KR20230106985A - Apparatus and method for detecting illegal communication device - Google Patents

Apparatus and method for detecting illegal communication device Download PDF

Info

Publication number
KR20230106985A
KR20230106985A KR1020220002807A KR20220002807A KR20230106985A KR 20230106985 A KR20230106985 A KR 20230106985A KR 1020220002807 A KR1020220002807 A KR 1020220002807A KR 20220002807 A KR20220002807 A KR 20220002807A KR 20230106985 A KR20230106985 A KR 20230106985A
Authority
KR
South Korea
Prior art keywords
address
communication equipment
illegal communication
illegal
phone number
Prior art date
Application number
KR1020220002807A
Other languages
Korean (ko)
Inventor
강명진
안태진
김정근
백성복
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020220002807A priority Critical patent/KR20230106985A/en
Publication of KR20230106985A publication Critical patent/KR20230106985A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/308Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/50Testing arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1101Session protocols
    • H04L65/1104Session initiation protocol [SIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M3/00Automatic or semi-automatic exchanges
    • H04M3/22Arrangements for supervision, monitoring or testing
    • H04M3/2281Call monitoring, e.g. for law enforcement purposes; Call tracing; Detection or prevention of malicious calls

Abstract

국내 백본망 또는 국제 연동 구간에서 VoIP 패킷을 수집 및 분석하여 발신번호 변작에 사용되는 국내외 불법 통신장비를 탐지하기 위한 불법 통신장비 탐지 장치 및 방법이 개시된다. 일 측면에 따른 불법 통신장비 탐지 장치는, 불법호 신고 전화번호를 수집하는 수집부; 상기 신고 전화번호에 대한 테스트 호 패킷을 발생시키는 테스트 호 발생부; 및 인터넷에서 수집되는 패킷 중 상기 테스트 호 패킷에 대응하는 패킷에서 IP 주소를 추출하고, 추출된 IP 주소에 대응하는 패킷들의 특성이 임계 조건을 만족할 경우 해당 추출된 IP 주소를 불법 통신장비의 IP 주소로 판단하는 검출부를 포함한다.Disclosed is an apparatus and method for detecting illegal communication equipment for detecting domestic and foreign illegal communication equipment used for alteration of calling numbers by collecting and analyzing VoIP packets in a domestic backbone network or international interworking section. An illegal communication equipment detection device according to an aspect includes a collection unit for collecting illegal call reporting phone numbers; a test call generating unit generating a test call packet for the reported phone number; and an IP address is extracted from a packet corresponding to the test call packet among packets collected from the Internet, and when characteristics of the packets corresponding to the extracted IP address satisfy a critical condition, the extracted IP address is converted to the IP address of the illegal communication device. It includes a detection unit that determines

Figure P1020220002807
Figure P1020220002807

Description

불법 통신장비 탐지 장치 및 방법{Apparatus and method for detecting illegal communication device}Apparatus and method for detecting illegal communication device}

본 발명은, 불법 통신장비 탐지 장치 및 방법에 관한 것으로, 보다 구체적으로 발신번호 변작하여 호를 발신하는 불법 통신장비를 탐지하기 위한 불법 통신장비 탐지 장치 및 방법에 관한 것이다. The present invention relates to an apparatus and method for detecting illegal communication equipment, and more particularly, to an illegal communication equipment detection apparatus and method for detecting an illegal communication equipment that transmits a call by altering an origination number.

일반적으로, VoIP(Voice over IP) 서비스는 인터넷 프로토콜을 이용한 서비스로서, 공중교환전화망(PSTN)과 같은 서킷(Circuit) 망에서 제공하던 음성 통신 서비스를 패킷(packet)망에서 제공할 수 있도록 하는 서비스이다. 이러한 VoIP 기술이 보급되면서 다양한 불법 호가 발생하고 있다. 대표적인 VoIP 기술을 이용한 불법 호는 불법 우회 과금(Toll Bypass Fraud)과 보이스피싱이다. 불법 우회 과금은 VoIP 통신 장비를 경유해 장거리 통화를 발생시키고 과금을 회피하여 과금 손실을 발생시키는 불법 호이다. 보이스피싱은 은행 또는 금융 기관으로 사칭하여 금전적 요구를 하는 불법 호이다.In general, VoIP (Voice over IP) service is a service using Internet protocol, and is a service that enables voice communication service provided in a circuit network such as a public switched telephone network (PSTN) to be provided in a packet network. am. As VoIP technology spreads, various illegal calls are generated. Representative illegal calls using VoIP technology are toll bypass fraud and voice phishing. Illegal bypass billing is an illegal call that causes long-distance calls via VoIP communication equipment and causes billing losses by avoiding billing. Voice phishing is an illegal call that impersonates a bank or financial institution to make financial demands.

이 중 보이스피싱의 피해는 매년 증가하고 있다. 단순히 해외에서 국내로 VoIP 호를 발신하는 방법에서, 해외에서 국내로 발신한 VoIP 호의 발신번호를 국내에서 국내 이동통신 번호로 변작하여 전화를 받도록 유도하는 방법으로 진화하고 있다. 즉, 해외에서 VoIP 단말로 VoIP 호 처리 장치로 호를 발신하면, VoIP 호 처리 장치는 국내에 설치된 불법 통신장비로 세션 개시 프로토콜인 SIP(Session Initiation Protocol) 신호를 전송하고, 불법 통신장비는 착신 단말로 전송하는 발신 호의 발신번호를 국내 이동통신 번호로 변작함으로써, 착신자 측에서 국내 발신 호 같이 보이게끔 만든다.Among them, the damage of voice phishing is increasing every year. It is evolving from a method of simply sending a VoIP call from overseas to Korea to a method of converting the calling number of a VoIP call from abroad to Korea into a domestic mobile communication number and inducing a call to be received. That is, when a call is sent to a VoIP call processing device from a VoIP terminal abroad, the VoIP call processing device transmits a SIP (Session Initiation Protocol) signal, which is a session initiation protocol, to illegal communication equipment installed in Korea, and the illegal communication equipment transmits a signal to the called terminal. By changing the calling number of the outgoing call transmitted to the domestic mobile communication number, the called party makes it look like a domestic outgoing call.

이러한 불법 통신장비는, 국내에서 이동통신 개통이 완료되어 국내 이동통신 번호를 부여받은 상태로, 최대 수십 개의 USIM이 삽입되어, 동시에 많은 사용자들에게 보이스피싱 불법 호를 발신한다. 보이스피싱 조직은 해외에 콜센터를 두고 불법 통신장비를 국내 여러 지역에 설치하여 범행을 벌이고 있기 때문에, 조직원들을 검거하기가 쉽지 않다. 따라서, 불법 통신장비를 찾아내 통신을 차단하는 것이 중요하다. Such illegal communication equipment sends illegal voice phishing calls to many users at the same time by inserting up to dozens of USIMs in a state in which mobile communication is opened in Korea and given a domestic mobile communication number. It is not easy to arrest the members of voice phishing organizations because they have overseas call centers and install illegal communication equipment in various parts of the country to commit crimes. Therefore, it is important to find illegal communication equipment and block communication.

본 발명은, 국내 백본망 또는 국제 연동 구간에서 VoIP 패킷을 수집 및 분석하여 발신번호 변작에 사용되는 국내외 불법 통신장비를 탐지하기 위한 불법 통신장비 탐지 장치 및 방법을 제공하는데 그 목적이 있다.An object of the present invention is to provide an illegal communication equipment detection apparatus and method for detecting domestic and foreign illegal communication equipment used for alteration of calling numbers by collecting and analyzing VoIP packets in a domestic backbone network or an international interworking section.

일 측면에 따른 불법 통신장비 탐지 장치는, 불법호 신고 전화번호를 수집하는 수집부; 상기 신고 전화번호에 대한 테스트 호 패킷을 발생시키는 테스트 호 발생부; 및 인터넷에서 수집되는 패킷 중 상기 테스트 호 패킷에 대응하는 패킷에서 IP 주소를 추출하고, 추출된 IP 주소에 대응하는 패킷들의 특성이 임계 조건을 만족할 경우 해당 추출된 IP 주소를 불법 통신장비의 IP 주소로 판단하는 검출부를 포함한다.An illegal communication equipment detection device according to an aspect includes a collection unit for collecting illegal call reporting phone numbers; a test call generating unit generating a test call packet for the reported phone number; and an IP address is extracted from a packet corresponding to the test call packet among packets collected from the Internet, and when characteristics of the packets corresponding to the extracted IP address satisfy a critical condition, the extracted IP address is converted to the IP address of the illegal communication device. It includes a detection unit that determines

상기 테스트 호 발생부는, 상기 테스트 호 패킷에 테스트 호임을 식별할 수 있는 식별정보를 설정할 수 있다.The test call generation unit may set identification information for identifying a test call in the test call packet.

상기 테스트 호 발생부는, 상기 식별정보로서, SIP(Session Initiation Protocol) 헤더(Header)의 사용 가능한 정보를 특정 패턴 및 특정 값으로 설정하거나, SDP(Session Description Protocol) 속성(Attribute)의 사용 가능한 정보를 특정 패턴 및 특정 값으로 설정하거나, 또는 SIP 헤더의 사용 가능한 정보와 SDP 속성의 사용 가능한 정보를 조합하여 설정할 수 있다.The test call generating unit sets available information of a Session Initiation Protocol (SIP) header to a specific pattern and specific value, or sets available information of a Session Description Protocol (SDP) attribute as the identification information. It can be set with a specific pattern and specific value, or can be set by combining available information of the SIP header and available information of the SDP attribute.

상기 검출부는, 인터넷에서 수집되는 패킷 중 상기 식별정보에 매칭되고 국내에서 해외로 전송되는 패킷에서 소스 IP 주소 및 목적지 IP 주소를 추출하고, 각 IP 주소별로 수집되는 패킷들의 특성이 임계 조건을 만족할 경우, 상기 소스 IP 주소는 국내측 불법 통신장비의 IP 주소로, 상기 목적지 IP 주소는 해외측 불법 통신장비의 IP 주소로 판단할 수 있다.The detection unit extracts a source IP address and a destination IP address from packets that match the identification information among packets collected from the Internet and are transmitted from Korea to overseas, and when characteristics of packets collected for each IP address satisfy a critical condition , The source IP address can be determined as the IP address of domestic illegal communication equipment, and the destination IP address can be determined as the IP address of foreign illegal communication equipment.

