JP2006100873A - Sip packet filtering apparatus, network indirect connection apparatus, and sip server - Google Patents
Sip packet filtering apparatus, network indirect connection apparatus, and sip server Download PDFInfo
- Publication number
- JP2006100873A JP2006100873A JP2004280850A JP2004280850A JP2006100873A JP 2006100873 A JP2006100873 A JP 2006100873A JP 2004280850 A JP2004280850 A JP 2004280850A JP 2004280850 A JP2004280850 A JP 2004280850A JP 2006100873 A JP2006100873 A JP 2006100873A
- Authority
- JP
- Japan
- Prior art keywords
- sip
- packet
- malicious
- sequence
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、SIP(Session initiation Protocol)パケットが通過するパケット網間を接続するネットワーク間接続装置またはSIPサーバに利用する。特に、SIPにおけるDoS(Denial
of Service)攻撃、DDoS(Distributed Denial of Service)攻撃、ワンギリ攻撃、無応答攻撃などに利用されるパケットをフィルタリングする技術に関する。
The present invention is used for an inter-network connection device or SIP server for connecting packet networks through which a SIP (Session initiation Protocol) packet passes. In particular, DoS (Denial in SIP
of service) attack, DDoS (Distributed Denial of Service) attack, one-off attack, non-response attack, and the like.
昨今では、インターネットを利用した、いわゆるIP(Internet
Protocol)電話サービスが普及しつつある。IP電話サービスは、インターネット接続した二者間において通信セッションを用意し、電話サービスを提供するというものである。
Nowadays, the so-called IP (Internet)
Protocol) Telephone services are becoming popular. The IP telephone service provides a telephone service by preparing a communication session between two parties connected to the Internet.
IP電話サービスでは交換機を介さず、電話機同士が直接インターネットにより接続されて通信を行うことができる。この際、通信相手を探索するためのサーバとこのサーバとの間で情報をやりとりするためのプロトコルが必要になる。SIPは、そのようなプロトコルの一つである。 In the IP telephone service, communication can be performed by directly connecting telephones via the Internet without using an exchange. At this time, a protocol for exchanging information between the server for searching for a communication partner and the server is required. SIP is one such protocol.
このように交換機を介さない通信では、悪意のユーザによって行われる様々な攻撃を交換機側で排除することができないため、SIP端末自身あるいはネットワーク間接続装置あるいはSIPサーバにおいて、何らかの対策をとることが望まれる。 In this way, in communications not via the exchange, various attacks performed by malicious users cannot be eliminated on the exchange side, so it is desirable to take some measures at the SIP terminal itself, the network connection device or the SIP server. It is.
SIP端末におけるSIPパケットの遮断は、送信元IPアドレスとポート番号、送信先IPアドレスとポート番号、ユーザの認証ID、CALL−IDまたは異常シーケンスかどうかを用いるしかなかった(例えば、非特許文献1参照)。 The blocking of the SIP packet in the SIP terminal has only to use a source IP address and port number, a destination IP address and port number, a user authentication ID, a CALL-ID, or an abnormal sequence (for example, Non-Patent Document 1). reference).
しかしながら、このような従来の技術では、次のような問題点があった。 However, such conventional techniques have the following problems.
例えば、SIPのDoS攻撃、DDoS攻撃、大規模ワンギリ攻撃といった短期間内に大量のSIPパケットを送信する攻撃が行われた場合に、正しいシーケンスであっても、特定送信先を攻撃目標とした連続攻撃の回避、または、特定送信元からの連続攻撃の回避が重要となる。 For example, when an attack that sends a large number of SIP packets within a short period of time, such as a SIP DoS attack, DDoS attack, or a large-scale one-time attack, even if the sequence is correct, a specific destination is a continuous attack target. It is important to avoid attacks or avoid continuous attacks from specific sources.
これには、送信元IPアドレスとポート番号、送信先IPアドレスとポート番号、ユーザの認証ID、CALL−IDまたは異常シーケンスに関する情報について1シーケンス毎に監視するのではなく、短い期間内に送受信された特定のSIPシーケンスの回数も用いて、攻撃パケットの特定または攻撃ユーザの特定を行い、攻撃経路上すべてのSIPフィルタリング装置にて特定SIPパケットのフィルタリングまたはキャンセルによる回避が重要である。 For this purpose, the source IP address and port number, destination IP address and port number, user authentication ID, CALL-ID or abnormal sequence information is not monitored for each sequence but sent and received within a short period. It is also important to identify attack packets or attack users using the number of times of a specific SIP sequence, and to avoid by filtering or canceling specific SIP packets in all SIP filtering devices on the attack path.
