JP2006100873A - Sip packet filtering apparatus, network indirect connection apparatus, and sip server - Google Patents

Sip packet filtering apparatus, network indirect connection apparatus, and sip server Download PDF

Info

Publication number
JP2006100873A
JP2006100873A JP2004280850A JP2004280850A JP2006100873A JP 2006100873 A JP2006100873 A JP 2006100873A JP 2004280850 A JP2004280850 A JP 2004280850A JP 2004280850 A JP2004280850 A JP 2004280850A JP 2006100873 A JP2006100873 A JP 2006100873A
Authority
JP
Japan
Prior art keywords
sip
packet
malicious
sequence
attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004280850A
Other languages
Japanese (ja)
Inventor
Takaaki Koyama
高明 小山
Kazuhito Hayashi
和仁 林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2004280850A priority Critical patent/JP2006100873A/en
Publication of JP2006100873A publication Critical patent/JP2006100873A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a technology capable of executing SIP packet filtering against DoS attacks, DDoS attacks or the so-called "one-ring call" attacks at a stage before user terminals. <P>SOLUTION: An SIP packet filtering apparatus records 1 sequence subjected to DoS attacks, DDoS attacks and one-ring call attacks as a prescribed condition, investigates whether a sequence is a suspicious sequence, wherein a passing SIP packet matches with the prescribed condition and whether many suspicious sequences pass in a short period, creates a prescribed list (malicious user list), and transfers the list to an inter-network connection apparatus or an SIP server. <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

本発明は、SIP(Session initiation Protocol)パケットが通過するパケット網間を接続するネットワーク間接続装置またはSIPサーバに利用する。特に、SIPにおけるDoS(Denial
of Service)攻撃、DDoS(Distributed Denial of Service)攻撃、ワンギリ攻撃、無応答攻撃などに利用されるパケットをフィルタリングする技術に関する。 The present invention is used for an inter-network connection device or SIP server for connecting packet networks through which a SIP (Session initiation Protocol) packet passes. In particular, DoS (Denial in SIP
of service) attack, DDoS (Distributed Denial of Service) attack, one-off attack, non-response attack, and the like.

昨今では、インターネットを利用した、いわゆるIP(Internet
Protocol)電話サービスが普及しつつある。IP電話サービスは、インターネット接続した二者間において通信セッションを用意し、電話サービスを提供するというものである。 Nowadays, the so-called IP (Internet)
Protocol) Telephone services are becoming popular. The IP telephone service provides a telephone service by preparing a communication session between two parties connected to the Internet.

IP電話サービスでは交換機を介さず、電話機同士が直接インターネットにより接続されて通信を行うことができる。この際、通信相手を探索するためのサーバとこのサーバとの間で情報をやりとりするためのプロトコルが必要になる。SIPは、そのようなプロトコルの一つである。   In the IP telephone service, communication can be performed by directly connecting telephones via the Internet without using an exchange. At this time, a protocol for exchanging information between the server for searching for a communication partner and the server is required. SIP is one such protocol.

このように交換機を介さない通信では、悪意のユーザによって行われる様々な攻撃を交換機側で排除することができないため、SIP端末自身あるいはネットワーク間接続装置あるいはSIPサーバにおいて、何らかの対策をとることが望まれる。   In this way, in communications not via the exchange, various attacks performed by malicious users cannot be eliminated on the exchange side, so it is desirable to take some measures at the SIP terminal itself, the network connection device or the SIP server. It is.

SIP端末におけるSIPパケットの遮断は、送信元IPアドレスとポート番号、送信先IPアドレスとポート番号、ユーザの認証ID、CALL−IDまたは異常シーケンスかどうかを用いるしかなかった(例えば、非特許文献1参照)。   The blocking of the SIP packet in the SIP terminal has only to use a source IP address and port number, a destination IP address and port number, a user authentication ID, a CALL-ID, or an abnormal sequence (for example, Non-Patent Document 1). reference).

インプレス社のEnterprise watchの記事(2004/3/26)、「インターネット電話のダークサイドを検証 ピアトゥピアを悪用した“ワンギリ”とその対策」、[online]、(株)インプレス、2004年3月26日発行、インターネット電話のワンギリ対策法、[平成16年8月13日検索]、インターネット<URL:http://enterprise.watch.impress.co.jp/cda/network/2004/03/26/1724.html>Impress's Enterprise watch article (2004/3/26), “Verifying the dark side of Internet phones,“ Wangiri ”exploiting peer-to-peer and its countermeasures”, [online], Impress, Inc., March 26, 2004 Issued, Internet Phone Wangi Countermeasures Law, [Retrieved August 13, 2004], Internet <URL: http: // enterprise. watch. impres. co. jp / cda / network / 2004/03/26/1724. html>

しかしながら、このような従来の技術では、次のような問題点があった。   However, such conventional techniques have the following problems.

例えば、SIPのDoS攻撃、DDoS攻撃、大規模ワンギリ攻撃といった短期間内に大量のSIPパケットを送信する攻撃が行われた場合に、正しいシーケンスであっても、特定送信先を攻撃目標とした連続攻撃の回避、または、特定送信元からの連続攻撃の回避が重要となる。   For example, when an attack that sends a large number of SIP packets within a short period of time, such as a SIP DoS attack, DDoS attack, or a large-scale one-time attack, even if the sequence is correct, a specific destination is a continuous attack target. It is important to avoid attacks or avoid continuous attacks from specific sources.

これには、送信元IPアドレスとポート番号、送信先IPアドレスとポート番号、ユーザの認証ID、CALL−IDまたは異常シーケンスに関する情報について1シーケンス毎に監視するのではなく、短い期間内に送受信された特定のSIPシーケンスの回数も用いて、攻撃パケットの特定または攻撃ユーザの特定を行い、攻撃経路上すべてのSIPフィルタリング装置にて特定SIPパケットのフィルタリングまたはキャンセルによる回避が重要である。   For this purpose, the source IP address and port number, destination IP address and port number, user authentication ID, CALL-ID or abnormal sequence information is not monitored for each sequence but sent and received within a short period. It is also important to identify attack packets or attack users using the number of times of a specific SIP sequence, and to avoid by filtering or canceling specific SIP packets in all SIP filtering devices on the attack path.

本発明は、このような課題を解決するためのものであり、SIPパケットのシーケンスおよび送信時間および送信回数に基づき、SIPパケットのフィルタリングまたはキャンセルのための情報を、ネットワーク間接続装置またはSIPサーバまたは他のSIPパケットフィルタリング装置に提供することを目的とする。   The present invention is to solve such a problem, and based on the sequence of SIP packets and the transmission time and the number of transmissions, information for filtering or canceling SIP packets is sent to an inter-network connection device or SIP server or It aims at providing to another SIP packet filtering apparatus.

なお、フィルタリングには、SIPパケットの廃棄またはSIPパケットのエラー返答の双方を含むものとして説明する。   The filtering will be described as including both discarding of the SIP packet or error reply of the SIP packet.

上述した課題を解決するために、本発明のSIPパケットフィルタリング装置は、所定条件(SIP悪意シーケンス情報)および所定リスト(悪意ユーザリスト)を持つことを特徴とする。   In order to solve the above-described problem, the SIP packet filtering device of the present invention is characterized by having a predetermined condition (SIP malicious sequence information) and a predetermined list (malicious user list).

すなわち、DoS攻撃、DDoS攻撃、ワンギリ攻撃、無応答攻撃で行われるSIPにおける1シーケンスを前記所定条件として記録し、本発明のSIPパケットフィルタリング装置を通過するSIPパケットが前記所定条件に合致した疑わしいシーケンスか、さらに、短期間に疑わしいシーケンスが大量に行われたかを調査し、その調査結果に基づき所定リスト(悪意ユーザリスト)を作成し、前記所定リストに該当するSIPパケットのフィルタリングを行う。   That is, one sequence in SIP performed by DoS attack, DDoS attack, one-time attack, and no response attack is recorded as the predetermined condition, and the suspicious sequence in which the SIP packet passing through the SIP packet filtering device of the present invention meets the predetermined condition Further, it is investigated whether a large number of suspicious sequences have been performed in a short period of time, a predetermined list (malicious user list) is created based on the result of the investigation, and SIP packets corresponding to the predetermined list are filtered.