상기 검출부는, 상기 목적지 IP 주소의 위치가 미리 설정된 위험 지역의 IP 주소인 경우, 상기 임계 조건에 가중치를 적용할 수 있다.The detection unit may apply a weight to the critical condition when the location of the destination IP address is an IP address of a preset risk area.

상기 불법 통신장비 탐지 장치는, 상기 신고 전화번호가 테스트 대상 전화번호인지 여부를 판단하는 판단부를 더 포함할 수 있다.The apparatus for detecting illegal communication equipment may further include a determining unit that determines whether the reported phone number is a test target phone number.

상기 판단부는, 상기 신고 전화번호가 블랙리스트에 등록되어 있고 상기 신고 전화번호에 대응하는 단말 유형이 자급 단말인 경우 테스트 대상 전화번호로 결정할 수 있다.The determination unit may determine the test target phone number when the reporting phone number is registered in a blacklist and the terminal type corresponding to the reporting phone number is a self-sufficient terminal.

상기 불법 통신장비 탐지 장치는, 불법 통신장비의 IP 주소에 대한 패킷을 차단하고 그 IP 주소에 대응하는 신고 전화번호의 통신가입을 이용 정지키시는 차단부를 더 포함할 수 있다.The apparatus for detecting illegal communication equipment may further include a blocking unit for blocking packets for an IP address of the illegal communication equipment and stopping use of a communication subscription of a reporting telephone number corresponding to the IP address.

다른 측면에 따른 불법 통신장비를 탐지하는 방법은, 불법호 신고 전화번호를 수집하는 단계; 상기 신고 전화번호에 대한 테스트 호 패킷을 발생시키는 단계; 및 인터넷에서 수집되는 패킷 중 상기 테스트 호 패킷에 대응하는 패킷에서 IP 주소를 추출하고, 추출된 IP 주소에 대응하는 패킷들의 특성이 임계 조건을 만족할 경우 해당 추출된 IP 주소를 불법 통신장비의 IP 주소로 판단하는 단계를 포함한다.A method for detecting illegal communication equipment according to another aspect includes collecting illegal call reporting phone numbers; generating a test call packet for the reported phone number; and an IP address is extracted from a packet corresponding to the test call packet among packets collected from the Internet, and when characteristics of the packets corresponding to the extracted IP address satisfy a critical condition, the extracted IP address is converted to the IP address of the illegal communication device. It includes the step of judging by

상기 발생시키는 단계는, 상기 테스트 호 패킷에 테스트 호임을 식별할 수 있는 식별정보를 설정할 수 있다.In the generating step, identification information for identifying the test call may be set in the test call packet.

상기 발생시키는 단계는, 상기 식별정보로서, SIP(Session Initiation Protocol) 헤더(Header)의 사용 가능한 정보를 특정 패턴 및 특정 값으로 설정하거나, SDP(Session Description Protocol) 속성(Attribute)의 사용 가능한 정보를 특정 패턴 및 특정 값으로 설정하거나, 또는 SIP 헤더의 사용 가능한 정보와 SDP 속성의 사용 가능한 정보를 조합하여 설정할 수 있다.The generating step may set available information of a Session Initiation Protocol (SIP) header to a specific pattern and specific value, or set available information of a Session Description Protocol (SDP) attribute as the identification information. It can be set with a specific pattern and specific value, or can be set by combining available information of the SIP header and available information of the SDP attribute.

상기 판단하는 단계는, 인터넷에서 수집되는 패킷 중 상기 식별정보에 매칭되고 국내에서 해외로 전송되는 패킷에서 소스 IP 주소 및 목적지 IP 주소를 추출하는 단계; 및 각 IP 주소별로 수집되는 패킷들의 특성이 임계 조건을 만족할 경우, 상기 소스 IP 주소는 국내측 불법 통신장비의 IP 주소로, 상기 목적지 IP 주소는 해외측 불법 통신장비의 IP 주소로 판단하는 단계를 포함할 수 있다.The determining step may include extracting a source IP address and a destination IP address from packets that match the identification information among packets collected from the Internet and are transmitted from Korea to overseas; and determining that the source IP address is the IP address of domestic illegal communication equipment and the destination IP address is the IP address of overseas illegal communication equipment, if the characteristics of the packets collected for each IP address satisfy the critical condition. can include

상기 목적지 IP 주소의 위치가 미리 설정된 위험 지역의 IP 주소인 경우, 상기 임계 조건에 가중치를 적용할 수 있다.When the location of the destination IP address is an IP address in a preset dangerous area, a weight may be applied to the critical condition.

상기 방법은, 상기 신고 전화번호가 테스트 대상 전화번호인지 여부를 판단하는 단계를 더 포함할 수 있다.The method may further include determining whether the reported phone number is a test target phone number.

상기 테스트 대상 전화번호인지 여부를 판단하는 단계는 상기 신고 전화번호가 블랙리스트에 등록되어 있고 상기 신고 전화번호에 대응하는 단말 유형이 자급 단말인 경우 테스트 대상 전화번호로 결정할 수 있다.In the step of determining whether the phone number is the test target phone number, if the report phone number is registered in the blacklist and the terminal type corresponding to the report phone number is a self-sufficient terminal, the test subject phone number may be determined.

상기 방법은, 불법 통신장비의 IP 주소에 대한 패킷을 차단하고 그 IP 주소에 대응하는 신고 전화번호의 통신가입을 이용 정지키시는 단계를 더 포함할 수 있다.The method may further include blocking packets for the IP address of the illegal communication equipment and disabling the communication subscription of the reporting phone number corresponding to the IP address.

본 발명은, 테스트 호 패킷을 이용하여 국내외 불법 통신장비의 IP 주소를 정확하게 탐지함으로써, 국내외 불법 통신장비를 통한 범죄 행위를 신속하게 차단할 수 있다. According to the present invention, by accurately detecting IP addresses of domestic and foreign illegal communication equipment using test call packets, criminal acts through domestic and foreign illegal communication equipment can be quickly blocked.

또한, 본 발명은 국내 불법 통신장비의 명의자가 개통한 다른 전화번호들도 이용을 정지시킴으로써 보이스피싱 범죄를 미연에 방지할 수 있다.In addition, the present invention can prevent voice phishing crimes in advance by stopping the use of other phone numbers opened by the owner of domestic illegal communication equipment.

도 1은 본 발명의 일 실시예에 따른 불법 통신장비 및 탐지 장치를 포함하는 통신 시스템을 나타낸 도면이다.
도 2는 본 발명의 일 실시예에 따른 탐지 장치의 구성을 나타낸 도면이다.
도 3은 본 발명의 일 실시예에 따른 불법 통신장비를 탐지하는 방법을 설명하는 흐름도이다.1 is a diagram illustrating a communication system including illegal communication equipment and a detection device according to an embodiment of the present invention.
2 is a diagram showing the configuration of a detection device according to an embodiment of the present invention.
3 is a flowchart illustrating a method of detecting illegal communication equipment according to an embodiment of the present invention.

이하, 첨부된 도면을 참조하여 본 명세서에 개시된 실시예를 상세히 설명하되, 도면 부호에 관계없이 동일하거나 유사한 구성요소는 동일한 참조 번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다. 이하의 설명에서 사용되는 구성요소에 대한 접미사 "부"는 명세서 작성의 용이함만이 고려되어 부여되거나 혼용되는 것으로서, 그 자체로 서로 구별되는 의미 또는 역할을 갖는 것은 아니다. 또한, 본 명세서에 개시된 실시예를 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 명세서에 개시된 실시예의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 첨부된 도면은 본 명세서에 개시된 실시예를 쉽게 이해할 수 있도록 하기 위한 것일 뿐, 첨부된 도면에 의해 본 명세서에 개시된 기술적 사상이 제한되지 않으며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.Hereinafter, the embodiments disclosed in this specification will be described in detail with reference to the accompanying drawings, but the same or similar components are given the same reference numerals regardless of reference numerals, and redundant description thereof will be omitted. The suffix "part" for components used in the following description is given or used interchangeably in consideration of ease of writing the specification, and does not itself have a meaning or role distinct from each other. In addition, in describing the embodiments disclosed in this specification, if it is determined that a detailed description of a related known technology may obscure the gist of the embodiment disclosed in this specification, the detailed description thereof will be omitted. In addition, the accompanying drawings are only for easy understanding of the embodiments disclosed in this specification, the technical idea disclosed in this specification is not limited by the accompanying drawings, and all changes included in the spirit and technical scope of the present invention , it should be understood to include equivalents or substitutes.

제1, 제2 등과 같이 서수를 포함하는 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되지는 않는다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다.Terms including ordinal numbers, such as first and second, may be used to describe various components, but the components are not limited by the terms. These terms are only used for the purpose of distinguishing one component from another.

단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함한다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.Singular expressions include plural expressions unless the context clearly dictates otherwise. In this application, terms such as "comprise" or "have" are intended to designate that there is a feature, number, step, operation, component, part, or combination thereof described in the specification, but one or more other features It should be understood that the presence or addition of numbers, steps, operations, components, parts, or combinations thereof is not precluded.