本発明は、このような課題を解決するためのものであり、SIPパケットのシーケンスおよび送信時間および送信回数に基づき、SIPパケットのフィルタリングまたはキャンセルのための情報を、ネットワーク間接続装置またはSIPサーバまたは他のSIPパケットフィルタリング装置に提供することを目的とする。 The present invention is to solve such a problem, and based on the sequence of SIP packets and the transmission time and the number of transmissions, information for filtering or canceling SIP packets is sent to an inter-network connection device or SIP server or It aims at providing to another SIP packet filtering apparatus.
なお、フィルタリングには、SIPパケットの廃棄またはSIPパケットのエラー返答の双方を含むものとして説明する。 The filtering will be described as including both discarding of the SIP packet or error reply of the SIP packet.
上述した課題を解決するために、本発明のSIPパケットフィルタリング装置は、所定条件(SIP悪意シーケンス情報)および所定リスト(悪意ユーザリスト)を持つことを特徴とする。 In order to solve the above-described problem, the SIP packet filtering device of the present invention is characterized by having a predetermined condition (SIP malicious sequence information) and a predetermined list (malicious user list).
すなわち、DoS攻撃、DDoS攻撃、ワンギリ攻撃、無応答攻撃で行われるSIPにおける1シーケンスを前記所定条件として記録し、本発明のSIPパケットフィルタリング装置を通過するSIPパケットが前記所定条件に合致した疑わしいシーケンスか、さらに、短期間に疑わしいシーケンスが大量に行われたかを調査し、その調査結果に基づき所定リスト(悪意ユーザリスト)を作成し、前記所定リストに該当するSIPパケットのフィルタリングを行う。 That is, one sequence in SIP performed by DoS attack, DDoS attack, one-time attack, and no response attack is recorded as the predetermined condition, and the suspicious sequence in which the SIP packet passing through the SIP packet filtering device of the present invention meets the predetermined condition Further, it is investigated whether a large number of suspicious sequences have been performed in a short period of time, a predetermined list (malicious user list) is created based on the result of the investigation, and SIP packets corresponding to the predetermined list are filtered.
SIPパケットのフィルタリングは、例えば、パケット網に接続し、SIPパケットフィルタリングが実施可能なネットワーク間接続装置またはSIPサーバに本発明のSIPパケットフィルタリング装置を接続し、これらのネットワーク間接続装置またはSIPサーバに対し、本発明のSIPパケットフィルタリング装置からフィルタリングの際に用いる設定情報として前記所定リストを転送することにより行われる。 For SIP packet filtering, for example, the SIP packet filtering device of the present invention is connected to an inter-network connection device or SIP server that is connected to a packet network and can carry out SIP packet filtering, and is connected to these inter-network connection device or SIP server. On the other hand, this is performed by transferring the predetermined list as setting information used in filtering from the SIP packet filtering device of the present invention.
すなわち、本発明の第一の観点はSIPパケットフィルタリング装置であって、本発明の特徴とするところは、SIP悪意シーケンスを識別するための所定条件が記録されたリストおよびこの所定条件を満たす悪意ユーザが記録されたリストと、SIPパケットを受け取って前記リストを参照し当該SIPパケットがSIP悪意シーケンスに関わるSIPパケットであるか否かを判定する手段とを備えたところにある。 That is, the first aspect of the present invention is a SIP packet filtering device, and the feature of the present invention is that a list in which a predetermined condition for identifying a SIP malicious sequence is recorded and a malicious user who satisfies the predetermined condition And a means for receiving the SIP packet and referring to the list to determine whether the SIP packet is a SIP packet related to the SIP malicious sequence.
前記所定条件は、過去に実行された複数のSIP悪意シーケンスに基づき導出された複数のSIP悪意シーケンス例の情報を含み、前記判定する手段は、当該SIPパケットがいずれかの前記SIP悪意シーケンス例に類似するシーケンスの少なくとも一部に関わるSIPパケットであるときに当該SIPパケットをSIP悪意シーケンスに関わるSIPパケットであると判定する手段を含むことが望ましい。 The predetermined condition includes information on a plurality of SIP malicious sequences derived based on a plurality of SIP malicious sequences executed in the past, and the means for determining determines whether the SIP packet is included in any of the SIP malicious sequences. It is desirable to include means for determining that the SIP packet is a SIP packet related to the SIP malicious sequence when the SIP packet is related to at least a part of the similar sequence.