SIPパケットのフィルタリングは、例えば、パケット網に接続し、SIPパケットフィルタリングが実施可能なネットワーク間接続装置またはSIPサーバに本発明のSIPパケットフィルタリング装置を接続し、これらのネットワーク間接続装置またはSIPサーバに対し、本発明のSIPパケットフィルタリング装置からフィルタリングの際に用いる設定情報として前記所定リストを転送することにより行われる。   For SIP packet filtering, for example, the SIP packet filtering device of the present invention is connected to an inter-network connection device or SIP server that is connected to a packet network and can carry out SIP packet filtering, and is connected to these inter-network connection device or SIP server. On the other hand, this is performed by transferring the predetermined list as setting information used in filtering from the SIP packet filtering device of the present invention.

すなわち、本発明の第一の観点はSIPパケットフィルタリング装置であって、本発明の特徴とするところは、SIP悪意シーケンスを識別するための所定条件が記録されたリストおよびこの所定条件を満たす悪意ユーザが記録されたリストと、SIPパケットを受け取って前記リストを参照し当該SIPパケットがSIP悪意シーケンスに関わるSIPパケットであるか否かを判定する手段とを備えたところにある。   That is, the first aspect of the present invention is a SIP packet filtering device, and the feature of the present invention is that a list in which a predetermined condition for identifying a SIP malicious sequence is recorded and a malicious user who satisfies the predetermined condition And a means for receiving the SIP packet and referring to the list to determine whether the SIP packet is a SIP packet related to the SIP malicious sequence.

前記所定条件は、過去に実行された複数のSIP悪意シーケンスに基づき導出された複数のSIP悪意シーケンス例の情報を含み、前記判定する手段は、当該SIPパケットがいずれかの前記SIP悪意シーケンス例に類似するシーケンスの少なくとも一部に関わるSIPパケットであるときに当該SIPパケットをSIP悪意シーケンスに関わるSIPパケットであると判定する手段を含むことが望ましい。   The predetermined condition includes information on a plurality of SIP malicious sequences derived based on a plurality of SIP malicious sequences executed in the past, and the means for determining determines whether the SIP packet is included in any of the SIP malicious sequences. It is desirable to include means for determining that the SIP packet is a SIP packet related to the SIP malicious sequence when the SIP packet is related to at least a part of the similar sequence.

例えば、前記所定条件は、短い所定周期で連続的に繰り返されるDoS攻撃またはDDoS攻撃に関わるSIP悪意シーケンス例の情報を含み、前記判定する手段は、当該SIPパケットが短い所定周期で連続的に繰り返されるシーケンスに関わるSIPパケットであるときに当該SIPパケットをSIP悪意シーケンスに関わるSIPパケットであると判定する手段を含む。これにより、DoS攻撃、DDoS攻撃、ワンギリ攻撃を判定することができる。   For example, the predetermined condition includes information on a DoS attack that is continuously repeated in a short predetermined cycle or an example of a SIP malicious sequence related to a DDoS attack, and the means for determining repeats the SIP packet continuously in a short predetermined cycle. Means for determining that the SIP packet is a SIP packet related to the SIP malicious sequence. Thereby, a DoS attack, a DDoS attack, and a Wangiri attack can be determined.

例えば、前記所定条件は、リンギングからキャンセルまでが短い所定時間内に行われるいわゆるワンギリ攻撃に関わるSIP悪意シーケンス例の情報を含み、前記判定する手段は、当該SIPパケットがリンギングからキャンセルまでが短い所定時間内に行われるシーケンスに関わるSIPパケットであるときに当該SIPパケットをSIP悪意シーケンスに関わるSIPパケットであると判定する手段を含む。これにより、ワンギリ攻撃を判定することができる。   For example, the predetermined condition includes information on an example of a SIP malicious sequence relating to a so-called Wangiri attack that is performed within a short time from ringing to cancellation, and the determining means is a predetermined time from when the SIP packet is short from ringing to cancellation. And a means for determining that the SIP packet is a SIP packet related to a SIP malicious sequence when the SIP packet is related to a sequence performed in time. Thereby, a Wangiri attack can be determined.

例えば、前記所定条件は、リンギングに対する応答が長い所定時間以上経過しても行われないいわゆる無応答攻撃に関わるSIP悪意シーケンス例の情報を含み、前記判定する手段は、当該SIPパケットがリンギングに対する応答が長い所定時間以上経過しても行われないシーケンスに関わるSIPパケットであるときに当該SIPパケットをSIP悪意シーケンスに関わるSIPパケットであると判定する手段を含む。これにより、いわゆる「無応答」による攻撃を判定することができる。なお、「無応答」による攻撃も相手に着信履歴を残し通話を行わない点でワンギリ攻撃の一つの形態である。   For example, the predetermined condition includes information on an example of a SIP malicious sequence related to a so-called no-response attack that is not performed even if a response to ringing is longer than a predetermined time, and the means for determining determines whether the SIP packet is a response to ringing Includes means for determining that the SIP packet is a SIP packet related to the SIP malicious sequence when the SIP packet is related to a sequence that is not performed even after a long predetermined time has elapsed. This makes it possible to determine an attack due to so-called “no response”. Note that the “no response” attack is also a form of a one-off attack in that the incoming call history remains in the other party and no call is made.

また、前記判定する手段の判定結果に基づき前記悪意ユーザが記録されたリストを更新する手段を備えることが望ましい。これにより、新たに発生する悪意ユーザに対処することができると共に、不必要となった記録を削除し、メモリの有効利用を図ることができる。   Moreover, it is desirable to provide means for updating the list in which the malicious user is recorded based on the determination result of the determining means. As a result, it is possible to deal with newly generated malicious users, and to delete unnecessary records and to effectively use the memory.

また、UDP(User Datagram Protocol) またはTCP(Transmission
Control Protocol)パケットフィルタリングまたはSIP(Session Initiation Protocol)パケットフィルタリング機能とSIPパケット転送機能とを有するネットワーク間接続装置またはSIPサーバに接続され、前記判定する手段の判定結果を前記ネットワーク間接続装置または前記SIPサーバに転送する手段が設けられ、この転送する手段は、前記判定する手段の判定結果を当該SIPパケットの拡張領域に埋め込み前記ネットワーク間接続装置または前記SIPサーバに転送する手段を備えることが望ましい。これにより、判定結果をネットワーク間接続装置またはSIPサーバに転送するためのパケットを新たに生成する必要がなく、ネットワーク資源または帯域を有効利用することができる。 Also, UDP (User Datagram Protocol) or TCP (Transmission
Control Protocol) packet filtering or SIP (Session Initiation Protocol) packet filtering function and SIP packet transfer function are connected to an inter-network connection device or SIP server, and the determination result of the determining means is sent to the inter-network connection device or the SIP A means for transferring to the server is provided, and the means for transferring preferably includes means for embedding the determination result of the determining means in the extension area of the SIP packet and transferring the result to the inter-network connection device or the SIP server. Thereby, it is not necessary to newly generate a packet for transferring the determination result to the inter-network connection device or the SIP server, and network resources or bandwidth can be effectively used.

本発明の第二の観点は、本発明のSIPパケットフィルタリング装置から転送された前記判定結果に基づきSIPパケットをフィルタリングする手段を備えたネットワーク間接続装置である。   A second aspect of the present invention is an inter-network connection device provided with means for filtering SIP packets based on the determination result transferred from the SIP packet filtering device of the present invention.

本発明の第三の観点は、本発明のSIPパケットフィルタリング装置から転送された前記判定結果に基づきSIPパケットをキャンセルする手段を備えたSIPサーバである。   A third aspect of the present invention is a SIP server comprising means for canceling a SIP packet based on the determination result transferred from the SIP packet filtering device of the present invention.

本発明によれば、SIPにおけるDoS攻撃、DDoS攻撃、ワンギリ攻撃(無応答攻撃を含む)のパケットをユーザ端末よりも前段にてシーケンスとその回数から判断し、SIPパケットフィルタリングを広範囲に実施することができる。   According to the present invention, SIP packet filtering is performed in a wide range by determining packets of SIP DoS attack, DDoS attack, Wangiri attack (including no response attack) from the sequence and the number of times before the user terminal. Can do.