본 발명을 구현함에 있어서 설명의 편의를 위하여 구성요소를 세분화하여 설명할 수 있으나, 이들 구성요소가 하나의 장치 또는 모듈 내에 구현될 수도 있고, 혹은 하나의 구성요소가 다수의 장치 또는 모듈들에 나뉘어져서 구현될 수도 있다.In implementing the present invention, components may be subdivided for convenience of description, but these components may be implemented in one device or module, or one component may be divided into multiple devices or modules may be implemented in

도 1은 본 발명의 일 실시예에 따른 불법 통신장비 및 탐지 장치를 포함하는 통신 시스템을 나타낸 도면이다. 도 1을 참조하면, 보이스피싱 조직은 국내와 해외에 각각 불법 통신장비를 설치하고 해외에서 VoIP를 통해 국내로 호를 발생시킨다. 해외의 보이스피싱 발신 단말(110)이 해외측 불법 통신장치인 호 처리 서버(120)를 통해 발신 호를 발생시키면, 해당 발신 호는 인터넷(130)을 경유하여 국내에 설치된 불법 통신장비(140)로 유입되고, 국내측 불법 통신장비(140)는 발신 호의 발신번호를 국내 이동통신 번호로 변작한 후 국내 이동통신망(150)을 통해 피해자들의 단말, 즉 착신 단말(160)로 전송한다. 따라서, 피해자들은 해외에서 발신된 호로 인지하지 못하고 국내에서 발신된 정상 호로 인식하게 된다. 본 발명에 따른 탐지 장치(170)는, 보이스피싱으로 의심되는 전화번호로 테스트 패킷을 발생시키고 인터넷(130)을 통해 송수신되는 테스트 패킷을 수집 및 분석하여 이러한 보이스피싱에 이용되는 국내외 불법 통신장비(120, 140)를 탐지한다.1 is a diagram illustrating a communication system including illegal communication equipment and a detection device according to an embodiment of the present invention. Referring to FIG. 1, voice phishing organizations install illegal communication equipment in Korea and abroad, respectively, and generate calls from overseas to Korea through VoIP. When the overseas voice phishing calling terminal 110 generates an outgoing call through the call processing server 120, which is an illegal overseas communication device, the outgoing call passes through the Internet 130 to the illegal communication equipment 140 installed in the country. , and the domestic illegal communication equipment 140 converts the origination number of the outgoing call into a domestic mobile communication number, and then transmits it to the victim's terminal, that is, the called terminal 160 through the domestic mobile communication network 150. Therefore, the victims do not recognize the call as an overseas call, but recognize it as a normal call from Korea. The detection device 170 according to the present invention generates a test packet with a phone number suspected of voice phishing, collects and analyzes the test packet transmitted and received through the Internet 130, and uses domestic and foreign illegal communication equipment ( 120, 140) are detected.

해외에는 보이스피싱 불법 호를 발신하는 범죄 조직이 설치한 발신 단말(110)과 호 처리 서버(120)가 위치한다. 발신 단말(110)은, 스마트폰이나 태블릿 PC, 또는 랩탑 컴퓨터 등의 VoIP 서비스를 이용할 수 있는 단말이다. 발신 단말(110)은 사용자의 조작에 따라 발신 호를 호 처리 서버(120)로 전송한다. 본 실시예에서 발신 단말(110)은 불법 호를 발신하는 범죄자가 이용하는 통화 단말이다.Overseas, a calling terminal 110 and a call processing server 120 installed by criminal organizations that send illegal voice phishing calls are located. The originating terminal 110 is a terminal capable of using the VoIP service, such as a smart phone, tablet PC, or laptop computer. The outgoing terminal 110 transmits the outgoing call to the call processing server 120 according to the user's manipulation. In this embodiment, the calling terminal 110 is a communication terminal used by criminals who make illegal calls.

호 처리 서버(120)는, 해외측 불법 통신장비로서, VoIP(Voice over IP) 서비스를 제공한다. 호 처리 서버(120)는, 예를 들어, SIP(Session Initiation Protocol) 서버, PBX 서버이다. SIP는 IETF에서 정의한 음성과 화상 통화 같은 멀티미디어 세션을 제어하기 위한 시그널링 프로토콜이다. 호 처리 서버(120)는, 발신 단말(110)로부터 발신 호로서 SIP INVITE 패킷을 수신할 수 있다. The call processing server 120, as an illegal overseas communication device, provides a VoIP (Voice over IP) service. The call processing server 120 is, for example, a Session Initiation Protocol (SIP) server or a PBX server. SIP is a signaling protocol defined by the IETF to control multimedia sessions such as voice and video calls. The call processing server 120 may receive a SIP INVITE packet as an outgoing call from the originating terminal 110 .

호 처리 서버(120)는, 발신 단말(110)로부터 발신 호가 수신되면, 발신 호를 인터넷(130)을 통해 국내에 설치된 불법 통신장비(140)로 전송한다. 인터넷(130)은, 국제 연동 구간, 국내 백본망 및 국내 유무선망을 포함할 수 있다. 호 처리 서버(120)는, 발신 호의 목적지 IP 주소 및 포트 정보로서, 불법 통신장비(140)의 IP 주소 및 포트 정보를 설정하고, 또한 발신 호에 발신번호와 착신번호를 설정한다. 여기서 착신번호는 국내에 위치한 피해자들의 전화번호이다. 또한 호 처리 서버(120)는, 발신 호에 호 처리 서버(120)의 고유 특성 정보(예, User agent)를 설정할 수 있다. 발신 단말(110), 호 처리 서버(120), 불법 통신장비(140) 간에는 상호 식별이 가능한 내선번호(예, 2222, 2442 등)를 사용할 수 있다.When an outgoing call is received from the outgoing terminal 110, the call processing server 120 transmits the outgoing call to the illegal communication equipment 140 installed in the country through the Internet 130. The Internet 130 may include an international interworking section, a domestic backbone network, and a domestic wired/wireless network. The call processing server 120 sets the IP address and port information of the illegal communication equipment 140 as the destination IP address and port information of the outgoing call, and also sets the originating number and the destination number in the outgoing call. Here, the destination number is the phone number of the victim located in Korea. Also, the call processing server 120 may set unique characteristic information (eg, user agent) of the call processing server 120 in an outgoing call. Extension numbers capable of mutual identification (eg, 2222, 2442, etc.) may be used between the calling terminal 110, the call processing server 120, and the illegal communication equipment 140.

불법 통신장비(140)는, 불법 호를 발신하는 범죄 조직이 국내에 설치한 장비로서, 인터넷(130)에 연결되고, 또한 국내에 개통된 복수의 가입자 식별 모듈, 즉 USIM을 실장하여, 국내 이동통신망(150)을 통해 호를 발신한다. 즉, 불법 통신장비(140)는, USIM의 개수만큼 국내 이동통신 번호를 보유하여, 각 이동통신 번호로 호를 발신할 수 있다. 구체적으로, 불법 통신장비(140)는, 상기 호 처리 서버(120)로부터 인터넷(130)을 통해 발신 호가 수신되면, 발신 호를 국내 이동통신 번호로 변작한 후 국내 이동통신망(150)을 통해 피해자들의 단말, 즉 착신 단말(160)로 전송한다. The illegal communication equipment 140 is a device installed in the country by a criminal organization that sends illegal calls, and is connected to the Internet 130 and is equipped with a plurality of subscriber identification modules, that is, USIMs opened in the country, to move within the country. Sending a call through the communication network (150). That is, the illegal communication device 140 can send a call to each mobile communication number by holding as many domestic mobile communication numbers as the number of USIMs. Specifically, when an outgoing call is received from the call processing server 120 through the Internet 130, the illegal communication device 140 transforms the outgoing call into a domestic mobile communication number and then transmits the victim through the domestic mobile communication network 150. It is transmitted to the terminal of the group, that is, the called terminal 160.

불법 통신장비(140)는, 복수의 국내 이동통신 번호를 보유하는데, 각 국내 이동통신 번호별로 ID를 매칭하여 저장 및 관리할 수 있다. 예를 들어, 010-1111-1111은 ID 1, 010-1111-1112는 ID 2와 같은 방식으로 저장 및 관리한다. 범죄 조직은, 해외에서 발신 단말(110)로 불법 호를 발신할 때, 발신번호로서 전화번호 형식이 아닌, 불법 통신장비(140)에서 국내 이동통신 번호별로 매칭되어 관리되는 ID를 설정할 수 있다. 즉, 발신 단말(110)로부터 호 처리 서버(120)로, 그리고 호 처리 서버(120)에서 불법 통신장비(140)로 전송되는 발신 호에는, 발신번호로서 전화번호 형식이 아닌 숫자, 문자, 특수문자 등으로 구성된 ID가 포함될 수 있다. The illegal communication device 140 has a plurality of domestic mobile communication numbers, and IDs can be matched, stored, and managed for each domestic mobile communication number. For example, 010-1111-1111 is stored and managed in the same way as ID 1 and 010-1111-1112 as ID 2. When a criminal organization makes an illegal call to the calling terminal 110 from abroad, it is possible to set an ID that is matched and managed for each domestic mobile communication number in the illegal communication equipment 140, not in the form of a phone number as the calling number. That is, in the outgoing call transmitted from the calling terminal 110 to the call processing server 120 and from the call processing server 120 to the illegal communication equipment 140, numbers, letters, and special An ID composed of letters and the like may be included.

불법 통신장비(140)는, 복수의 국내 이동통신 번호를 보유하고, 따라서 동시에 복수의 발신 호를 서로 다른 국내 이동통신 번호로 처리할 수 있다. 따라서, 범죄 조직은 여러 명의 조직원이 동시에 하나의 불법 통신장비(140)을 통해 여러 피해자들의 착신 단말(160)들로 불법 호를 발생시킨다. 즉, 소정 시간 이내에 출발지 IP 주소와 목적지 IP 주소가 동일하고 착신번호가 상이한 복수의 발신 호, 예를 들어, SIP INVITE 패킷이 소정 개수 이상 다량 발생하는 것이 일반적이다. The illegal communication equipment 140 has a plurality of domestic mobile communication numbers, and therefore can simultaneously process a plurality of outgoing calls with different domestic mobile communication numbers. Therefore, in a criminal organization, several members of the organization simultaneously make illegal calls to the receiving terminals 160 of several victims through one illegal communication device 140 . That is, it is common that a plurality of outgoing calls, eg, SIP INVITE packets, having the same source IP address and destination IP address and different destination numbers occur within a predetermined period of time.

한편, 불법 통신장비(140)는, 발신 호에 대한 응답 패킷을 인터넷(130)을 통해 호 처리 서버(120)로 전송한다. 여기서 응답 패킷은, 예를 들어, SIP Response 패킷으로서, SIP 100 Trying, 180 Ringing, 183 Session Progress, 200 OK 등이다. SIP 표준 규격에 따르면, SIP INVITE 패킷에 후속하는 패킷들은, SIP INVITE 패킷과 동일한 발신번호, 착신번호, 출발지 IP 주소/포트 정보, 목적지 IP 주소/포트 정보를 포함한다. 즉, 응답 패킷에, 전화번호 형식이 아닌 숫자, 문자, 특수문자 등으로 구성된 ID가 발신번호로서 포함된다. 그리고 발신 호와 마찬가지로, 소정 시간 이내에 출발지 IP 주소와 목적지 IP 주소가 동일하고 착신번호가 상이한 복수의 응답 패킷이 소정 개수 이상 다량 발생하게 된다.Meanwhile, the illegal communication device 140 transmits a response packet to the outgoing call to the call processing server 120 through the Internet 130. Here, the response packet is, for example, a SIP Response packet, such as SIP 100 Trying, 180 Ringing, 183 Session Progress, and 200 OK. According to the SIP standard, packets subsequent to the SIP INVITE packet include the same source number, destination number, source IP address/port information, and destination IP address/port information identical to those of the SIP INVITE packet. That is, an ID composed of numbers, letters, special characters, etc., not in the format of a phone number is included as the calling number in the response packet. And, similarly to an outgoing call, a plurality of response packets having the same source IP address and destination IP address and different destination numbers are generated in a large amount of a predetermined number or more within a predetermined time.