例えば、前記所定条件は、短い所定周期で連続的に繰り返されるDoS攻撃またはDDoS攻撃に関わるSIP悪意シーケンス例の情報を含み、前記判定する手段は、当該SIPパケットが短い所定周期で連続的に繰り返されるシーケンスに関わるSIPパケットであるときに当該SIPパケットをSIP悪意シーケンスに関わるSIPパケットであると判定する手段を含む。これにより、DoS攻撃、DDoS攻撃、ワンギリ攻撃を判定することができる。 For example, the predetermined condition includes information on a DoS attack that is continuously repeated in a short predetermined cycle or an example of a SIP malicious sequence related to a DDoS attack, and the means for determining repeats the SIP packet continuously in a short predetermined cycle. Means for determining that the SIP packet is a SIP packet related to the SIP malicious sequence. Thereby, a DoS attack, a DDoS attack, and a Wangiri attack can be determined.
例えば、前記所定条件は、リンギングからキャンセルまでが短い所定時間内に行われるいわゆるワンギリ攻撃に関わるSIP悪意シーケンス例の情報を含み、前記判定する手段は、当該SIPパケットがリンギングからキャンセルまでが短い所定時間内に行われるシーケンスに関わるSIPパケットであるときに当該SIPパケットをSIP悪意シーケンスに関わるSIPパケットであると判定する手段を含む。これにより、ワンギリ攻撃を判定することができる。 For example, the predetermined condition includes information on an example of a SIP malicious sequence relating to a so-called Wangiri attack that is performed within a short time from ringing to cancellation, and the determining means is a predetermined time from when the SIP packet is short from ringing to cancellation. And a means for determining that the SIP packet is a SIP packet related to a SIP malicious sequence when the SIP packet is related to a sequence performed in time. Thereby, a Wangiri attack can be determined.
例えば、前記所定条件は、リンギングに対する応答が長い所定時間以上経過しても行われないいわゆる無応答攻撃に関わるSIP悪意シーケンス例の情報を含み、前記判定する手段は、当該SIPパケットがリンギングに対する応答が長い所定時間以上経過しても行われないシーケンスに関わるSIPパケットであるときに当該SIPパケットをSIP悪意シーケンスに関わるSIPパケットであると判定する手段を含む。これにより、いわゆる「無応答」による攻撃を判定することができる。なお、「無応答」による攻撃も相手に着信履歴を残し通話を行わない点でワンギリ攻撃の一つの形態である。 For example, the predetermined condition includes information on an example of a SIP malicious sequence related to a so-called no-response attack that is not performed even if a response to ringing is longer than a predetermined time, and the means for determining determines whether the SIP packet is a response to ringing Includes means for determining that the SIP packet is a SIP packet related to the SIP malicious sequence when the SIP packet is related to a sequence that is not performed even after a long predetermined time has elapsed. This makes it possible to determine an attack due to so-called “no response”. Note that the “no response” attack is also a form of a one-off attack in that the incoming call history remains in the other party and no call is made.
また、前記判定する手段の判定結果に基づき前記悪意ユーザが記録されたリストを更新する手段を備えることが望ましい。これにより、新たに発生する悪意ユーザに対処することができると共に、不必要となった記録を削除し、メモリの有効利用を図ることができる。 Moreover, it is desirable to provide means for updating the list in which the malicious user is recorded based on the determination result of the determining means. As a result, it is possible to deal with newly generated malicious users, and to delete unnecessary records and to effectively use the memory.
また、UDP(User Datagram Protocol) またはTCP(Transmission
Control Protocol)パケットフィルタリングまたはSIP(Session Initiation Protocol)パケットフィルタリング機能とSIPパケット転送機能とを有するネットワーク間接続装置またはSIPサーバに接続され、前記判定する手段の判定結果を前記ネットワーク間接続装置または前記SIPサーバに転送する手段が設けられ、この転送する手段は、前記判定する手段の判定結果を当該SIPパケットの拡張領域に埋め込み前記ネットワーク間接続装置または前記SIPサーバに転送する手段を備えることが望ましい。これにより、判定結果をネットワーク間接続装置またはSIPサーバに転送するためのパケットを新たに生成する必要がなく、ネットワーク資源または帯域を有効利用することができる。
Also, UDP (User Datagram Protocol) or TCP (Transmission
Control Protocol) packet filtering or SIP (Session Initiation Protocol) packet filtering function and SIP packet transfer function are connected to an inter-network connection device or SIP server, and the determination result of the determining means is sent to the inter-network connection device or the SIP A means for transferring to the server is provided, and the means for transferring preferably includes means for embedding the determination result of the determining means in the extension area of the SIP packet and transferring the result to the inter-network connection device or the SIP server. Thereby, it is not necessary to newly generate a packet for transferring the determination result to the inter-network connection device or the SIP server, and network resources or bandwidth can be effectively used.
本発明の第二の観点は、本発明のSIPパケットフィルタリング装置から転送された前記判定結果に基づきSIPパケットをフィルタリングする手段を備えたネットワーク間接続装置である。 A second aspect of the present invention is an inter-network connection device provided with means for filtering SIP packets based on the determination result transferred from the SIP packet filtering device of the present invention.