本発明実施例のSIPパケットフィルタリング装置およびネットワーク間接続装置およびSIPサーバを図1、図3、図5を参照して説明する。図1は本実施例のネットワーク間接続装置に接続されたSIPパケットフィルタリング装置を示す図である。図3は本実施例のSIPサーバに接続されたSIPパケットフィルタリング装置を示す図である。図5は本実施例のSIPパケットフィルタリング装置のブロック構成図である。なお、本実施例では、説明をわかりやすくするために、図5に示すように、ネットワーク間接続装置またはSIPサーバ531と、SIPパケットフィルタリング装置532とをそれぞれ別装置として説明するが、ネットワーク間接続装置またはSIPサーバ531の機能と、SIPパケットフィルタリング装置532の機能とを併せ持った一つの装置として構成することもできる。   A SIP packet filtering device, an inter-network connection device, and a SIP server according to an embodiment of the present invention will be described with reference to FIGS. 1, 3, and 5. FIG. FIG. 1 is a diagram showing a SIP packet filtering device connected to the inter-network connection device of this embodiment. FIG. 3 is a diagram showing a SIP packet filtering device connected to the SIP server of this embodiment. FIG. 5 is a block diagram of the SIP packet filtering device of this embodiment. In this embodiment, for easy understanding, as shown in FIG. 5, the network connection device or SIP server 531 and the SIP packet filtering device 532 are described as separate devices. The device or the SIP server 531 and the SIP packet filtering device 532 may be combined into one device.

本発明のSIPパケットフィルタリング装置は、図1または図3に示すように、UDPまたはTCPパケットフィルタリングまたはSIPパケットフィルタリング機能とSIPパケット転送機能とを有するネットワーク間接続装置131またはSIPサーバ331に接続され、図5に示すように、SIP悪意シーケンスを識別するための所定条件が記録されたリストを含むSIP悪意シーケンス設定データベース536およびこの所定条件を満たす悪意ユーザが記録されたリストを含むSIP悪意シーケンス準備状態データベース534、SIP悪意シーケンスデータベース535−1、攻撃対象リスト535−2、悪意ユーザリスト535−3と、ネットワーク間接続装置131またはSIPサーバ331からのSIPパケットを受け取って前記リストを参照し当該SIPパケットがSIP悪意シーケンスに関わるSIPパケットであるか否かを判定するSIPシーケンス監視処理部533とを備え、このSIPシーケンス監視処理部533は、判定結果をネットワーク間接続装置131またはSIPサーバ331に転送する手段を備える。   The SIP packet filtering device of the present invention is connected to an inter-network connection device 131 or a SIP server 331 having a UDP or TCP packet filtering or SIP packet filtering function and a SIP packet transfer function, as shown in FIG. 1 or FIG. As shown in FIG. 5, a SIP malicious sequence setting database 536 including a list in which a predetermined condition for identifying a SIP malicious sequence is recorded, and a SIP malicious sequence preparation state including a list in which a malicious user satisfying the predetermined condition is recorded. Receiving the database 534, the SIP malicious sequence database 535-1, the attack target list 535-2, the malicious user list 535-3, and the SIP packet from the inter-network connection device 131 or the SIP server 331 A SIP sequence monitoring processing unit 533 that refers to the list and determines whether the SIP packet is a SIP packet related to a SIP malicious sequence, and the SIP sequence monitoring processing unit 533 displays the determination result as an inter-network connection device. 131 or a means for transferring to the SIP server 331.

SIP悪意シーケンス設定データベース536の所定条件は、過去に実行された複数のSIP悪意シーケンスに基づき導出された複数のSIP悪意シーケンス例の情報を含み、SIP悪意シーケンス監視処理部533は、当該SIPパケットがいずれかの前記SIP悪意シーケンス例に類似するシーケンスの少なくとも一部に関わるSIPパケットであるときに当該SIPパケットをSIP悪意シーケンスに関わるSIPパケットであると判定する手段を含む。   The predetermined condition of the SIP malicious sequence setting database 536 includes information on a plurality of SIP malicious sequences derived based on a plurality of SIP malicious sequences executed in the past, and the SIP malicious sequence monitoring processing unit 533 Means for determining that the SIP packet is a SIP packet related to a SIP malicious sequence when the SIP packet is related to at least a part of a sequence similar to any of the above SIP malicious sequence examples.

例えば、SIP悪意シーケンス設定データベース536の所定条件は、短い所定周期で連続的に繰り返されるDoS攻撃またはDDoS攻撃に関わるSIP悪意シーケンス例の情報を含み、SIPシーケンス監視処理部533は、当該SIPパケットが短い所定周期で連続的に繰り返されるシーケンスに関わるSIPパケットであるときに当該SIPパケットをSIP悪意シーケンスに関わるSIPパケットであると判定する手段を含む。   For example, the predetermined condition of the SIP malicious sequence setting database 536 includes information on a DoS attack or a SIP malicious sequence example related to a DDoS attack that is continuously repeated in a short predetermined cycle, and the SIP sequence monitoring processing unit 533 And a means for determining that the SIP packet is a SIP packet related to a SIP malicious sequence when the SIP packet is related to a sequence that is continuously repeated at a short predetermined period.

あるいは、SIP悪意シーケンス設定データベース536の所定条件は、リンギングからキャンセルまでが短い所定時間内に行われるいわゆるワンギリ攻撃に関わるSIP悪意シーケンス例の情報を含み、SIPシーケンス監視処理部533は、当該SIPパケットがリンギングからキャンセルまでが短い所定時間内に行われるシーケンスに関わるSIPパケットであるときに当該SIPパケットをSIP悪意シーケンスに関わるSIPパケットであると判定する手段を含む。   Alternatively, the predetermined condition of the SIP malicious sequence setting database 536 includes information on a SIP malicious sequence example related to a so-called Wangiri attack that is performed within a predetermined period of time from ringing to cancellation, and the SIP sequence monitoring processing unit 533 Includes a means for determining that the SIP packet is a SIP packet related to the SIP malicious sequence when the SIP packet is related to a sequence performed within a predetermined time from ringing to cancellation.

あるいは、SIP悪意シーケンス設定データベース536の所定条件は、リンギングに対する応答が長い所定時間以上経過しても行われないいわゆる無応答攻撃に関わるSIP悪意シーケンス例の情報を含み、SIPシーケンス監視処理部533は、当該SIPパケットがリンギングに対する応答が長い所定時間以上経過しても行われないシーケンスに関わるSIPパケットであるときに当該SIPパケットをSIP悪意シーケンスに関わるSIPパケットであると判定する手段を含む。   Alternatively, the predetermined condition of the SIP malicious sequence setting database 536 includes information on an example of a SIP malicious sequence related to a so-called no-response attack that is not performed even if a response to ringing is longer than a predetermined time, and the SIP sequence monitoring processing unit 533 The SIP packet includes means for determining that the SIP packet is a SIP packet related to a SIP malicious sequence when the SIP packet is a SIP packet related to a sequence that is not performed even if a response to ringing is longer than a predetermined time.

また、SIPシーケンス監視処理部533は、判定結果に基づきSIP悪意シーケンス準備状態データベース534、SIP悪意シーケンスデータベース535−1、攻撃対象リスト535−2、悪意ユーザリスト535−3を更新する手段を備える。   Further, the SIP sequence monitoring processing unit 533 includes means for updating the SIP malicious sequence preparation state database 534, the SIP malicious sequence database 535-1, the attack target list 535-2, and the malicious user list 535-3.

また、SIPシーケンス監視処理部533は、判定結果を当該SIPパケットの拡張領域に埋め込みネットワーク間接続装置またはSIPサーバ531に転送する手段を備える。   The SIP sequence monitoring processing unit 533 includes means for embedding the determination result in the extension area of the SIP packet and transferring it to the inter-network connection device or the SIP server 531.

また、ネットワーク間接続装置131は、SIPパケットフィルタリング装置132から転送された判定結果に基づきSIPパケットをフィルタリングする手段を備える。   Further, the inter-network connection device 131 includes means for filtering the SIP packet based on the determination result transferred from the SIP packet filtering device 132.

また、SIPサーバ331は、SIPパケットフィルタリング装置332から転送された判定結果に基づきSIPパケットをキャンセルする手段を備える。   Further, the SIP server 331 includes means for canceling the SIP packet based on the determination result transferred from the SIP packet filtering device 332.

以下では、本発明の実施の形態を詳細に説明する。   Hereinafter, embodiments of the present invention will be described in detail.