불법 통신장비 탐지 장치(이하에서, 탐지 장치라 함)(170)는, 국내측 불법 통신장비(140)와 해외측 불법 통신장비(120)를 탐지한다. 구체적으로, 탐지 장치(170)는, 경찰청 등으로부터 신고 전화번호를 수집하여 블랙리스트와 비교하고, 신고 전화번호가 블랙리스트에 등록되지 않은 신규 전화번호인 경우, 테스트 호를 생성하여 해당 신고 전화번호로 해당 테스트 호를 발신한다. 이때, 탐지 장치(170)는, 테스트 호에 테스트 호임을 식별할 수 있는 식별정보를 설정한다. 탐지 장치(170)는, 인터넷(130)에 설치된 트래픽 수집기를 통해 VoIP 패킷을 수집하고 그 수집된 VoIP 패킷 중 상기 식별정보가 일치하는 VoIP 패킷을 필터링하며, 필터링된 VoIP 패킷에서 IP 주소가 일정한 조건을 만족할 경우 불법 통신장비(120, 140)의 IP 주소로 판단할 수 있다. 탐지 장치(170)에 관해서는 이하에서 도 2를 참조하여 구체적으로 설명한다.An illegal communication equipment detection device (hereinafter, referred to as a detection device) 170 detects domestic illegal communication equipment 140 and overseas illegal communication equipment 120 . Specifically, the detection device 170 collects a report phone number from the National Police Agency, etc., compares it with a blacklist, and generates a test call to generate a test call when the report phone number is a new phone number not registered on the blacklist. Send the corresponding test call to At this time, the detection device 170 sets identification information capable of identifying the test call to the test call. The detection device 170 collects VoIP packets through a traffic collector installed in the Internet 130, filters VoIP packets matching the identification information among the collected VoIP packets, and the IP address in the filtered VoIP packets is constant. If satisfies, it can be determined as the IP address of the illegal communication equipment (120, 140). The detection device 170 will be described in detail with reference to FIG. 2 below.

도 2는 본 발명의 일 실시예에 따른 탐지 장치의 구성을 나타낸 도면이다. 도 2를 참조하면, 탐지 장치(170)은, 신고 정보 수집부(171), 판단부(172), 테스트 호 발생부(173), 검출부(174) 및 차단부(175)를 포함한다. 탐지 장치(170)은, 메모리, 하나 이상의 프로세서(CPU), 주변 인터페이스, 입출력(I/O) 서브시스템, 디스플레이 장치, 입력 장치 및 통신 회로를 포함할 수 있다. 2 is a diagram showing the configuration of a detection device according to an embodiment of the present invention. Referring to FIG. 2 , the detection device 170 includes a report information collection unit 171, a determination unit 172, a test call generation unit 173, a detection unit 174, and a blocking unit 175. The detection device 170 may include a memory, one or more processors (CPUs), a peripheral interface, an input/output (I/O) subsystem, a display device, an input device, and communication circuitry.

메모리는 고속 랜덤 액세스 메모리를 포함할 수 있고, 또한 하나 이상의 자기 디스크 저장 장치, 플래시 메모리 장치와 같은 불휘발성 메모리, 또는 다른 불휘발성 반도체 메모리 장치를 포함할 수 있다. 메모리는 각종 정보와 프로그램 명령어를 저장할 수 있고, 프로그램은 프로세서에 의해 실행된다. The memory may include high-speed random access memory, and may also include one or more magnetic disk storage devices, non-volatile memory such as flash memory devices, or other non-volatile semiconductor memory devices. The memory may store various types of information and program instructions, and the program is executed by a processor.

주변 인터페이스는 입출력 주변 장치를 프로세서 및 메모리와 연결한다. 하나 이상의 프로세서는 다양한 소프트웨어 프로그램 및/또는 메모리에 저장되어 있는 명령어 세트를 실행하여 시스템을 위한 여러 기능을 수행하고 데이터를 처리한다. Peripheral interfaces connect I/O peripherals with the processor and memory. One or more processors execute various software programs and/or sets of instructions stored in memory to perform various functions and process data for the system.

I/O 서브시스템은 디스플레이 장치, 입력 장치와 같은 입출력 주변장치와 주변 인터페이스 사이에 인터페이스를 제공한다. 통신 회로는 외부 포트를 통한 통신 또는 RF 신호에 의한 통신을 수행한다. 통신 회로는 전기 신호를 RF 신호로 또는 그 반대로 변환하며 이 RF 신호를 통하여 통신 네트워크, 다른 이동형 게이트웨이 장치 및 통신 장치와 통신할 수 있다. The I/O subsystem provides an interface between peripheral interfaces and input/output peripherals such as display devices and input devices. The communication circuit performs communication through an external port or communication by an RF signal. The communication circuitry converts electrical signals to RF signals and vice versa, and communicates with the communication network, other mobile gateway devices, and communication devices via the RF signals.

신고 정보 수집부(171), 판단부(172), 테스트 호 발생부(173), 검출부(174) 및 차단부(175)는, 프로그램으로 구현되어 메모리에 저장되고 적어도 하나의 프로세서에 의해 실행될 수 있고, 하드웨어와 소프트웨어의 조합으로 구현되어 동작할 수 있다.The report information collection unit 171, determination unit 172, test call generation unit 173, detection unit 174, and blocking unit 175 may be implemented as programs, stored in memory, and executed by at least one processor. It can be implemented and operated as a combination of hardware and software.

신고 정보 수집부(171)는, 경찰청, 금감원 등으로부터 보이스피싱 등의 불법호 신고 전화번호를 수집한다. The report information collection unit 171 collects phone numbers for reporting illegal calls such as voice phishing from the National Police Agency, the Financial Supervisory Service, and the like.

판단부(172)는, 상기 수집된 신고 전화번호가 테스트 대상 전화번호인지 여부를 판단한다. 구체적으로, 판단부(172)는, 상기 수집된 신고 전화번호가 블랙리스트에 등록되어 있는지 여부, 블랙리스트에 등록되어 있다면 유효한지 등을 확인한다. 블랙리스트는 보이스피싱에 사용된 전화번호를 기록한 것으로, 검출일, 차단적용, 차단 해제 상태 등의 정보도 포함한다. 따라서, 블랙리스트에 등록되어 있다고 하여 모두 차단 대상인 것은 아니며 차단 해제된 전화번호도 블랙리스트에 등록될 수 있으므로, 판단부(172)는, 신고 전화번호가 블랙리스트에 등록되어 있지 않은 신규 전화번호이거나, 블랙리스트에 등록되어 있지만 차단 해제되어 유효한 전화번호인 경우, 테스트 대상 전화번호로 결정할 수 있다.The determination unit 172 determines whether the collected report phone number is a test target phone number. Specifically, the determination unit 172 checks whether the collected report phone number is registered in the blacklist, and if registered in the blacklist, whether it is valid. The blacklist is a record of phone numbers used for voice phishing, and includes information such as detection date, block application, and block release status. Therefore, not all of those registered in the blacklist are subject to blocking, and unblocked phone numbers may also be registered in the blacklist. , If it is a valid phone number that is registered in the blacklist but unblocked, it can be determined as the phone number to be tested.

일 실시예에서, 판단부(172)는, 신고 전화번호에 대한 단말 정보를 확인하고, 신고 전화번호에 대응하는 단말 유형이 자급 단말(OMD: Open Market Device)인 경우에만 최종 테스트 대상 전화번호 결정할 수 있다. 신고 전화번호가 블랙리스트에 등록되어 있지 않은 신규 전화번호라 하더라도 단말 유형이 사급 단말인 경우 통신사 대리점을 통해 개통한 단말이므로 다른 용도로 사용되더라도 본 실시예에서 설명하는 불법 통신장비(140)로 사용될 가능성이 낮기 때문이다. 블랙리스트 및 단말 정보는 별도의 저장장치에 저장되어 이용될 수 있다.In one embodiment, the determination unit 172 checks the terminal information for the reporting phone number and determines the final test target phone number only when the terminal type corresponding to the reporting phone number is an open market device (OMD). can Even if the reported phone number is a new phone number that is not registered in the blacklist, if the terminal type is a private terminal, it is a terminal opened through a telecommunication company agency, so even if it is used for other purposes, it can be used as illegal communication equipment 140 described in this embodiment. Because the chances are low. The blacklist and terminal information may be stored and used in a separate storage device.

테스트 호 발생부(173)는, 상기 판단부(172)에서 테스트 대상 전화번호로 결정된 신고 전화번호로 테스트 호를 발생시킨다. 즉 신고 전화번호를 착신 전화번호로 설정하여 테스트 호 패킷을 인터넷(130)을 경유하여 발신한다. 이때, 테스트 호 발생부(173)는, 테스트 호에 테스트 호임을 식별할 수 있는 식별정보를 설정한다. 식별정보는 SIP 헤더(Header)의 사용 가능한 정보(User Agent, Call-ID 등)와 SDP(Session Description Protocol) 속성(Attribute)의 사용 가능한 정보(Owner Username, Session Name emd)를 조합한 다중 정보일 수 있다. The test call generation unit 173 generates a test call to the report phone number determined by the determination unit 172 as the test target phone number. That is, the test call packet is transmitted via the Internet 130 by setting the reporting phone number as the called phone number. At this time, the test call generating unit 173 sets identification information for identifying the test call to the test call. Identification information is multiple information that combines available information (User Agent, Call-ID, etc.) of the SIP header and available information (Owner Username, Session Name emd) of SDP (Session Description Protocol) attributes. can

VoIP 패킷의 정보(Source IP 주소, SIP Header 정보 등)는 SBC(Session Border Controller)나 SIP Gateway 등을 통과하면서 변경될 수 있다. 테스트 호에 단일 형태로 식별정보를 설정할 경우 식별정보가 SBC나 SIP Gatewar 등에서 변경되어 추후 식별이 불가능할 수 있는 반면, 상기와 같이 다중 형태로 식별정보를 설정할 경우, 식별정보가 SBC나 SIP Gatewar 등에서 변경되더라도 일부 정보만 변경되어, 추후 식별이 가능하게 되므로, 위와 같이 다중 형태로 식별정보를 설정하는 것이 바람직하다.VoIP packet information (source IP address, SIP header information, etc.) can be changed while passing through a Session Border Controller (SBC) or SIP Gateway. If identification information is set in a single form in the test call, identification information may be changed in SBC or SIP Gatewar, etc., making identification impossible later. Even if it is, it is preferable to set the identification information in multiple forms as above, since only some information is changed and identification is possible later.