本発明の第三の観点は、本発明のSIPパケットフィルタリング装置から転送された前記判定結果に基づきSIPパケットをキャンセルする手段を備えたSIPサーバである。 A third aspect of the present invention is a SIP server comprising means for canceling a SIP packet based on the determination result transferred from the SIP packet filtering device of the present invention.
本発明によれば、SIPにおけるDoS攻撃、DDoS攻撃、ワンギリ攻撃(無応答攻撃を含む)のパケットをユーザ端末よりも前段にてシーケンスとその回数から判断し、SIPパケットフィルタリングを広範囲に実施することができる。 According to the present invention, SIP packet filtering is performed in a wide range by determining packets of SIP DoS attack, DDoS attack, Wangiri attack (including no response attack) from the sequence and the number of times before the user terminal. Can do.
本発明実施例のSIPパケットフィルタリング装置およびネットワーク間接続装置およびSIPサーバを図1、図3、図5を参照して説明する。図1は本実施例のネットワーク間接続装置に接続されたSIPパケットフィルタリング装置を示す図である。図3は本実施例のSIPサーバに接続されたSIPパケットフィルタリング装置を示す図である。図5は本実施例のSIPパケットフィルタリング装置のブロック構成図である。なお、本実施例では、説明をわかりやすくするために、図5に示すように、ネットワーク間接続装置またはSIPサーバ531と、SIPパケットフィルタリング装置532とをそれぞれ別装置として説明するが、ネットワーク間接続装置またはSIPサーバ531の機能と、SIPパケットフィルタリング装置532の機能とを併せ持った一つの装置として構成することもできる。
A SIP packet filtering device, an inter-network connection device, and a SIP server according to an embodiment of the present invention will be described with reference to FIGS. 1, 3, and 5. FIG. FIG. 1 is a diagram showing a SIP packet filtering device connected to the inter-network connection device of this embodiment. FIG. 3 is a diagram showing a SIP packet filtering device connected to the SIP server of this embodiment. FIG. 5 is a block diagram of the SIP packet filtering device of this embodiment. In this embodiment, for easy understanding, as shown in FIG. 5, the network connection device or
本発明のSIPパケットフィルタリング装置は、図1または図3に示すように、UDPまたはTCPパケットフィルタリングまたはSIPパケットフィルタリング機能とSIPパケット転送機能とを有するネットワーク間接続装置131またはSIPサーバ331に接続され、図5に示すように、SIP悪意シーケンスを識別するための所定条件が記録されたリストを含むSIP悪意シーケンス設定データベース536およびこの所定条件を満たす悪意ユーザが記録されたリストを含むSIP悪意シーケンス準備状態データベース534、SIP悪意シーケンスデータベース535−1、攻撃対象リスト535−2、悪意ユーザリスト535−3と、ネットワーク間接続装置131またはSIPサーバ331からのSIPパケットを受け取って前記リストを参照し当該SIPパケットがSIP悪意シーケンスに関わるSIPパケットであるか否かを判定するSIPシーケンス監視処理部533とを備え、このSIPシーケンス監視処理部533は、判定結果をネットワーク間接続装置131またはSIPサーバ331に転送する手段を備える。
The SIP packet filtering device of the present invention is connected to an
SIP悪意シーケンス設定データベース536の所定条件は、過去に実行された複数のSIP悪意シーケンスに基づき導出された複数のSIP悪意シーケンス例の情報を含み、SIP悪意シーケンス監視処理部533は、当該SIPパケットがいずれかの前記SIP悪意シーケンス例に類似するシーケンスの少なくとも一部に関わるSIPパケットであるときに当該SIPパケットをSIP悪意シーケンスに関わるSIPパケットであると判定する手段を含む。
The predetermined condition of the SIP malicious
例えば、SIP悪意シーケンス設定データベース536の所定条件は、短い所定周期で連続的に繰り返されるDoS攻撃またはDDoS攻撃に関わるSIP悪意シーケンス例の情報を含み、SIPシーケンス監視処理部533は、当該SIPパケットが短い所定周期で連続的に繰り返されるシーケンスに関わるSIPパケットであるときに当該SIPパケットをSIP悪意シーケンスに関わるSIPパケットであると判定する手段を含む。
For example, the predetermined condition of the SIP malicious
あるいは、SIP悪意シーケンス設定データベース536の所定条件は、リンギングからキャンセルまでが短い所定時間内に行われるいわゆるワンギリ攻撃に関わるSIP悪意シーケンス例の情報を含み、SIPシーケンス監視処理部533は、当該SIPパケットがリンギングからキャンセルまでが短い所定時間内に行われるシーケンスに関わるSIPパケットであるときに当該SIPパケットをSIP悪意シーケンスに関わるSIPパケットであると判定する手段を含む。