本発明の実施の形態について、図面を参照して説明する。以下、パケット網については、Ethernet(商標登録)上のVLANまたはATM上のVCにて形成されたIP網を指すものであり、VLAN−IDは、Ethernet上のVLANにおけるVLAN−IDを、VCはATMのVPI、VCIの対を指すものとする。   Embodiments of the present invention will be described with reference to the drawings. Hereinafter, the packet network refers to an IP network formed by VLAN on Ethernet (registered trademark) or VC on ATM, and VLAN-ID indicates VLAN-ID in VLAN on Ethernet, and VC indicates It shall refer to a pair of ATM VPI and VCI.

図1に示すように、ネットワーク間接続装置131は、端末101〜10Nが接続されたパケット網150と、端末111〜11Nが接続されたパケット網160の2つ以上のパケット網150、160、170間に位置し、複数のパケット網を接続している。   As shown in FIG. 1, the inter-network connection device 131 includes two or more packet networks 150, 160, and 170, a packet network 150 to which the terminals 101 to 10N are connected and a packet network 160 to which the terminals 111 to 11N are connected. Located between them, it connects multiple packet networks.

また、図3に示すように、SIPサーバ331は、端末301〜30Nが接続されたパケット網など1つ以上のパケット網に接続している。   As shown in FIG. 3, the SIP server 331 is connected to one or more packet networks such as a packet network to which the terminals 301 to 30N are connected.

端末101〜10N、端末111〜11N、端末121〜12N、端末301〜30Nは、VoIP通信をやりとりする前に、SIP信号手順(RFC2541またはRFC3261)に従ってRTP接続を確立する。   The terminals 101 to 10N, the terminals 111 to 11N, the terminals 121 to 12N, and the terminals 301 to 30N establish RTP connections according to the SIP signal procedure (RFC2541 or RFC3261) before exchanging VoIP communication.

以下、図2、図4を用いて、接続の手順を示す。図2は本実施例のSIPパケットフィルタリング装置がネットワーク間接続装置に接続された例を説明するための図である。図4は本実施例のSIPパケットフィルタリング装置がSIPサーバに接続された例を説明するための図である。ここでは、端末201、端末401がそれぞれ端末211、端末411にIPパケットを送信するものとする。   The connection procedure will be described below with reference to FIGS. FIG. 2 is a diagram for explaining an example in which the SIP packet filtering device of this embodiment is connected to an inter-network connection device. FIG. 4 is a diagram for explaining an example in which the SIP packet filtering device of this embodiment is connected to a SIP server. Here, it is assumed that the terminal 201 and the terminal 401 transmit IP packets to the terminal 211 and the terminal 411, respectively.

図2では、ネットワーク間接続装置にてSIPパケットを解析させ、図4では、SIPサーバにてSIPパケットを解析させるため、SIPパケットフィルタリング装置242、442にて次の処理を行う。   In FIG. 2, the SIP packet is analyzed by the inter-network connection device, and in FIG. 4, the SIP packet filtering devices 242 and 442 perform the following processing to analyze the SIP packet by the SIP server.

なお、パケット網はIP網の場合とする。複数パケット網接続は、Ethernet上のVLANにおけるVLAN−IDの書き換えでもよいし、ATMにおけるVPI値、VCI値の書き換えでもよいし、EthernetまたはATMの出力先の物理線を変更する機能でもよい。   It is assumed that the packet network is an IP network. The multi-packet network connection may be a rewrite of VLAN-ID in VLAN on Ethernet, a rewrite of VPI value or VCI value in ATM, or a function of changing physical line of Ethernet or ATM output destination.

図2におけるネットワーク間接続装置231または図4におけるSIPサーバ441の処理の流れを図5を参照して説明する。図5の所定条件536は、SIP悪意シーケンスおよびSIP悪意シーケンス準備状態とSIP悪意シーケンス判断パケットとSIP悪意シーケンス判断時間との3つを定義したSIP悪意シーケンス設定データベースである。   A processing flow of the inter-network connection device 231 in FIG. 2 or the SIP server 441 in FIG. 4 will be described with reference to FIG. The predetermined condition 536 in FIG. 5 is a SIP malicious sequence setting database in which three are defined: a SIP malicious sequence and a SIP malicious sequence preparation state, a SIP malicious sequence determination packet, and a SIP malicious sequence determination time.

図14、図15、図16、図17はそれぞれSIP悪意シーケンスの例を示す図であるが、SIP悪意シーケンス設定データベース536には、図14〜図17に示したようなSIP悪意シーケンス例のパターンが記録されており、ネットワーク間接続装置またはSIPサーバ531から受信したSIPパケットのそれぞれについて、当該SIP悪意シーケンス例に該当するか否かを分析する。   14, 15, 16, and 17 are diagrams showing examples of SIP malicious sequences. The SIP malicious sequence setting database 536 includes patterns of SIP malicious sequences as shown in FIGS. 14 to 17. Is recorded, and whether each of the SIP packets received from the inter-network connection device or the SIP server 531 corresponds to the SIP malicious sequence example is analyzed.

また、図9はSIP悪意シーケンスレベル表を示す図であるが、この表には、SIP悪意シーケンスが連続した回数が記録されると共に、この回数に基づき算出された悪意レベル点数が記録される。   FIG. 9 is a diagram showing a SIP malicious sequence level table. In this table, the number of consecutive SIP malicious sequences is recorded, and the malicious level score calculated based on this number is recorded.

ちなみに、図14のSIP悪意シーケンス例1は、いわゆる「ワンギリ攻撃」の例であり、端末511が端末501からの呼び出し(180Ringing2−5、2−6)を受けてから端末501が呼び出しを止める(Cancel3−1、3−3:SIP悪意シーケンス判断パケット)までの間がSIP悪意シーケンス判断時間(秒)以内であり、これにより端末501は端末511との通話を行う意志が無いことは明白であり、ワンギリが行われたことが判定できる。   Incidentally, the SIP malicious sequence example 1 in FIG. 14 is an example of a so-called “one attack”, and the terminal 501 stops calling after the terminal 511 receives a call from the terminal 501 (180 Ringing 2-5, 2-6) ( It is obvious that the period up to Cancel 3-1 and 3-3: SIP malicious sequence determination packet) is within the SIP malicious sequence determination time (seconds), and thus the terminal 501 has no intention to make a call with the terminal 511. It can be determined that Wangiri has been performed.

また、図15のSIP悪意シーケンス例2も「ワンギリ攻撃」の例であり、端末511が端末501からの呼び出し(180Ringing2−5、2−6)を受け、端末511が受話器をオフフック(200OK2−7、2−8)させた直後に、端末501は受話器をオンフック(BYE3−3、3−4:SIP悪意シーケンス判断パケット)させており、端末511が呼び出しを受けてから端末501が受話器をオンフックするまでの間がSIP悪意シーケンス判断時間(秒)以内であり、これによりワンギリが行われたことが判定できる。   In addition, the SIP malicious sequence example 2 in FIG. 15 is also an example of the “one-handed attack”. The terminal 511 receives a call (180 Ringing 2-5, 2-6) from the terminal 501, and the terminal 511 takes the handset off-hook (200OK2-7). 2-8) Immediately after the terminal 501 is placed, the terminal 501 is on-hook (BYE3-3, 3-4: SIP malicious sequence determination packet), and after the terminal 511 receives a call, the terminal 501 on-hooks the receiver. The period up to is within the SIP malicious sequence determination time (seconds), and it can be determined that the last one has been performed.

また、図16のSIP悪意シーケンス例3は、いわゆる「無応答攻撃」の例であり、これもワンギリ攻撃の一形態である。図16の例では、端末511が端末501からの呼び出し(180Ringing2−5、2−6)を受けて受話器をオフフック(200OK2−7、2−8)させてから以降、SIP悪意シーケンス判断時間(秒)以上無応答であり、これにより「無応答攻撃」が行われたことが判定できる。   Also, the SIP malicious sequence example 3 in FIG. 16 is an example of a so-called “no-response attack”, which is also a form of a one-off attack. In the example of FIG. 16, after the terminal 511 receives a call (180 Ringing 2-5, 2-6) from the terminal 501, and takes the receiver off-hook (200 OK 2-7, 2-8), the SIP malicious sequence determination time (seconds) ) As described above, there is no response, and it can be determined that a “no response attack” has been performed.