아래는 식별정보로서 SIP Header 정보 중 Call-ID와 User Agent를 특정 패턴 및 특정 값으로 정의한 예이다. 이 예는 하나의 예로서 다른 패턴 및 값 등이 정의될 수 있음을 분명히 한다.The following is an example of defining Call-ID and User Agent among SIP Header information as identification information with a specific pattern and specific value. This example makes it clear that other patterns and values, etc. may be defined as an example.

Figure pat00001
Figure pat00001

아래는 식별정보로서 SDP Attribute 정보 중 Owner Username과 Session Name을 특정 값으로 정의한 예이다. 이 예는 하나의 예로서 다른 패턴 및 값 등이 정의될 수 있음을 분명히 한다.The following is an example of defining Owner Username and Session Name as specific values among SDP Attribute information as identification information. This example makes it clear that other patterns and values, etc. may be defined as an example.

Figure pat00002
Figure pat00002

이와 같이 발신된 테스트 호 패킷은 불법 통신장비(140)로 착신되고 불법 통신장비(140)는 인터넷(130)을 경유하여 해외측 불법 통신장비인 호 처리 서버(120)로 전송한다. 그리고 호 처리 서버(120)는 호 응답 패킷을 국내측 불법 통신장비(140)로 회신한다. 이와 같이 테스트 호에 따라 국내측 불법 통신장비(140)와 해외측 불법 통신장비(120)는 호 시그널링을 위한 VoIP 패킷을 송수신하게 되고, 이 과정에서 VoIP 패킷에는 테스트 호 패킷에 설정되었던 식별정보가 유지된다. 따라서, 인터넷(130)을 통해 송수신되는 패킷에서 테스트 호에 대응하는 VoIP 패킷을 식별할 수 있다.The test call packet sent in this way is received by the illegal communication equipment 140, and the illegal communication equipment 140 transmits it to the call processing server 120, which is an overseas illegal communication equipment, via the Internet 130. Then, the call processing server 120 returns the call response packet to the domestic illegal communication equipment 140. In this way, according to the test call, the domestic illegal communication equipment 140 and the overseas illegal communication equipment 120 transmit and receive VoIP packets for call signaling, and in this process, the identification information set in the test call packet is included in the VoIP packet. maintain. Accordingly, a VoIP packet corresponding to a test call may be identified from packets transmitted and received through the Internet 130 .

검출부(174)는, 인터넷(130)에 설치된 트래픽 수집기를 통해 수집된 VoIP 패킷 중 상기 테스트 호 발생부(173)에서 테스트 호에 설정한 식별정보가 일치하는 VoIP 패킷을 필터링하며, 필터링된 VoIP 패킷에서 IP 주소를 추출하고, 추출된 IP 주소에 대응하는 패킷들의 특성이 임계 조건을 만족할 경우 해당 추출된 IP 주소를 불법 통신장비(120, 140)의 IP 주소로 판단할 수 있다. The detection unit 174 filters VoIP packets that match the identification information set for the test call by the test call generation unit 173 among the VoIP packets collected through the traffic collector installed in the Internet 130, and filters the filtered VoIP packets. An IP address is extracted from , and when characteristics of packets corresponding to the extracted IP address satisfy a critical condition, the extracted IP address can be determined as the IP address of the illegal communication equipment (120, 140).

일단, 검출부(174)는 필터링된 VoIP 패킷 중 국내에서 해외로 전송되는 패킷에서 소스 IP 주소와 목적지 IP 주소를 추출하고, 각 IP 주소별로 상기 트래픽 수집기에서 수집된 VoIP 패킷을 분류한다. 검출부(174)는, 분류된 각 IP 주소별 VoIP 패킷의 특성을 분석하여 임계 조건을 만족하는지를 판단하고, 임계 조건을 만족하는 패킷의 특성을 갖는 IP 주소를 불법 통신장비(120, 140)의 IP 주소로 판단한다.First, the detection unit 174 extracts a source IP address and a destination IP address from packets transmitted from domestic to overseas among the filtered VoIP packets, and classifies the VoIP packets collected by the traffic collector for each IP address. The detection unit 174 analyzes the characteristics of VoIP packets for each classified IP address to determine whether the threshold condition is satisfied, and the IP address having the characteristics of the packet that satisfies the threshold condition is assigned to the IP address of the illegal communication equipment 120 or 140. judge by address.

이때, 검출부(174)는, 상기 추출된 소스 IP 주소와 목적지 IP 주소를 블랙리스트와 비교하여 블랙리스트에 등록되지 않은 신규 IP 주소인 경우 각 IP 주소별로 상기 트래픽 수집기에서 수집된 VoIP 패킷을 분류하고, 분류된 각 IP 주소별 VoIP 패킷의 특성을 분석하여 임계 조건을 만족하는지를 판단할 수 있다.At this time, the detection unit 174 compares the extracted source IP address and destination IP address with a blacklist, and classifies the VoIP packets collected by the traffic collector for each IP address if it is a new IP address not registered on the blacklist. , it is possible to determine whether a critical condition is satisfied by analyzing the characteristics of VoIP packets for each classified IP address.

일 실시예에서, 검출부(174)는, 상기 소스 IP 주소에 대해 상기 트래픽 수집기에서 수집된 VoIP 패킷을 분류하고, 해당 VoIP 패킷들의 특성, 예를 들어 To Number(여기서 Number는 국내 피해자들의 전화번호)의 개수, 단위 시간 In/out 호 수, 단위 시간 In/out 호 취소 수 등을 분석하여 임계치를 초과하는 경우, 해당 소스 IP 주소는 국내측 불법 통신장비(140)의 IP 주소로 판단한다. 국내측 불법 통신장비(140)는, 일반적으로 짧은 시간안에 국내 이동통신망(150)으로 다량의 호를 발신하고, 은행 업무 시간에만 호를 발신하는 등의 특성이 있다. 또한 특정 착신번호로 짧은 시간 이내에 다량의 호를 발신하고, 이에 따라 짧은 시간 이내에 다량의 호 취소가 발생하기도 한다. 또한, 다량의 호를 발생시키기 때문에, 임계치 이상의 통화 시간, 요금이 발생하기도 한다. 이러한 특성을 기초로, 상기 소스 IP 주소가 국내측 불법 통신장비(140)의 IP 주소인지를 판단할 수 있다.In one embodiment, the detection unit 174 classifies the VoIP packets collected by the traffic collector for the source IP address, and the characteristics of the corresponding VoIP packets, for example, To Number (where Number is the phone number of domestic victims) If the threshold is exceeded by analyzing the number of in/out calls in unit time, the number of in/out calls in unit time, etc., the corresponding source IP address is determined to be the IP address of the domestic illegal communication equipment (140). The domestic illegal communication equipment 140 generally sends a large number of calls to the domestic mobile communication network 150 within a short period of time and has characteristics such as sending calls only during banking hours. In addition, a large number of calls are sent to a specific called number within a short time, and accordingly, a large number of calls are canceled within a short time. In addition, since a large number of calls are generated, call time and charges exceeding the threshold may occur. Based on these characteristics, it can be determined whether the source IP address is the IP address of the domestic illegal communication equipment 140.

일 실시예에서, 검출부(174)는, 상기 목적지 IP 주소에 대해 상기 트래픽 수집기에서 수집된 VoIP 패킷을 분류하고, 해당 VoIP 패킷들의 특성, 예를 들어 소스 IP 주소의 개수, 단위 시간 In/out 호 수, 단위시간 In/out 호 취소 수 등을 분석하여 임계치를 초과하는 경우, 해당 목적지 IP 주소는 해외측 불법 통신장비(120)의 IP 주소로 판단한다. 해외측 불법 통신장비(120)는 국내의 여러 대의 불법 통신장비(140)와 통신한다. 따라서, 해외측 불법 통신장비(120)로는 서로 다른 여러 소스 IP 주소의 패킷이 수신된다. 그리고 국내측 불법 통신장비(140)와 마찬가로 짧은 시간안에 다량의 호가 발신되기도 하고 호 취소가 발생하기도 한다. 이러한 특성을 기초로, 상기 목적지 IP 주소가 해외측 불법 통신장비(120)의 IP 주소인지를 판단할 수 있다.In one embodiment, the detection unit 174 classifies the VoIP packets collected by the traffic collector for the destination IP address, and the characteristics of the corresponding VoIP packets, for example, the number of source IP addresses, unit time in/out calls If the threshold value is exceeded by analyzing the number of in/out calls canceled per unit time, etc., the corresponding destination IP address is determined to be the IP address of the overseas illegal communication equipment 120. Overseas illegal communication equipment 120 communicates with several domestic illegal communication equipment 140 . Therefore, packets of different source IP addresses are received by the illegal communication equipment 120 on the overseas side. Also, like the domestic illegal communication equipment 140, a large number of calls may be transmitted or canceled within a short period of time. Based on these characteristics, it can be determined whether the destination IP address is the IP address of the overseas illegal communication equipment 120.