Alternatively, the predetermined condition of the SIP malicious
あるいは、SIP悪意シーケンス設定データベース536の所定条件は、リンギングに対する応答が長い所定時間以上経過しても行われないいわゆる無応答攻撃に関わるSIP悪意シーケンス例の情報を含み、SIPシーケンス監視処理部533は、当該SIPパケットがリンギングに対する応答が長い所定時間以上経過しても行われないシーケンスに関わるSIPパケットであるときに当該SIPパケットをSIP悪意シーケンスに関わるSIPパケットであると判定する手段を含む。
Alternatively, the predetermined condition of the SIP malicious
また、SIPシーケンス監視処理部533は、判定結果に基づきSIP悪意シーケンス準備状態データベース534、SIP悪意シーケンスデータベース535−1、攻撃対象リスト535−2、悪意ユーザリスト535−3を更新する手段を備える。
Further, the SIP sequence
また、SIPシーケンス監視処理部533は、判定結果を当該SIPパケットの拡張領域に埋め込みネットワーク間接続装置またはSIPサーバ531に転送する手段を備える。
The SIP sequence
また、ネットワーク間接続装置131は、SIPパケットフィルタリング装置132から転送された判定結果に基づきSIPパケットをフィルタリングする手段を備える。
Further, the
また、SIPサーバ331は、SIPパケットフィルタリング装置332から転送された判定結果に基づきSIPパケットをキャンセルする手段を備える。
Further, the
以下では、本発明の実施の形態を詳細に説明する。 Hereinafter, embodiments of the present invention will be described in detail.
本発明の実施の形態について、図面を参照して説明する。以下、パケット網については、Ethernet(商標登録)上のVLANまたはATM上のVCにて形成されたIP網を指すものであり、VLAN−IDは、Ethernet上のVLANにおけるVLAN−IDを、VCはATMのVPI、VCIの対を指すものとする。 Embodiments of the present invention will be described with reference to the drawings. Hereinafter, the packet network refers to an IP network formed by VLAN on Ethernet (registered trademark) or VC on ATM, and VLAN-ID indicates VLAN-ID in VLAN on Ethernet, and VC indicates It shall refer to a pair of ATM VPI and VCI.
図1に示すように、ネットワーク間接続装置131は、端末101〜10Nが接続されたパケット網150と、端末111〜11Nが接続されたパケット網160の2つ以上のパケット網150、160、170間に位置し、複数のパケット網を接続している。
As shown in FIG. 1, the
また、図3に示すように、SIPサーバ331は、端末301〜30Nが接続されたパケット網など1つ以上のパケット網に接続している。
As shown in FIG. 3, the
端末101〜10N、端末111〜11N、端末121〜12N、端末301〜30Nは、VoIP通信をやりとりする前に、SIP信号手順(RFC2541またはRFC3261)に従ってRTP接続を確立する。
The
以下、図2、図4を用いて、接続の手順を示す。図2は本実施例のSIPパケットフィルタリング装置がネットワーク間接続装置に接続された例を説明するための図である。図4は本実施例のSIPパケットフィルタリング装置がSIPサーバに接続された例を説明するための図である。ここでは、端末201、端末401がそれぞれ端末211、端末411にIPパケットを送信するものとする。 The connection procedure will be described below with reference to FIGS. FIG. 2 is a diagram for explaining an example in which the SIP packet filtering device of this embodiment is connected to an inter-network connection device. FIG. 4 is a diagram for explaining an example in which the SIP packet filtering device of this embodiment is connected to a SIP server. Here, it is assumed that the terminal 201 and the terminal 401 transmit IP packets to the terminal 211 and the terminal 411, respectively.
図2では、ネットワーク間接続装置にてSIPパケットを解析させ、図4では、SIPサーバにてSIPパケットを解析させるため、SIPパケットフィルタリング装置242、442にて次の処理を行う。
In FIG. 2, the SIP packet is analyzed by the inter-network connection device, and in FIG. 4, the SIP
なお、パケット網はIP網の場合とする。複数パケット網接続は、Ethernet上のVLANにおけるVLAN−IDの書き換えでもよいし、ATMにおけるVPI値、VCI値の書き換えでもよいし、EthernetまたはATMの出力先の物理線を変更する機能でもよい。 It is assumed that the packet network is an IP network. The multi-packet network connection may be a rewrite of VLAN-ID in VLAN on Ethernet, a rewrite of VPI value or VCI value in ATM, or a function of changing physical line of Ethernet or ATM output destination.