また、図17のSIP悪意シーケンス例4はDoS攻撃またはDDoS攻撃の例であり、200OK2−2とRegister3−1(SIP悪意シーケンス判断パケット)との間がSIP悪意シーケンス判断時間(秒)以内であり、これによりDoS攻撃またはDDoS攻撃が行われたことが判定できる。正常なシーケンスでは、200OK2−2とRegister3−1との間は、数分の間隔が空く。   In addition, SIP malicious sequence example 4 in FIG. 17 is an example of a DoS attack or DDoS attack, and the interval between 200 OK2-2 and Register 3-1 (SIP malicious sequence determination packet) is within the SIP malicious sequence determination time (seconds). Thus, it can be determined that a DoS attack or a DDoS attack has been performed. In a normal sequence, there is an interval of several minutes between 200OK2-2 and Register3-1.

なお、SIP悪意シーケンス準備状態とは、SIP悪意シーケンスの途中段階のシーケンスを意味し、SIP悪意シーケンス判断パケットは、SIP悪意シーケンス準備状態からSIP悪意シーケンスと判断するためのパケットを意味し、SIP悪意シーケンス判断時間とは、SIP悪意シーケンスと判定されるための、SIP悪意シーケンス準備状態の特定パケットからSIP悪意シーケンス判断パケットまでの最長時間を意味する。   The SIP malicious sequence preparation state means a sequence in the middle of the SIP malicious sequence, and the SIP malicious sequence determination packet means a packet for determining the SIP malicious sequence from the SIP malicious sequence preparation state. The sequence determination time means the longest time from the specific packet in the SIP malicious sequence preparation state to the SIP malicious sequence determination packet for determining the SIP malicious sequence.

SIP悪意シーケンス判断パケットであっても、SIP悪意シーケンス判断時間内に送信されなかった場合は、SIP悪意シーケンスではなく正常シーケンスと判断し、SIP悪意シーケンス準備状態ではないと判断される。   Even if the SIP malicious sequence determination packet is not transmitted within the SIP malicious sequence determination time, it is determined that the sequence is not a SIP malicious sequence but a normal sequence, and it is determined that the SIP malicious sequence is not ready.

また、図10はSIP悪意シーケンス準備状態データベース534を示す図であるが、図5のSIP悪意シーケンス準備状態データベース534は、図10に示すとおり、所定条件536を基にやりとりされるSIPパケットからSIP悪意シーケンスの可能性のあるシーケンスを蓄積したデータベースである。   10 is a diagram showing the SIP malicious sequence preparation state database 534. As shown in FIG. 10, the SIP malicious sequence preparation state database 534 includes SIP packets exchanged from SIP packets exchanged based on a predetermined condition 536. This is a database that stores sequences that may be malicious sequences.

また、図11はSIP悪意シーケンスデータベース535−1を示す図であり、図12は攻撃対象リスト535−2を示す図であり、図13は悪意ユーザリスト535−3を示す図であるが、図5の悪意ユーザが記録されたリスト535は、図11のSIP悪意シーケンスを蓄積したSIP悪意シーケンスデータベース535−1と、図12の攻撃対象リスト535−2、図13の悪意ユーザリスト535−3の3つからなるデータベースである。   11 is a diagram showing the SIP malicious sequence database 535-1, FIG. 12 is a diagram showing the attack target list 535-2, and FIG. 13 is a diagram showing the malicious user list 535-3. The list 535 in which five malicious users are recorded includes the SIP malicious sequence database 535-1 in which the SIP malicious sequences in FIG. 11 are accumulated, the attack target list 535-2 in FIG. 12, and the malicious user list 535-3 in FIG. It is a database consisting of three.

図5のネットワーク間接続装置またはSIPサーバ531では、端末501から端末511に向けたSIPパケットを受信すると、SIPパケットフィルタリング装置532のSIPシーケンス監視処理部533に転送する。   When the SIP packet from the terminal 501 to the terminal 511 is received, the inter-network connection device or the SIP server 531 in FIG. 5 transfers the SIP packet to the SIP sequence monitoring processing unit 533 of the SIP packet filtering device 532.

次に、図6を参照して図5のSIPパケットフィルタリング装置532のSIPシーケンス監視処理部533の処理フローを説明する。図6は、図5のSIPパケットフィルタリング装置532のSIPシーケンス監視処理部533の処理フローを示す図である。SIPシーケンス監視処理部533は、まず、このパケットのSIP拡張領域から情報を取得し、攻撃対象リスト535−2、悪意ユーザリスト535−3にて該当エントリを探し出し、SIP悪意レベル点数が535−2、535−3の該当エントリより大きな値の場合は、535−2、535−3に代入する。   Next, a processing flow of the SIP sequence monitoring processing unit 533 of the SIP packet filtering device 532 of FIG. 5 will be described with reference to FIG. FIG. 6 is a diagram showing a processing flow of the SIP sequence monitoring processing unit 533 of the SIP packet filtering device 532 of FIG. First, the SIP sequence monitoring processing unit 533 acquires information from the SIP extension area of this packet, searches for the corresponding entry in the attack target list 535-2 and the malicious user list 535-3, and the SIP malicious level score is 535-2. When the value is larger than the corresponding entry of 535-3, the value is substituted into 535-2 and 535-3.

該当エントリがない場合は、535−2、535−3にエントリを作成した上で、SIP悪意レベル点数を代入する。   If there is no corresponding entry, an entry is created in 535-2 and 535-3, and the SIP malicious level score is substituted.

次に、書き換えられた535−2、535−3のエントリの中から悪意レベル点数の一定点数以上のエントリを対象に、このパケットが該当するかを分析する。   Next, it is analyzed whether or not this packet is applicable to the entries of the rewritten 535-2 and 535-3 that have a certain number of malicious level points or more.

このパケットが該当する場合には、悪意あるパケットと位置付けられ、SIPキャンセルパケットまたはSIPエラー返答パケットを作成し、SIPパケット拡張領域に535−2、535−3の一定の点数以上のエントリを暗号化して埋め込んだ上で、ネットワーク間接続装置またはSIPサーバ531に返却し、ネットワーク間接続装置またはSIPサーバ531にて、パケット廃棄またはこのパケットのIPヘッダ上の送信IPアドレスおよびポート番号に対して、SIPパケットフィルタリング監視処理部533が作成したSIPキャンセルパケットまたはSIPエラー返答パケットを返却する。   If this packet is applicable, it is positioned as a malicious packet, and a SIP cancel packet or SIP error response packet is created, and entries of a certain score of 535-2 and 535-3 are encrypted in the SIP packet extension area. And embedded in the network connection device or SIP server 531, and the network connection device or SIP server 531 discards the packet or sends the packet to the transmission IP address and port number on the IP header of the packet. The SIP cancellation packet or SIP error response packet created by the packet filtering monitoring processing unit 533 is returned.

このパケットが該当しない場合は、SIP悪意シーケンスまたはSIP悪意シーケンス準備状態か、全く悪意のないシーケンスかを判断する。   If this packet does not apply, it is determined whether the SIP malicious sequence, the SIP malicious sequence preparation state, or a sequence that is not malicious at all.

判断には、このパケットのCALL−ID、送信元情報、送信先情報を一組にしてSIP悪意シーケンス準備状態データベース534の該当エントリを検索し、SIP悪意シーケンス設定データベース536と照らし合わせて判断する。   The determination is made by searching the corresponding entry in the SIP malicious sequence preparation state database 534 with the CALL-ID, the transmission source information, and the transmission destination information of this packet as a set and making a determination against the SIP malicious sequence setting database 536.

なお、SIP悪意シーケンス準備状態データベース534に該当エントリが存在しない場合は、SIP悪意シーケンス設定データベース536の全てのシーケンス例の最初のパケットの可能性があるため、該当するSIP悪意シーケンス例がないかを照らし合わせて判断する。   If there is no corresponding entry in the SIP malicious sequence preparation state database 534, there is a possibility of the first packet of all the sequence examples in the SIP malicious sequence setting database 536, and therefore there is no corresponding SIP malicious sequence example. Judging by checking.

SIP悪意シーケンス準備状態、SIP悪意シーケンスのいずれでもないと判断された場合は、SIP悪意シーケンス準備状態データベース534から、CALL−ID、送信元情報、送信先情報を組みに合致するエントリの削除を行い。このパケットをネットワーク間接続装置またはSIPサーバ531に転送し、このパケットのIPヘッダの転送先に転送する。   If it is determined that neither the SIP malicious sequence preparation state nor the SIP malicious sequence is determined, the entry matching the CALL-ID, transmission source information, and transmission destination information is deleted from the SIP malicious sequence preparation state database 534. . This packet is transferred to the inter-network connection device or SIP server 531 and transferred to the transfer destination of the IP header of this packet.