이때, 검출부(174)는 상기 목적지 IP 주소의 위치 정보를 분석하여 해당 목적지 IP 주소의 위치가 미리 설정된 위험 지역의 IP 주소인 경우, 임계 조건에 가중치를 적용하여, 해외측 불법 통신장비(120)의 IP 주소로 판단될 가능성을 더 높일 수 있다. 상기 예에서 위험 지역의 IP 주소에 대한 가중치를 두어 임계치를 다르게 적용할 수 있다. 예를 들어 단위 시간 in/out 호 수가 작은 값이라도 목적지 IP 주소의 가중치가 높으면 해외측 불법 통신장비(120)의 IP 주소로 판단될 수 있도록 할 수 있다.At this time, the detection unit 174 analyzes the location information of the destination IP address, and if the location of the destination IP address is an IP address in a preset risk area, a weight is applied to the critical condition to detect illegal overseas communication equipment 120. It is possible to increase the possibility of being judged as an IP address of In the above example, a different threshold may be applied by weighting the IP address of the dangerous area. For example, even if the number of in/out calls per unit time is small, if the weight of the destination IP address is high, it can be determined as the IP address of the illegal communication equipment 120 on the overseas side.

차단부(175)는, 상기 검출부(174)에서 판단된 국내외 불법 통신장비(120, 140)의 IP 주소와 그 IP 주소에 대응하는 신고 전화번호를 블랙리스트에 등록할 수 있다. 또한 차단부(175)는, 국내외 불법 통신장비(120, 140)의 IP 주소 및 이에 대응하는 신고 전화번호에서 발생한 패킷 또는 이동통신 호가 국내 피해자에게 전송되지 않도록 인터넷(130) 및/또는 국내 이동통신망(150)에 관련 정보를 설정하여 차단할 수 있다. 해외 불법 통신장비(120)의 IP 주소를 차단할 경우, 보이스피싱 조직이 국내에 새로운 불법 통신장비(140)를 설치하더라도 해외 불법 통신장비(120)와 통신이 불가하여 새로운 불법 통신장비(140)에 의한 피해를 줄일 수 있다. 또한 차단부(175)는 신고 전화번호에 대해서는 이동통신가입을 이용 정지시키고, 해당 신고 전화번호의 명의로 개통된 다른 전화번호들에 대해서도 이용 정지시킬 수 있다. The blocking unit 175 may register the IP addresses of the domestic and foreign illegal communication devices 120 and 140 determined by the detecting unit 174 and the reporting telephone numbers corresponding to the IP addresses in the blacklist. In addition, the blocking unit 175 blocks the Internet 130 and/or the domestic mobile communication network so that packets or mobile communication calls generated from the IP addresses of the domestic and foreign illegal communication equipment 120 and 140 and the corresponding reporting phone numbers are not transmitted to domestic victims. It can be blocked by setting related information in (150). If the IP address of the illegal overseas communication equipment (120) is blocked, even if the voice phishing organization installs the new illegal communication equipment (140) in Korea, communication with the illegal overseas communication equipment (120) is impossible, so the new illegal communication equipment (140) damage can be reduced. In addition, the blocking unit 175 may stop using the mobile communication subscription for the reporting phone number, and may also stop using other phone numbers opened in the name of the reporting phone number.

도 3은 본 발명의 일 실시예에 따른 불법 통신장비를 탐지하는 방법을 설명하는 흐름도이다.3 is a flowchart illustrating a method of detecting illegal communication equipment according to an embodiment of the present invention.

도 3을 참조하면, 단계 S301에서, 탐지 장치(170)는, 경찰청, 금감원 등으로부터 보이스피싱 등의 불법호 신고 전화번호를 수집한다. Referring to FIG. 3 , in step S301, the detection device 170 collects illegal call reporting phone numbers such as voice phishing from the National Police Agency and the Financial Supervisory Service.

단계 S302에서, 탐지 장치(170)는, 상기 수집된 신고 전화번호가 테스트 대상 전화번호인지 여부를 판단한다. 구체적으로, 탐지 장치(170)는, 상기 수집된 신고 전화번호가 블랙리스트에 등록되어 있는지 여부, 블랙리스트에 등록되어 있다면 유효한지 등을 확인한다. 탐지 장치(170)는, 신고 전화번호가 블랙리스트에 등록되어 있지 않은 신규 전화번호이거나, 블랙리스트에 등록되어 있지만 차단 해제되어 유효한 전화번호인 경우, 테스트 대상 전화번호로 결정할 수 있다. 일 실시예에서, 탐지 장치(170)는, 신고 전화번호에 대한 단말 정보를 확인하고, 신고 전화번호에 대응하는 단말 유형이 자급 단말(OMD: Open Market Device)인 경우에만 최종 테스트 대상 전화번호 결정할 수 있다. In step S302, the detection device 170 determines whether the collected report phone number is a test target phone number. Specifically, the detection device 170 checks whether the collected report phone number is registered in the blacklist, and if registered in the blacklist, whether it is valid. The detection device 170 may determine the phone number to be tested if the reported phone number is a new phone number not registered in the blacklist or a phone number registered in the blacklist but unblocked and valid. In one embodiment, the detection device 170 checks the terminal information for the reporting phone number, and determines the final test target phone number only when the terminal type corresponding to the reporting phone number is an open market device (OMD). can

단계 S303에서, 탐지 장치(170)는, 테스트 대상 전화번호로 결정된 신고 전화번호로 테스트 호를 발생시킨다. 즉 탐지 장치(170)는, 신고 전화번호를 착신 전화번호로 설정하여 테스트 호 패킷을 인터넷(130)을 경유하여 발신한다. 이때, 탐지 장치(170)는, 테스트 호에 테스트 호임을 식별할 수 있는 식별정보를 설정한다. 식별정보는 SIP 헤더(Header)의 사용 가능한 정보(User Agent, Call-ID 등)와 SDP(Session Description Protocol) 속성(Attribute)의 사용 가능한 정보(Owner Username, Session Name emd)를 조합한 다중 정보일 수 있다. In step S303, the detection device 170 generates a test call to the reported phone number determined as the test target phone number. That is, the detection device 170 transmits a test call packet via the Internet 130 by setting the reporting phone number as the destination phone number. At this time, the detection device 170 sets identification information capable of identifying the test call to the test call. Identification information is multiple information that combines available information (User Agent, Call-ID, etc.) of the SIP header and available information (Owner Username, Session Name emd) of SDP (Session Description Protocol) attributes. can

이와 같이 발신된 테스트 호 패킷은 불법 통신장비(140)로 착신되고 불법 통신장비(140)는 인터넷(130)을 경유하여 해외측 불법 통신장비인 호 처리 서버(120)로 전송한다. 그리고 호 처리 서버(120)는 호 응답 패킷을 국내측 불법 통신장비(140)로 회신한다. 이와 같이 테스트 호에 따라 국내측 불법 통신장비(140)와 해외측 불법 통신장비(120)는 호 시그널링을 위한 VoIP 패킷을 송수신하게 되고, 이 과정에서 VoIP 패킷에는 테스트 호 패킷에 설정되었던 식별정보가 유지된다. 따라서, 인터넷(130)을 통해 송수신되는 패킷에서 테스트 호에 대응하는 VoIP 패킷을 식별할 수 있다.The test call packet sent in this way is received by the illegal communication equipment 140, and the illegal communication equipment 140 transmits it to the call processing server 120, which is an overseas illegal communication equipment, via the Internet 130. Then, the call processing server 120 returns the call response packet to the domestic illegal communication equipment 140. In this way, according to the test call, the domestic illegal communication equipment 140 and the overseas illegal communication equipment 120 transmit and receive VoIP packets for call signaling, and in this process, the identification information set in the test call packet is included in the VoIP packet. maintain. Accordingly, a VoIP packet corresponding to a test call may be identified from packets transmitted and received through the Internet 130 .

단계 S304에서, 탐지 장치(170)는, 인터넷(130)에 설치된 트래픽 수집기를 통해 VoIP 패킷을 수집한다. 단계 S305에서, 탐지 장치(170)는, 수집된 VoIP 패킷 중 상기 단계 S303에서 테스트 호에 설정한 식별정보에 매칭되는 VoIP 패킷을 필터링한다. In step S304, the detection device 170 collects VoIP packets through a traffic collector installed in the Internet 130. In step S305, the detection device 170 filters VoIP packets that match the identification information set for the test call in step S303 among the collected VoIP packets.

단계 S306에서, 탐지 장치(170)는, 필터링된 VoIP 패킷 중 국내에서 해외로 전송되는 패킷에서 소스 IP 주소와 목적지 IP 주소를 추출한다. 단계 S307에서, 탐지 장치(170)는, 각 IP 주소별로 상기 트래픽 수집기에서 수집된 VoIP 패킷을 분류한다. In step S306, the detection device 170 extracts a source IP address and a destination IP address from packets transmitted from domestic to overseas among the filtered VoIP packets. In step S307, the detection device 170 classifies the VoIP packets collected by the traffic collector for each IP address.

단계 S308에서, 탐지 장치(170)는, 분류된 각 IP 주소별 VoIP 패킷의 특성을 분석하여 임계 조건을 만족하는지를 판단한다. 이때, 탐지 장치(170)는, 상기 추출된 소스 IP 주소와 목적지 IP 주소를 블랙리스트와 비교하여 블랙리스트에 등록되지 않은 신규 IP 주소인 경우에만 각 IP 주소별로 상기 트래픽 수집기에서 수집된 VoIP 패킷을 분류할 수 있다.In step S308, the detection device 170 determines whether a critical condition is satisfied by analyzing the characteristics of the VoIP packet for each classified IP address. At this time, the detection device 170 compares the extracted source IP address and destination IP address with the blacklist, and collects the VoIP packets collected by the traffic collector for each IP address only when the new IP address is not registered on the blacklist. can be classified.

일 실시예에서, 탐지 장치(170)는, 상기 소스 IP 주소에 대해 상기 트래픽 수집기에서 수집된 VoIP 패킷을 분류하고, 해당 VoIP 패킷들의 특성, 예를 들어 To Number(여기서 Number는 국내 피해자들의 전화번호)의 개수, 단위 시간 In/out 호 수, 단위 시간 In/out 호 취소 수 등을 분석하여 임계치를 초과하는지 확인한다.In one embodiment, the detection device 170 classifies the VoIP packets collected by the traffic collector for the source IP address, and the characteristics of the corresponding VoIP packets, for example, To Number (where Number is the phone number of domestic victims) ), the number of in/out calls in unit time, and the number of cancels in/out calls in unit time, etc., to check if the threshold is exceeded.