図2におけるネットワーク間接続装置231または図4におけるSIPサーバ441の処理の流れを図5を参照して説明する。図5の所定条件536は、SIP悪意シーケンスおよびSIP悪意シーケンス準備状態とSIP悪意シーケンス判断パケットとSIP悪意シーケンス判断時間との3つを定義したSIP悪意シーケンス設定データベースである。
A processing flow of the
図14、図15、図16、図17はそれぞれSIP悪意シーケンスの例を示す図であるが、SIP悪意シーケンス設定データベース536には、図14〜図17に示したようなSIP悪意シーケンス例のパターンが記録されており、ネットワーク間接続装置またはSIPサーバ531から受信したSIPパケットのそれぞれについて、当該SIP悪意シーケンス例に該当するか否かを分析する。
14, 15, 16, and 17 are diagrams showing examples of SIP malicious sequences. The SIP malicious
また、図9はSIP悪意シーケンスレベル表を示す図であるが、この表には、SIP悪意シーケンスが連続した回数が記録されると共に、この回数に基づき算出された悪意レベル点数が記録される。 FIG. 9 is a diagram showing a SIP malicious sequence level table. In this table, the number of consecutive SIP malicious sequences is recorded, and the malicious level score calculated based on this number is recorded.
ちなみに、図14のSIP悪意シーケンス例1は、いわゆる「ワンギリ攻撃」の例であり、端末511が端末501からの呼び出し(180Ringing2−5、2−6)を受けてから端末501が呼び出しを止める(Cancel3−1、3−3:SIP悪意シーケンス判断パケット)までの間がSIP悪意シーケンス判断時間(秒)以内であり、これにより端末501は端末511との通話を行う意志が無いことは明白であり、ワンギリが行われたことが判定できる。 Incidentally, the SIP malicious sequence example 1 in FIG. 14 is an example of a so-called “one attack”, and the terminal 501 stops calling after the terminal 511 receives a call from the terminal 501 (180 Ringing 2-5, 2-6) ( It is obvious that the period up to Cancel 3-1 and 3-3: SIP malicious sequence determination packet) is within the SIP malicious sequence determination time (seconds), and thus the terminal 501 has no intention to make a call with the terminal 511. It can be determined that Wangiri has been performed.
また、図15のSIP悪意シーケンス例2も「ワンギリ攻撃」の例であり、端末511が端末501からの呼び出し(180Ringing2−5、2−6)を受け、端末511が受話器をオフフック(200OK2−7、2−8)させた直後に、端末501は受話器をオンフック(BYE3−3、3−4:SIP悪意シーケンス判断パケット)させており、端末511が呼び出しを受けてから端末501が受話器をオンフックするまでの間がSIP悪意シーケンス判断時間(秒)以内であり、これによりワンギリが行われたことが判定できる。 In addition, the SIP malicious sequence example 2 in FIG. 15 is also an example of the “one-handed attack”. The terminal 511 receives a call (180 Ringing 2-5, 2-6) from the terminal 501, and the terminal 511 takes the handset off-hook (200OK2-7). 2-8) Immediately after the terminal 501 is placed, the terminal 501 is on-hook (BYE3-3, 3-4: SIP malicious sequence determination packet), and after the terminal 511 receives a call, the terminal 501 on-hooks the receiver. The period up to is within the SIP malicious sequence determination time (seconds), and it can be determined that the last one has been performed.
また、図16のSIP悪意シーケンス例3は、いわゆる「無応答攻撃」の例であり、これもワンギリ攻撃の一形態である。図16の例では、端末511が端末501からの呼び出し(180Ringing2−5、2−6)を受けて受話器をオフフック(200OK2−7、2−8)させてから以降、SIP悪意シーケンス判断時間(秒)以上無応答であり、これにより「無応答攻撃」が行われたことが判定できる。 Also, the SIP malicious sequence example 3 in FIG. 16 is an example of a so-called “no-response attack”, which is also a form of a one-off attack. In the example of FIG. 16, after the terminal 511 receives a call (180 Ringing 2-5, 2-6) from the terminal 501, and takes the receiver off-hook (200 OK 2-7, 2-8), the SIP malicious sequence determination time (seconds) ) As described above, there is no response, and it can be determined that a “no response attack” has been performed.
また、図17のSIP悪意シーケンス例4はDoS攻撃またはDDoS攻撃の例であり、200OK2−2とRegister3−1(SIP悪意シーケンス判断パケット)との間がSIP悪意シーケンス判断時間(秒)以内であり、これによりDoS攻撃またはDDoS攻撃が行われたことが判定できる。正常なシーケンスでは、200OK2−2とRegister3−1との間は、数分の間隔が空く。 In addition, SIP malicious sequence example 4 in FIG. 17 is an example of a DoS attack or DDoS attack, and the interval between 200 OK2-2 and Register 3-1 (SIP malicious sequence determination packet) is within the SIP malicious sequence determination time (seconds). Thus, it can be determined that a DoS attack or a DDoS attack has been performed. In a normal sequence, there is an interval of several minutes between 200OK2-2 and Register3-1.