SIP悪意シーケンス準備状態またはSIP悪意シーケンスの可能性有りと判断されたものについては、SIP悪意シーケンス準備状態かSIP悪意シーケンスかを判断する。このパケットがSIP悪意シーケンス判断パケットでなければ、SIP悪意シーケンス準備状態である。   If it is determined that there is a possibility of SIP malicious sequence preparation state or SIP malicious sequence, it is determined whether it is SIP malicious sequence preparation state or SIP malicious sequence. If this packet is not a SIP malicious sequence determination packet, it is a SIP malicious sequence preparation state.

このパケットがSIP悪意シーケンス判断パケットであれば、SIP悪意シーケンス判断時間以内にパケットが送信されたか否かを判断し、SIP悪意シーケンス判断時間を越えていればSIP悪意シーケンスではなく、悪意のないSIPシーケンス、SIP悪意シーケンス判断時間以内に送信されていれば、SIP悪意シーケンスと判断される。   If this packet is a SIP malicious sequence determination packet, it is determined whether or not the packet is transmitted within the SIP malicious sequence determination time. If the SIP malicious sequence determination time is exceeded, the SIP malicious sequence is not a SIP malicious sequence but a non-malicious SIP. If the sequence is transmitted within the SIP malicious sequence determination time, it is determined as the SIP malicious sequence.

SIP悪意シーケンス準備状態と判断された場合には、SIP悪意シーケンス準備状態534データベースのエントリ情報を更新し、このパケットのSIPパケット拡張領域に535−2、535−3の一定の点数以上のエントリを暗号化して埋め込んだ上で、ネットワーク間接続装置またはSIPサーバ531に転送し、このパケットのIPヘッダの転送先に転送する。   If it is determined that the SIP malicious sequence preparation state is determined, the entry information in the SIP malicious sequence preparation state 534 database is updated, and entries of a certain number of points 535-2 and 535-3 are added to the SIP packet extension area of this packet. After being encrypted and embedded, it is transferred to the inter-network connection device or SIP server 531 and transferred to the transfer destination of the IP header of this packet.

悪意のないSIPシーケンスと判断された場合は、SIP悪意シーケンス準備状態534データベースよりエントリを削除し、このパケットのSIPパケット拡張領域に535−2、535−3の一定の点数以上のエントリを暗号化して埋め込んだ上で、ネットワーク間接続装置またはSIPサーバ531に転送し、このパケットのIPヘッダの転送先に転送する。   If it is determined that the SIP sequence is not malicious, the entry is deleted from the SIP malicious sequence preparation state 534 database, and entries of a certain score of 535-2 and 535-3 are encrypted in the SIP packet extension area of this packet. Then, the packet is transferred to the inter-network connection device or the SIP server 531 and transferred to the transfer destination of the IP header of this packet.

SIP悪意シーケンスと判断された場合は、図8のような特定対象への攻撃(多対1攻撃)か否かの判断を行う。図8は多対1攻撃(特定対象への攻撃)例を示す図である。SIP悪意シーケンスデータベース535−1においてこのパケットの送信先認証IDに該当するエントリを検索し、検索結果の最新時刻と、このパケットの到着時刻との差が規定秒以内か否かを調査し、規定秒以内ならば攻撃、規定秒を越えていれば非攻撃、SIP悪意シーケンスデータベース535−1にエントリがない場合は、攻撃か否かは不明とする。   If the SIP malicious sequence is determined, it is determined whether or not the attack is on a specific target (many-to-one attack) as shown in FIG. FIG. 8 is a diagram illustrating an example of a many-to-one attack (attack on a specific target). The entry corresponding to the transmission destination authentication ID of this packet is searched in the SIP malicious sequence database 535-1, and it is investigated whether or not the difference between the latest time of the search result and the arrival time of this packet is within a specified second. If it is within seconds, it is an attack, if it exceeds the specified seconds, it is non-attack, and if there is no entry in the SIP malicious sequence database 535-1, it is unclear whether it is an attack.

攻撃の場合は、535−1を書き換えた上で、このパケットと同じ攻撃対象認証ID、攻撃元認証IDのエントリを検索し、535−1を検索して出てきた全てのエントリのSIP悪意レベル点数を、SIP悪意シーケンスレベル表を用いて、SIP悪意レベル点数*回数にて計算する。そして、計算して出たSIP悪意レベル点数を全て加算した上で、攻撃対象リスト535−2の該当エントリを書き換える。もし、535−2に該当エントリがない場合は、新規にて作成した上で、SIP悪意レベル点数を代入する。   In the case of an attack, after rewriting 535-1, the entry of the same attack target authentication ID and attack source authentication ID as this packet is searched, and the SIP malicious level of all entries that come out by searching for 535-1 The score is calculated as SIP malicious level score * number of times using the SIP malicious sequence level table. Then, after adding all the calculated SIP malicious level scores, the corresponding entry in the attack target list 535-2 is rewritten. If there is no corresponding entry in 535-2, it is newly created and the SIP malicious level score is substituted.

非攻撃の場合は、535−1を書き換えた上で、このパケットと同じ攻撃対象認証ID、攻撃元認証IDのエントリを検索し、535−1を検索して出てきた全てのエントリのSIP悪意レベル点数を、SIP悪意シーケンスレベル表を用いて、SIP悪意レベル点数*回数にて再計算する。そして、計算して出たSIP悪意レベル点数を全て加算した上で、攻撃対象リスト535−2の該当エントリを書き換える。なお、書き換えた結果が、SIP悪意レベル点数0点の場合は、エントリ自体を削除する。不明の場合は、535−1の新規作成を行うのみとする。   In the case of a non-attack, after rewriting 535-1, the entry of the same attack target authentication ID and attack source authentication ID as this packet is searched, and the SIP maliciousness of all entries that come out by searching for 535-1 The level score is recalculated as SIP malicious level score * number of times using the SIP malicious sequence level table. Then, after adding all the calculated SIP malicious level scores, the corresponding entry in the attack target list 535-2 is rewritten. If the rewritten result is a SIP malicious level score of 0, the entry itself is deleted. If it is unknown, only 535-1 is newly created.

次に、図7のようなこのパケットが特定送信元からの攻撃(1対多攻撃)か否かの判断を行う。図7は1対多攻撃(特定送信元からの攻撃)例を示す図である。SIP悪意シーケンスデータベース535−1においてこのパケットの送信先認証IDに該当するエントリを検索し、検索結果の最新時刻と、このパケットの到着時刻との差が規定秒以内か否かを調査し、規定秒以内ならば攻撃、規定秒を越えていれば非攻撃、SIP悪意シーケンスデータベース535−1にエントリがない場合は、攻撃か否かは不明とする。   Next, it is determined whether or not this packet as shown in FIG. 7 is an attack from a specific transmission source (one-to-many attack). FIG. 7 is a diagram illustrating an example of a one-to-many attack (attack from a specific transmission source). The entry corresponding to the transmission destination authentication ID of this packet is searched in the SIP malicious sequence database 535-1, and it is investigated whether or not the difference between the latest time of the search result and the arrival time of this packet is within a specified second. If it is within seconds, it is an attack, if it exceeds the specified seconds, it is non-attack, and if there is no entry in the SIP malicious sequence database 535-1, it is unclear whether it is an attack.

攻撃の場合は、535−1を書き換えた上で、このパケットと同じ攻撃対象認証ID、攻撃元認証IDのエントリを検索し、535−1を検索して出てきた全てのエントリのSIP悪意レベル点数を、SIP悪意シーケンスレベル表を用いて、SIP悪意レベル点数*回数にて計算する。そして、計算して出たSIP悪意レベル点数を全て加算した上で、攻撃対象リスト535−2の該当エントリを書き換える。もし、535−3に該当エントリがない場合は、新規にて作成した上で、SIP悪意レベル点数を代入する。   In the case of an attack, after rewriting 535-1, the entry of the same attack target authentication ID and attack source authentication ID as this packet is searched, and the SIP malicious level of all entries that come out by searching for 535-1 The score is calculated as SIP malicious level score * number of times using the SIP malicious sequence level table. Then, after adding all the calculated SIP malicious level scores, the corresponding entry in the attack target list 535-2 is rewritten. If there is no corresponding entry in 535-3, it is newly created and the SIP malicious level score is substituted.

