하기 위한 시스템 및 그 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101564228B1 (ko) 2013-12-23 2015-10-29 한국인터넷진흥원 이동통신망에서 시그널링 DoS 트래픽을 탐지하기 위한 시스템 및 그 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102442520B1 (ko) * 2022-07-18 2022-09-13 한국인터넷진흥원 RRC 연결에서 DoS 공격 대응 방법 및 서버

Similar Documents

Publication Publication Date Title
CN109889547B (zh) 一种异常网络设备的检测方法及装置
EP2425349B1 (en) Application efficiency engine
CN106027328B (zh) 一种基于应用容器部署的集群监控的方法及系统
EP3544250A1 (en) Method and device for detecting dos/ddos attack, server, and storage medium
EP3076325B1 (en) Detecting suspicious files resident on a network
US9781040B2 (en) Congestion detection based on resource utilization information and user quality-of-experience indicators
EP2772857A2 (en) Control device and resource control method
CN108259426B (zh) 一种DDoS攻击检测方法及设备
US11025709B2 (en) Load processing method and apparatus
CN107402851B (zh) 一种数据恢复控制方法及装置
JP2020150531A (ja) トラフィックを検出するための方法及び装置
CN106790299B (zh) 一种在无线接入点ap上应用的无线攻击防御方法和装置
CN110856188B (zh) 通信方法、装置、系统和计算机可读存储介质
CN111953732A (zh) 一种云计算系统中的资源调度方法及装置
CN112671813B (zh) 服务器确定方法、装置、设备及存储介质
EP2940600A1 (en) Data scanning method and device
KR20220080742A (ko) 시그널링 DoS 트래픽 탐지 방법 및 장치
JP2016134820A (ja) 通信管理装置、通信システム及びプログラム
US20170206125A1 (en) Monitoring system, monitoring device, and monitoring program
US20130148510A1 (en) System and method for preventing intrusion of abnormal gtp packet
CN114124773A (zh) 一种端口块地址转换的测试系统及方法
JP2017005422A (ja) 検知システム、検知方法および検知プログラム
KR101564228B1 (ko) 이동통신망에서 시그널링 DoS 트래픽을 탐지하기 위한 시스템 및 그 방법
CN113419852B (zh) 微服务的请求响应方法、装置、设备及存储介质
EP2775400A1 (en) Ressource management system and method

Legal Events

Date Code Title Description
E601 Decision to refuse application