なお、SIP悪意シーケンス準備状態とは、SIP悪意シーケンスの途中段階のシーケンスを意味し、SIP悪意シーケンス判断パケットは、SIP悪意シーケンス準備状態からSIP悪意シーケンスと判断するためのパケットを意味し、SIP悪意シーケンス判断時間とは、SIP悪意シーケンスと判定されるための、SIP悪意シーケンス準備状態の特定パケットからSIP悪意シーケンス判断パケットまでの最長時間を意味する。 The SIP malicious sequence preparation state means a sequence in the middle of the SIP malicious sequence, and the SIP malicious sequence determination packet means a packet for determining the SIP malicious sequence from the SIP malicious sequence preparation state. The sequence determination time means the longest time from the specific packet in the SIP malicious sequence preparation state to the SIP malicious sequence determination packet for determining the SIP malicious sequence.
SIP悪意シーケンス判断パケットであっても、SIP悪意シーケンス判断時間内に送信されなかった場合は、SIP悪意シーケンスではなく正常シーケンスと判断し、SIP悪意シーケンス準備状態ではないと判断される。 Even if the SIP malicious sequence determination packet is not transmitted within the SIP malicious sequence determination time, it is determined that the sequence is not a SIP malicious sequence but a normal sequence, and it is determined that the SIP malicious sequence is not ready.
また、図10はSIP悪意シーケンス準備状態データベース534を示す図であるが、図5のSIP悪意シーケンス準備状態データベース534は、図10に示すとおり、所定条件536を基にやりとりされるSIPパケットからSIP悪意シーケンスの可能性のあるシーケンスを蓄積したデータベースである。
10 is a diagram showing the SIP malicious sequence
また、図11はSIP悪意シーケンスデータベース535−1を示す図であり、図12は攻撃対象リスト535−2を示す図であり、図13は悪意ユーザリスト535−3を示す図であるが、図5の悪意ユーザが記録されたリスト535は、図11のSIP悪意シーケンスを蓄積したSIP悪意シーケンスデータベース535−1と、図12の攻撃対象リスト535−2、図13の悪意ユーザリスト535−3の3つからなるデータベースである。
11 is a diagram showing the SIP malicious sequence database 535-1, FIG. 12 is a diagram showing the attack target list 535-2, and FIG. 13 is a diagram showing the malicious user list 535-3. The
図5のネットワーク間接続装置またはSIPサーバ531では、端末501から端末511に向けたSIPパケットを受信すると、SIPパケットフィルタリング装置532のSIPシーケンス監視処理部533に転送する。
When the SIP packet from the terminal 501 to the terminal 511 is received, the inter-network connection device or the
次に、図6を参照して図5のSIPパケットフィルタリング装置532のSIPシーケンス監視処理部533の処理フローを説明する。図6は、図5のSIPパケットフィルタリング装置532のSIPシーケンス監視処理部533の処理フローを示す図である。SIPシーケンス監視処理部533は、まず、このパケットのSIP拡張領域から情報を取得し、攻撃対象リスト535−2、悪意ユーザリスト535−3にて該当エントリを探し出し、SIP悪意レベル点数が535−2、535−3の該当エントリより大きな値の場合は、535−2、535−3に代入する。
Next, a processing flow of the SIP sequence
該当エントリがない場合は、535−2、535−3にエントリを作成した上で、SIP悪意レベル点数を代入する。 If there is no corresponding entry, an entry is created in 535-2 and 535-3, and the SIP malicious level score is substituted.
次に、書き換えられた535−2、535−3のエントリの中から悪意レベル点数の一定点数以上のエントリを対象に、このパケットが該当するかを分析する。 Next, it is analyzed whether or not this packet is applicable to the entries of the rewritten 535-2 and 535-3 that have a certain number of malicious level points or more.
このパケットが該当する場合には、悪意あるパケットと位置付けられ、SIPキャンセルパケットまたはSIPエラー返答パケットを作成し、SIPパケット拡張領域に535−2、535−3の一定の点数以上のエントリを暗号化して埋め込んだ上で、ネットワーク間接続装置またはSIPサーバ531に返却し、ネットワーク間接続装置またはSIPサーバ531にて、パケット廃棄またはこのパケットのIPヘッダ上の送信IPアドレスおよびポート番号に対して、SIPパケットフィルタリング監視処理部533が作成したSIPキャンセルパケットまたはSIPエラー返答パケットを返却する。
If this packet is applicable, it is positioned as a malicious packet, and a SIP cancel packet or SIP error response packet is created, and entries of a certain score of 535-2 and 535-3 are encrypted in the SIP packet extension area. And embedded in the network connection device or
このパケットが該当しない場合は、SIP悪意シーケンスまたはSIP悪意シーケンス準備状態か、全く悪意のないシーケンスかを判断する。 If this packet does not apply, it is determined whether the SIP malicious sequence, the SIP malicious sequence preparation state, or a sequence that is not malicious at all.