일 실시예에서, 탐지 장치(170)는, 상기 목적지 IP 주소에 대해 상기 트래픽 수집기에서 수집된 VoIP 패킷을 분류하고, 해당 VoIP 패킷들의 특성, 예를 들어 소스 IP 주소의 개수, 단위 시간 In/out 호 수, 단위시간 In/out 호 취소 수 등을 분석하여 임계치를 초과하는지 확인한다.In one embodiment, the detection device 170 classifies the VoIP packets collected by the traffic collector for the destination IP address, and the characteristics of the corresponding VoIP packets, for example, the number of source IP addresses, unit time In/out It analyzes the number of calls, the number of in/out call cancellations per unit time, etc., and checks whether it exceeds the threshold.

일 실시예에서, 탐지 장치(170)는, 상기 목적지 IP 주소의 위치 정보를 분석하여 해당 목적지 IP 주소의 위치가 위험 지역의 IP 주소인 경우, 임계 조건에 가중치를 적용할 수 있다. 상기 예에서 위험 지역의 IP 주소에 대한 임계치를 낮게 설정하거나 인공지능 모델을 적용할 경우 가중치 자체를 분석 파라미터로 사용할 수 있다.In one embodiment, the detection device 170 may analyze the location information of the destination IP address and apply a weight to a critical condition when the location of the destination IP address is an IP address in a dangerous area. In the above example, if the threshold for the IP address in the dangerous area is set low or an artificial intelligence model is applied, the weight itself can be used as an analysis parameter.

단계 S309에서, 탐지 장치(170)는, 분류된 각 IP 주소별 VoIP 패킷의 특성이 임계 조건을 만족하는 경우, 해당 IP 주소를 불법 통신장비(120, 140)의 IP 주소로 판정한다. 소스 IP 주소의 VoIP 패킷의 특성이 임계 조건을 만족하는 경우, 해당 소스 IP 주소는 국내측 불법 통신장비(140)의 IP 주소로 판정하고, 목적지 IP 주소의 VoIP 패킷의 특성이 임계 조건을 만족하는 경우, 해당 목적지 IP 주소는 해외측 불법 통신장비(120)의 IP 주소로 판정한다. In step S309, the detection device 170 determines the corresponding IP address as the IP address of the illegal communication devices 120 and 140 when the characteristic of the VoIP packet for each classified IP address satisfies the critical condition. If the characteristics of the VoIP packet of the source IP address satisfy the critical condition, the corresponding source IP address is determined to be the IP address of the domestic illegal communication equipment 140, and the characteristics of the VoIP packet of the destination IP address satisfy the critical condition. In this case, the corresponding destination IP address is determined as the IP address of the overseas illegal communication equipment (120).

단계 S310에서, 탐지 장치(170)는, 국내외 불법 통신장비(120, 140)의 IP 주소 및 이에 대응하는 신고 전화번호에서 발생한 패킷 또는 이동통신 호가 국내 피해자에게 전송되지 않도록 인터넷(130) 및/또는 국내 이동통신망(150)에 관련 정보를 설정하여 차단할 수 있다. 또한, 탐지 장치(170)는, 국내외 불법 통신장비(120, 140)의 IP 주소와 그 IP 주소에 대응하는 신고 전화번호를 블랙리스트에 등록할 수 있다. 또한 탐지 장치(170)는, 신고 전화번호에 대해서는 이동통신가입을 이용 정지시키고, 해당 신고 전화번호의 명의로 개통된 다른 전화번호들에 대해서도 이용 정지시킬 수 있다. In step S310, the detection device 170 is connected to the Internet 130 and / or the Internet 130 and / or to prevent packets or mobile communication calls generated from the IP addresses of the domestic and foreign illegal communication devices 120 and 140 and the corresponding reporting phone numbers from being transmitted to domestic victims. It can be blocked by setting related information in the domestic mobile communication network 150 . In addition, the detection device 170 may register IP addresses of domestic and foreign illegal communication devices 120 and 140 and reporting phone numbers corresponding to the IP addresses in the blacklist. In addition, the detection device 170 may stop using the mobile communication subscription for the reporting phone number, and may also stop using other phone numbers opened in the name of the reporting phone number.

본 명세서는 많은 특징을 포함하는 반면, 그러한 특징은 본 발명의 범위 또는 특허청구범위를 제한하는 것으로 해석되어서는 안 된다. 또한, 본 명세서에서 개별적인 실시예에서 설명된 특징들은 단일 실시예에서 결합되어 구현될 수 있다. 반대로, 본 명세서에서 단일 실시예에서 설명된 다양한 특징들은 개별적으로 다양한 실시예에서 구현되거나, 적절히 결합되어 구현될 수 있다.While this specification contains many features, such features should not be construed as limiting the scope of the invention or the claims. Also, features described in separate embodiments in this specification may be implemented in combination in a single embodiment. Conversely, various features that are described in this specification in a single embodiment may be implemented in various embodiments individually or in combination as appropriate.

도면에서 동작들이 특정한 순서로 설명되었으나, 그러한 동작들이 도시된 바와 같은 특정한 순서로 수행되는 것으로, 또는 일련의 연속된 순서, 또는 원하는 결과를 얻기 위해 모든 설명된 동작이 수행되는 것으로 이해되어서는 안 된다. 특정 환경에서 멀티태스킹 및 병렬 프로세싱이 유리할 수 있다. 아울러, 상술한 실시예에서 다양한 시스템 구성요소의 구분은 모든 실시예에서 그러한 구분을 요구하지 않는 것으로 이해되어야 한다. 상술한 프로그램 구성요소 및 시스템은 일반적으로 단일 소프트웨어 제품 또는 멀티플 소프트웨어 제품에 패키지로 구현될 수 있다.Although actions are described in a particular order in the drawings, it should not be understood that such actions are performed in the specific order as shown, or that the actions are performed in a series of sequential order, or that all described actions are performed to achieve a desired result. . Multitasking and parallel processing can be advantageous in certain circumstances. In addition, it should be understood that the division of various system components in the above-described embodiments does not require such division in all embodiments. The program components and systems described above may generally be implemented as a package in a single software product or multiple software products.

상술한 바와 같은 본 발명의 방법은 프로그램으로 구현되어 컴퓨터로 읽을 수 있는 형태로 기록매체(시디롬, 램, 롬, 플로피 디스크, 하드 디스크, 광자기 디스크 등)에 저장될 수 있다. 이러한 과정은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있으므로 더 이상 상세히 설명하지 않기로 한다.The method of the present invention as described above may be implemented as a program and stored in a recording medium (CD-ROM, RAM, ROM, floppy disk, hard disk, magneto-optical disk, etc.) in a computer-readable form. Since this process can be easily performed by a person skilled in the art to which the present invention belongs, it will not be described in detail.

이상에서 설명한 본 발명은, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니다.The present invention described above is capable of various substitutions, modifications, and changes without departing from the technical spirit of the present invention to those skilled in the art in the technical field to which the present invention belongs, so It is not limited by drawings.

110 : 발신 단말
120 : 호 처리 서버
130 : 인터넷
140 : 불법 통신장비
150 : 이동통신망
160 : 착신 단말
170 : 탐지 장치
171 : 신고 정보 수집부
172 : 판단부
173 : 테스트 호 발생부
174 : 검출부
175 : 차단부110: sending terminal
120: call processing server
130: Internet
140: illegal communication equipment
150: mobile communication network
160: incoming terminal
170: detection device
171: report information collection department
172: judgment unit
173: test call generating unit
174: detection unit
175: blocking part

Claims (20)