非攻撃の場合は、535−1を書き換えた上で、このパケットと同じ攻撃対象認証ID、攻撃元認証IDのエントリを検索し、535−1を検索して出てきた全てのエントリのSIP悪意レベル点数を、SIP悪意シーケンスレベル表を用いて、SIP悪意レベル点数*回数にて計算する。そして、計算して出たSIP悪意レベル点数を全て加算した上で、攻撃対象リスト535−3の該当エントリを書き換える。なお、書き換えた結果が、SIP悪意レベル点数0点の場合は、エントリ自体を削除する。不明の場合は、535−1の新規作成を行うのみとする。   In the case of a non-attack, after rewriting 535-1, the entry of the same attack target authentication ID and attack source authentication ID as this packet is searched, and the SIP maliciousness of all entries that come out by searching for 535-1 The level score is calculated as SIP malicious level score * number of times using the SIP malicious sequence level table. Then, after adding all the calculated SIP malicious level scores, the corresponding entry in the attack target list 535-3 is rewritten. If the rewritten result is a SIP malicious level score of 0, the entry itself is deleted. If it is unknown, only 535-1 is newly created.

次に、ネットワーク間接続装置またはSIPサーバ531にてパケットフィルタリング設定を行う場合は、535−1、535−2、535−3の情報から、設定可能な情報を抽出した上で、設定ファイルを作成し、531に転送する。なお、SIPの送信元アドレスおよびポート番号または送信先アドレスおよびポート番号が送信元認証IDまたは送信先認証IDから不明な場合は、設定情報の抽出は行わない。   Next, when performing packet filtering setting in the inter-network connection device or the SIP server 531, the setting file is created after extracting settable information from the information of 535-1, 535-2, 535-3. And transfer to 531. If the SIP transmission source address and port number or transmission destination address and port number are unknown from the transmission source authentication ID or transmission destination authentication ID, the setting information is not extracted.

それから、SIP悪意シーケンス準備状態データベース534から、このパケットと同じCALL−ID、送信元認証ID、送信先認証IDのエントリを検索し、削除する。   Then, an entry of the same CALL-ID, transmission source authentication ID, and transmission destination authentication ID as this packet is searched from the SIP malicious sequence preparation state database 534 and deleted.

最後に、このパケットのSIPパケット拡張領域に535−2、535−3の一定の点数以上のエントリを暗号化して埋め込んだ上で、ネットワーク間接続装置またはSIPサーバ531に転送し、このパケットのIPヘッダの転送先に転送する。これにより図14〜図17に示したSIP悪意シーケンス例を本発明により防ぐことができる。   Finally, after encrypting and embedding entries of a certain number of points 535-2 and 535-3 in the SIP packet extension area of this packet, it is transferred to the inter-network connection device or SIP server 531 and the IP of this packet Transfer to the header destination. Accordingly, the SIP malicious sequence examples shown in FIGS. 14 to 17 can be prevented by the present invention.

本発明によれば、SIPにおけるDoS攻撃、DDoS攻撃、ワンギリ攻撃(無応答攻撃を含む)のパケットをユーザ端末よりも前段にてシーケンスとその回数から判断し、SIPパケットフィルタリングを広範囲に実施することができるので、例えば、IP電話利用者をこれらの攻撃から守ることができる。   According to the present invention, SIP packet filtering is performed in a wide range by determining packets of SIP DoS attack, DDoS attack, Wangiri attack (including no response attack) from the sequence and the number of times before the user terminal. Therefore, for example, IP telephone users can be protected from these attacks.

本実施例のネットワーク間接続装置に接続されたSIPパケットフィルタリング装置を示す図。The figure which shows the SIP packet filtering apparatus connected to the internetwork connection apparatus of a present Example. 本実施例のSIPパケットフィルタリング装置がネットワーク間接続装置に接続された例を説明するための図。The figure for demonstrating the example by which the SIP packet filtering apparatus of a present Example was connected to the connection apparatus between networks. 本実施例のSIPサーバに接続されたSIPパケットフィルタリング装置を示す図。The figure which shows the SIP packet filtering apparatus connected to the SIP server of a present Example. 本実施例のSIPパケットフィルタリング装置がSIPサーバに接続された例を説明するための図。The figure for demonstrating the example by which the SIP packet filtering apparatus of a present Example was connected to the SIP server. 本実施例のSIPパケットフィルタリング装置のブロック構成図。The block block diagram of the SIP packet filtering apparatus of a present Example. SIPシーケンス監視処理部の処理フローを示す図。The figure which shows the processing flow of a SIP sequence monitoring process part. 1対多攻撃(特定送信元からの攻撃)例を示す図。The figure which shows the example of one-to-many attack (attack from a specific transmission source). 多対1攻撃(特定対象への攻撃)例を示す図。The figure which shows an example of many-to-one attack (attack to a specific object). SIP悪意シーケンスレベル表を示す図。The figure which shows a SIP malicious sequence level table | surface. SIP悪意シーケンス準備状態データベースを示す図。The figure which shows a SIP malicious sequence preparation state database. SIP悪意シーケンスデータベースを示す図。The figure which shows a SIP malicious sequence database. 攻撃対象リストを示す図。The figure which shows an attack target list. 悪意ユーザリストを示す図。The figure which shows a malicious user list. SIP悪意シーケンス例1を示す図。The figure which shows the SIP malicious sequence example 1. FIG. SIP悪意シーケンス例2を示す図。The figure which shows the SIP malicious sequence example 2. FIG. SIP悪意シーケンス例3を示す図。The figure which shows the SIP malicious sequence example 3. FIG. SIP悪意シーケンス例4を示す図。The figure which shows the SIP malicious sequence example 4.

符号の説明Explanation of symbols

101〜10N、111〜11N、121〜12N、201、211、301〜30N、401、411、501、511 端末
150、160、170、250、260、270、350、450 パケット網
131、231、241 ネットワーク間接続装置
132、142、232、242、332、432、442、532 SIPパケットフィルタリング装置
331、431、441 SIPサーバ
531 ネットワーク間接続装置またはSIPサーバ
533 SIPシーケンス監視処理部
534 SIP悪意シーケンス準備状態データベース
535 悪意ユーザが記録されたリスト
535−1 SIP悪意シーケンスデータベース
535−2 攻撃対象リスト
535−3 悪意ユーザリスト
536 SIP悪意シーケンス設定データベース 101-10N, 111-11N, 121-12N, 201, 211, 301-30N, 401, 411, 501, 511 Terminals 150, 160, 170, 250, 260, 270, 350, 450 Packet networks 131, 231, 241 Network connection device 132, 142, 232, 242, 332, 432, 442, 532 SIP packet filtering device 331, 431, 441 SIP server 531 Network connection device or SIP server 533 SIP sequence monitoring processing unit 534 SIP malicious sequence preparation state Database 535 Malicious user recorded list 535-1 SIP malicious sequence database 535-2 Attack target list 535-3 Malicious user list 536 SIP malicious sequence setting database

Claims (6)

SIP悪意シーケンスを識別するための所定条件が記録されたリストおよびこの所定条件を満たす悪意ユーザが記録されたリストと、
SIPパケットを受け取って前記リストを参照し当該SIPパケットがSIP悪意シーケンスに関わるSIPパケットであるか否かを判定する手段と
を備えたSIPパケットフィルタリング装置。 A list in which predetermined conditions for identifying a SIP malicious sequence are recorded, and a list in which malicious users who satisfy the predetermined conditions are recorded;
A SIP packet filtering device comprising: means for receiving a SIP packet and determining whether the SIP packet is a SIP packet related to a SIP malicious sequence by referring to the list. 前記所定条件は、過去に実行された複数のSIP悪意シーケンスに基づき導出された複数のSIP悪意シーケンス例の情報を含み、
前記判定する手段は、当該SIPパケットがいずれかの前記SIP悪意シーケンス例に類似するシーケンスの少なくとも一部に関わるSIPパケットであるときに当該SIPパケットをSIP悪意シーケンスに関わるSIPパケットであると判定する手段を含む
請求項1記載のSIPパケットフィルタリング装置。 The predetermined condition includes information on a plurality of SIP malicious sequences derived based on a plurality of SIP malicious sequences executed in the past,
The determining unit determines that the SIP packet is a SIP packet related to a SIP malicious sequence when the SIP packet is a SIP packet related to at least a part of a sequence similar to any of the SIP malicious sequence examples. The SIP packet filtering device according to claim 1, comprising means. 前記判定する手段の判定結果に基づき前記悪意ユーザが記録されたリストを更新する手段を備えた請求項1記載のSIPパケットフィルタリング装置。   The SIP packet filtering device according to claim 1, further comprising means for updating a list in which the malicious user is recorded based on a determination result of the determining means. UDP(User Datagram Protocol) またはTCP(Transmission
Control Protocol)パケットフィルタリングまたはSIP(Session Initiation Protocol)パケットフィルタリング機能とSIPパケット転送機能とを有するネットワーク間接続装置またはSIPサーバに接続され、
前記判定する手段の判定結果を前記ネットワーク間接続装置または前記SIPサーバに転送する手段が設けられ、
この転送する手段は、前記判定する手段の判定結果を当該SIPパケットの拡張領域に埋め込み前記ネットワーク間接続装置または前記SIPサーバに転送する手段を備えた
請求項1記載のSIPパケットフィルタリング装置。 UDP (User Datagram Protocol) or TCP (Transmission
Connected to an inter-network connection device or SIP server having Control Protocol) packet filtering or SIP (Session Initiation Protocol) packet filtering function and SIP packet transfer function,
Means for transferring the determination result of the determining means to the inter-network connection device or the SIP server;
The SIP packet filtering device according to claim 1, wherein the forwarding means comprises means for embedding a judgment result of the judging means in an extension area of the SIP packet and forwarding the inter-network connection device or the SIP server. 請求項1記載のSIPパケットフィルタリング装置から転送された前記判定結果に基づきSIPパケットをフィルタリングする手段を備えたネットワーク間接続装置。   An inter-network connection device comprising means for filtering SIP packets based on the determination result transferred from the SIP packet filtering device according to claim 1. 請求項1記載のSIPパケットフィルタリング装置から転送された前記判定結果に基づきSIPパケットをキャンセルする手段を備えたSIPサーバ。   A SIP server comprising means for canceling a SIP packet based on the determination result transferred from the SIP packet filtering device according to claim 1.
JP2004280850A 2004-09-28 2004-09-28 Sip packet filtering apparatus, network indirect connection apparatus, and sip server Pending JP2006100873A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004280850A JP2006100873A (en) 2004-09-28 2004-09-28 Sip packet filtering apparatus, network indirect connection apparatus, and sip server

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004280850A JP2006100873A (en) 2004-09-28 2004-09-28 Sip packet filtering apparatus, network indirect connection apparatus, and sip server

Publications (1)

Publication Number Publication Date
JP2006100873A true JP2006100873A (en) 2006-04-13

Family

ID=36240317

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004280850A Pending JP2006100873A (en) 2004-09-28 2004-09-28 Sip packet filtering apparatus, network indirect connection apparatus, and sip server

Country Status (1)

Country Link
JP (1) JP2006100873A (en)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007200323A (en) * 2006-01-27 2007-08-09 Nec Corp Method for protecting sip-based application
KR100818302B1 (en) 2006-09-29 2008-04-01 한국전자통신연구원 Correspondence method and apparatus of denial of service(dos) attack in session initiation protocol
JP2009049601A (en) * 2007-08-16 2009-03-05 Nippon Telegr & Teleph Corp <Ntt> Number scanning detecting device and detection program
JP2009117929A (en) * 2007-11-02 2009-05-28 Nippon Telegr & Teleph Corp <Ntt> Unauthorized access monitoring device and method thereof
WO2009129487A2 (en) * 2008-04-17 2009-10-22 Tekelec Methods, systems, and computer readable media for session initiation protocol (sip) overload control
US9106769B2 (en) 2011-08-10 2015-08-11 Tekelec, Inc. Methods, systems, and computer readable media for congestion management in a diameter signaling network
US9391897B2 (en) 2013-07-31 2016-07-12 Oracle International Corporation Methods, systems, and computer readable media for mitigating traffic storms
US9537775B2 (en) 2013-09-23 2017-01-03 Oracle International Corporation Methods, systems, and computer readable media for diameter load and overload information and virtualization
US10027760B2 (en) 2015-05-22 2018-07-17 Oracle International Corporation Methods, systems, and computer readable media for short and long term policy and charging rules function (PCRF) load balancing
US11388082B2 (en) 2013-11-27 2022-07-12 Oracle International Corporation Methods, systems, and computer readable media for diameter routing using software defined network (SDN) functionality

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007200323A (en) * 2006-01-27 2007-08-09 Nec Corp Method for protecting sip-based application
US8085763B2 (en) 2006-01-27 2011-12-27 Nec Corporation Method for protecting SIP-based applications
JP4692776B2 (en) * 2006-01-27 2011-06-01 日本電気株式会社 Method for protecting SIP-based applications
KR100818302B1 (en) 2006-09-29 2008-04-01 한국전자통신연구원 Correspondence method and apparatus of denial of service(dos) attack in session initiation protocol
JP2009049601A (en) * 2007-08-16 2009-03-05 Nippon Telegr & Teleph Corp <Ntt> Number scanning detecting device and detection program
JP4570652B2 (en) * 2007-11-02 2010-10-27 日本電信電話株式会社 Unauthorized access monitoring apparatus and method
JP2009117929A (en) * 2007-11-02 2009-05-28 Nippon Telegr & Teleph Corp <Ntt> Unauthorized access monitoring device and method thereof
WO2009129487A3 (en) * 2008-04-17 2010-03-04 Tekelec Methods, systems, and computer readable media for session initiation protocol (sip) overload control
WO2009129487A2 (en) * 2008-04-17 2009-10-22 Tekelec Methods, systems, and computer readable media for session initiation protocol (sip) overload control
US9106769B2 (en) 2011-08-10 2015-08-11 Tekelec, Inc. Methods, systems, and computer readable media for congestion management in a diameter signaling network
US9391897B2 (en) 2013-07-31 2016-07-12 Oracle International Corporation Methods, systems, and computer readable media for mitigating traffic storms
US9537775B2 (en) 2013-09-23 2017-01-03 Oracle International Corporation Methods, systems, and computer readable media for diameter load and overload information and virtualization
US11388082B2 (en) 2013-11-27 2022-07-12 Oracle International Corporation Methods, systems, and computer readable media for diameter routing using software defined network (SDN) functionality
US10027760B2 (en) 2015-05-22 2018-07-17 Oracle International Corporation Methods, systems, and computer readable media for short and long term policy and charging rules function (PCRF) load balancing

Similar Documents

Publication Publication Date Title
US7950053B2 (en) Firewall system and firewall control method
Sengar et al. VoIP intrusion detection through interacting protocol state machines
EP2181545B1 (en) Using pstn reachability to verify voip call routing information
EP2090024B1 (en) Intercepting voice over ip communications and other data communications
US7568224B1 (en) Authentication of SIP and RTP traffic
US8934609B2 (en) Method and apparatus for identifying and monitoring VoIP media plane security keys for service provider lawful intercept use
US7570743B2 (en) Method and apparatus for surveillance of voice over internet protocol communications
US7653938B1 (en) Efficient cookie generator
EP2351323B1 (en) Method for supporting attack detection in a distributed system
WO2006039629A2 (en) Voice over internet protocol data overload detection and mitigation system and method
CA2636780A1 (en) Method and device for anonymous encrypted mobile data and speech communication
Yan et al. Incorporating active fingerprinting into spit prevention systems
JP2008538470A (en) How to counter the transmission of unsolicited voice information
Patrick Voice over IP security
JP2006100873A (en) Sip packet filtering apparatus, network indirect connection apparatus, and sip server
Voznak et al. Threats to voice over IP communications systems
Clayton Anonymity and traceability in cyberspace
Zhang et al. On the billing vulnerabilities of SIP-based VoIP systems
JP5609519B2 (en) SIP equipment
Ackermann et al. Vulnerabilities and Security Limitations of current IP Telephony Systems
Hoffstadt et al. Improved detection and correlation of multi-stage VoIP attack patterns by using a Dynamic Honeynet System
KR101379779B1 (en) Caller Information Modulated Voice/Message Phishing Detecting and Blocking Method
KR101095878B1 (en) SIP DoS Attack Detection and Prevention System and Method using Hidden Markov Model
Shoket et al. Secure VOIP LTE network for secure transmission using PLRT (Packet Level Restraining Technique) under DDOS Attack
Lu et al. Transport layer identification of Skype traffic

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060712

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080829

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090127

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20090602