불법 통신장비 탐지 장치에 있어서,
불법호 신고 전화번호를 수집하는 수집부;
상기 신고 전화번호에 대한 테스트 호 패킷을 발생시키는 테스트 호 발생부; 및
인터넷에서 수집되는 패킷 중 상기 테스트 호 패킷에 대응하는 패킷에서 IP 주소를 추출하고, 추출된 IP 주소에 대응하는 패킷들의 특성이 임계 조건을 만족할 경우 해당 추출된 IP 주소를 불법 통신장비의 IP 주소로 판단하는 검출부를 포함하는 불법 통신장비 탐지 장치.In the illegal communication equipment detection device,
a collection unit that collects illegal call reporting phone numbers;
a test call generating unit generating a test call packet for the reported phone number; and
An IP address is extracted from a packet corresponding to the test call packet among packets collected from the Internet, and if the characteristics of the packets corresponding to the extracted IP address satisfy a critical condition, the extracted IP address is converted to an IP address of an illegal communication device. Illegal communication equipment detection device including a detection unit for determining. 제1항에 있어서,
상기 테스트 호 발생부는,
상기 테스트 호 패킷에 테스트 호임을 식별할 수 있는 식별정보를 설정하는 것을 특징으로 하는 불법 통신장비 탐지 장치.According to claim 1,
The test call generating unit,
Illegal communication equipment detection device characterized in that for setting the identification information for identifying the test call in the test call packet. 제2항에 있어서,
상기 테스트 호 발생부는,
상기 식별정보로서 SIP(Session Initiation Protocol) 헤더(Header)의 사용 가능한 정보를 특정 패턴 및 특정 값으로 설정하는 것을 특징으로 하는 불법 통신장비 탐지 장치.According to claim 2,
The test call generating unit,
An illegal communication equipment detection device characterized in that for setting usable information of a SIP (Session Initiation Protocol) header as the identification information to a specific pattern and specific value. 제2항에 있어서,
상기 테스트 호 발생부는,
상기 식별정보로서 SDP(Session Description Protocol) 속성(Attribute)의 사용 가능한 정보를 특정 패턴 및 특정 값으로 설정하는 것을 특징으로 하는 불법 통신장비 탐지 장치.According to claim 2,
The test call generating unit,
An illegal communication equipment detection device, characterized in that for setting usable information of a Session Description Protocol (SDP) attribute as the identification information to a specific pattern and specific value. 제2항에 있어서,
상기 테스트 호 발생부는,
상기 식별정보로서 SIP(Session Initiation Protocol) 헤더(Header)의 사용 가능한 정보와 SDP(Session Description Protocol) 속성(Attribute)의 사용 가능한 정보를 조합하여 설정하는 것을 특징으로 하는 불법 통신장비 탐지 장치.According to claim 2,
The test call generating unit,
An illegal communication equipment detection device characterized in that the identification information is set by combining available information of a Session Initiation Protocol (SIP) header and available information of a Session Description Protocol (SDP) attribute. 제2항에 있어서,
상기 검출부는,
인터넷에서 수집되는 패킷 중 상기 식별정보에 매칭되고 국내에서 해외로 전송되는 패킷에서 소스 IP 주소 및 목적지 IP 주소를 추출하고, 각 IP 주소별로 수집되는 패킷들의 특성이 임계 조건을 만족할 경우, 상기 소스 IP 주소는 국내측 불법 통신장비의 IP 주소로, 상기 목적지 IP 주소는 해외측 불법 통신장비의 IP 주소로 판단하는 것을 특징으로 하는 불법 통신장비 탐지 장치.According to claim 2,
The detecting unit,
Among the packets collected from the Internet, a source IP address and a destination IP address are extracted from packets that match the identification information and are transmitted from Korea to overseas, and when the characteristics of the packets collected for each IP address satisfy a critical condition, the source IP address The illegal communication equipment detection device, characterized in that the IP address of the domestic illegal communication equipment and the destination IP address as the IP address of the overseas illegal communication equipment. 제6항에 있어서,
상기 검출부는,
상기 목적지 IP 주소의 위치가 미리 설정된 위험 지역의 IP 주소인 경우, 상기 임계 조건에 가중치를 적용하는 것을 특징으로 하는 불법 통신장비 탐지 장치.According to claim 6,
The detecting unit,
When the location of the destination IP address is an IP address in a preset dangerous area, a weight is applied to the critical condition. 제1항에 있어서,
상기 신고 전화번호가 테스트 대상 전화번호인지 여부를 판단하는 판단부를 더 포함하는 것을 특징으로 하는 불법 통신장비 탐지 장치.According to claim 1,
Illegal communication equipment detection device further comprising a determination unit for determining whether the reported phone number is a test target phone number. 제8항에 있어서,
상기 판단부는,
상기 신고 전화번호가 블랙리스트에 등록되어 있고 상기 신고 전화번호에 대응하는 단말 유형이 자급 단말인 경우 테스트 대상 전화번호로 결정하는 것을 특징으로 하는 불법 통신장비 탐지 장치.According to claim 8,
The judge,
Illegal communication equipment detection device, characterized in that for determining the test target phone number when the report phone number is registered in the blacklist and the terminal type corresponding to the report phone number is a self-sufficient terminal. 제1항 내지 제9항 중 어느 한 항에 있어서,
불법 통신장비의 IP 주소에 대한 패킷을 차단하고 그 IP 주소에 대응하는 신고 전화번호의 통신가입을 이용 정지키시는 차단부를 더 포함하는 것을 특징으로 하는 불법 통신장비 탐지 장치.According to any one of claims 1 to 9,
Illegal communication equipment detection device further comprising a blocking unit for blocking packets for the IP address of illegal communication equipment and stopping using the communication subscription of the reporting phone number corresponding to the IP address. 불법 통신장비를 탐지하는 방법에 있어서,
불법호 신고 전화번호를 수집하는 단계;
상기 신고 전화번호에 대한 테스트 호 패킷을 발생시키는 단계; 및
인터넷에서 수집되는 패킷 중 상기 테스트 호 패킷에 대응하는 패킷에서 IP 주소를 추출하고, 추출된 IP 주소에 대응하는 패킷들의 특성이 임계 조건을 만족할 경우 해당 추출된 IP 주소를 불법 통신장비의 IP 주소로 판단하는 단계를 포함하는 방법.In the method of detecting illegal communication equipment,
Collecting illegal call reporting phone numbers;
generating a test call packet for the reported phone number; and
An IP address is extracted from a packet corresponding to the test call packet among packets collected from the Internet, and if the characteristics of the packets corresponding to the extracted IP address satisfy a critical condition, the extracted IP address is converted to an IP address of an illegal communication device. A method comprising the step of judging. 제1항에 있어서,
상기 발생시키는 단계는,
상기 테스트 호 패킷에 테스트 호임을 식별할 수 있는 식별정보를 설정하는 것을 특징으로 하는 방법.According to claim 1,
The generating step is
and setting identification information capable of identifying a test call in the test call packet. 제12항에 있어서,
상기 발생시키는 단계는,
상기 식별정보로서 SIP(Session Initiation Protocol) 헤더(Header)의 사용 가능한 정보를 특정 패턴 및 특정 값으로 설정하는 것을 특징으로 하는 방법.According to claim 12,
The generating step is
A method characterized in that setting usable information of a Session Initiation Protocol (SIP) header as the identification information to a specific pattern and specific value. 제12항에 있어서,
상기 발생시키는 단계는,
상기 식별정보로서 SDP(Session Description Protocol) 속성(Attribute)의 사용 가능한 정보를 특정 패턴 및 특정 값으로 설정하는 것을 특징으로 하는 방법.According to claim 12,
The generating step is
A method characterized in that setting usable information of a Session Description Protocol (SDP) attribute as the identification information to a specific pattern and specific value. 제12항에 있어서,
상기 발생시는 단계는,
상기 식별정보로서 SIP(Session Initiation Protocol) 헤더(Header)의 사용 가능한 정보와 SDP(Session Description Protocol) 속성(Attribute)의 사용 가능한 정보를 조합하여 설정하는 것을 특징으로 하는 방법.According to claim 12,
At the time of occurrence,
As the identification information, the usable information of a Session Initiation Protocol (SIP) header and the usable information of a Session Description Protocol (SDP) attribute are combined and set. 제12항에 있어서,
상기 판단하는 단계는,
인터넷에서 수집되는 패킷 중 상기 식별정보에 매칭되고 국내에서 해외로 전송되는 패킷에서 소스 IP 주소 및 목적지 IP 주소를 추출하는 단계; 및
각 IP 주소별로 수집되는 패킷들의 특성이 임계 조건을 만족할 경우, 상기 소스 IP 주소는 국내측 불법 통신장비의 IP 주소로, 상기 목적지 IP 주소는 해외측 불법 통신장비의 IP 주소로 판단하는 단계를 포함하는 것을 특징으로 하는 방법.According to claim 12,
The determining step is
Extracting a source IP address and a destination IP address from packets that match the identification information among packets collected from the Internet and are transmitted from Korea to overseas; and
When characteristics of packets collected for each IP address satisfy a critical condition, determining that the source IP address is the IP address of domestic illegal communication equipment and the destination IP address is the IP address of overseas illegal communication equipment. A method characterized by doing. 제16항에 있어서,
상기 목적지 IP 주소의 위치가 미리 설정된 위험 지역의 IP 주소인 경우, 상기 임계 조건에 가중치를 적용하는 것을 특징으로 하는 방법.According to claim 16,
and applying a weight to the critical condition when the location of the destination IP address is an IP address in a preset dangerous area. 제11항에 있어서,
상기 신고 전화번호가 테스트 대상 전화번호인지 여부를 판단하는 단계를 더 포함하는 것을 특징으로 하는 방법.According to claim 11,
The method further comprising the step of determining whether the reported phone number is a test target phone number. 제18항에 있어서,
상기 테스트 대상 전화번호인지 여부를 판단하는 단계는
상기 신고 전화번호가 블랙리스트에 등록되어 있고 상기 신고 전화번호에 대응하는 단말 유형이 자급 단말인 경우 테스트 대상 전화번호로 결정하는 것을 특징으로 하는 방법.According to claim 18,
The step of determining whether the test target phone number is
The method characterized in that if the report phone number is registered in the blacklist and the terminal type corresponding to the report phone number is a self-sufficient terminal, the test target phone number is determined. 제11항 내지 제19항 중 어느 한 항에 있어서,
불법 통신장비의 IP 주소에 대한 패킷을 차단하고 그 IP 주소에 대응하는 신고 전화번호의 통신가입을 이용 정지키시는 단계를 더 포함하는 것을 특징으로 하는 방법.According to any one of claims 11 to 19,
The method further comprising the step of blocking packets for the IP address of the illegal communication equipment and disabling the communication subscription of the reporting telephone number corresponding to the IP address.
KR1020220002807A 2022-01-07 2022-01-07 Apparatus and method for detecting illegal communication device KR20230106985A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020220002807A KR20230106985A (en) 2022-01-07 2022-01-07 Apparatus and method for detecting illegal communication device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020220002807A KR20230106985A (en) 2022-01-07 2022-01-07 Apparatus and method for detecting illegal communication device

Publications (1)

Publication Number Publication Date
KR20230106985A true KR20230106985A (en) 2023-07-14

Family

ID=87155443

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020220002807A KR20230106985A (en) 2022-01-07 2022-01-07 Apparatus and method for detecting illegal communication device

Country Status (1)

Country Link
KR (1) KR20230106985A (en)

Similar Documents

Publication Publication Date Title
US11889021B1 (en) Call screening service for communication devices
US9729727B1 (en) Fraud detection on a communication network
US7512221B2 (en) System and method for the detection and termination of fraudulent services
US9871913B1 (en) Systems and methods to identify ANI and caller ID manipulation for determining trustworthiness of incoming calling party and billing number information
Mustafa et al. You can call but you can't hide: detecting caller id spoofing attacks
CN102075639A (en) Method and device for intercepting malicious call in international service communication network
KR20140023714A (en) Apparatus and method for preventing voice phishing and user terminal for the same
CN106850931A (en) The method and mobile intelligent terminal of Barassment preventing telephone
US20120099711A1 (en) Telecommunication fraud prevention system and method
CN113067947A (en) Anti-fraud solution method and system based on intelligent outbound
KR101945782B1 (en) Method and apparatus for providing illegal phishing call blocking services of VoIP call
CN111901790A (en) Method, device, electronic device and storage medium for identifying telecommunication fraud
KR20230106985A (en) Apparatus and method for detecting illegal communication device
CN109819089B (en) Voiceprint extraction method, core network element, electronic device and storage medium
KR101571100B1 (en) Device and method for detecting illegal originating call by using pattern analysis
KR20150047378A (en) Device of blocking voice phishing calls
Shivankar et al. Comparative analysis on security techniques in VoIP environment
KR20230050977A (en) System and method for detecting caller number tampering terminal used for fraud call
KR101478835B1 (en) The system to prevent voice phishing and its method
KR101379779B1 (en) Caller Information Modulated Voice/Message Phishing Detecting and Blocking Method
EP3726825A1 (en) System and method for detecting fraud in international telecommunication traffic
WO2023238204A1 (en) Processing device, processing system, processing method, and program
CN112040068B (en) False international number identification method, device, equipment and readable storage medium
CN110839113B (en) False incoming call number identification method and device
Gruber et al. Architecture for trapping toll fraud attacks using a voip honeynet approach