判断には、このパケットのCALL−ID、送信元情報、送信先情報を一組にしてSIP悪意シーケンス準備状態データベース534の該当エントリを検索し、SIP悪意シーケンス設定データベース536と照らし合わせて判断する。
The determination is made by searching the corresponding entry in the SIP malicious sequence
なお、SIP悪意シーケンス準備状態データベース534に該当エントリが存在しない場合は、SIP悪意シーケンス設定データベース536の全てのシーケンス例の最初のパケットの可能性があるため、該当するSIP悪意シーケンス例がないかを照らし合わせて判断する。
If there is no corresponding entry in the SIP malicious sequence
SIP悪意シーケンス準備状態、SIP悪意シーケンスのいずれでもないと判断された場合は、SIP悪意シーケンス準備状態データベース534から、CALL−ID、送信元情報、送信先情報を組みに合致するエントリの削除を行い。このパケットをネットワーク間接続装置またはSIPサーバ531に転送し、このパケットのIPヘッダの転送先に転送する。
If it is determined that neither the SIP malicious sequence preparation state nor the SIP malicious sequence is determined, the entry matching the CALL-ID, transmission source information, and transmission destination information is deleted from the SIP malicious sequence
SIP悪意シーケンス準備状態またはSIP悪意シーケンスの可能性有りと判断されたものについては、SIP悪意シーケンス準備状態かSIP悪意シーケンスかを判断する。このパケットがSIP悪意シーケンス判断パケットでなければ、SIP悪意シーケンス準備状態である。 If it is determined that there is a possibility of SIP malicious sequence preparation state or SIP malicious sequence, it is determined whether it is SIP malicious sequence preparation state or SIP malicious sequence. If this packet is not a SIP malicious sequence determination packet, it is a SIP malicious sequence preparation state.
このパケットがSIP悪意シーケンス判断パケットであれば、SIP悪意シーケンス判断時間以内にパケットが送信されたか否かを判断し、SIP悪意シーケンス判断時間を越えていればSIP悪意シーケンスではなく、悪意のないSIPシーケンス、SIP悪意シーケンス判断時間以内に送信されていれば、SIP悪意シーケンスと判断される。 If this packet is a SIP malicious sequence determination packet, it is determined whether or not the packet is transmitted within the SIP malicious sequence determination time. If the SIP malicious sequence determination time is exceeded, the SIP malicious sequence is not a SIP malicious sequence but a non-malicious SIP. If the sequence is transmitted within the SIP malicious sequence determination time, it is determined as the SIP malicious sequence.
SIP悪意シーケンス準備状態と判断された場合には、SIP悪意シーケンス準備状態534データベースのエントリ情報を更新し、このパケットのSIPパケット拡張領域に535−2、535−3の一定の点数以上のエントリを暗号化して埋め込んだ上で、ネットワーク間接続装置またはSIPサーバ531に転送し、このパケットのIPヘッダの転送先に転送する。
If it is determined that the SIP malicious sequence preparation state is determined, the entry information in the SIP malicious
悪意のないSIPシーケンスと判断された場合は、SIP悪意シーケンス準備状態534データベースよりエントリを削除し、このパケットのSIPパケット拡張領域に535−2、535−3の一定の点数以上のエントリを暗号化して埋め込んだ上で、ネットワーク間接続装置またはSIPサーバ531に転送し、このパケットのIPヘッダの転送先に転送する。
If it is determined that the SIP sequence is not malicious, the entry is deleted from the SIP malicious
SIP悪意シーケンスと判断された場合は、図8のような特定対象への攻撃(多対1攻撃)か否かの判断を行う。図8は多対1攻撃(特定対象への攻撃)例を示す図である。SIP悪意シーケンスデータベース535−1においてこのパケットの送信先認証IDに該当するエントリを検索し、検索結果の最新時刻と、このパケットの到着時刻との差が規定秒以内か否かを調査し、規定秒以内ならば攻撃、規定秒を越えていれば非攻撃、SIP悪意シーケンスデータベース535−1にエントリがない場合は、攻撃か否かは不明とする。 If the SIP malicious sequence is determined, it is determined whether or not the attack is on a specific target (many-to-one attack) as shown in FIG. FIG. 8 is a diagram illustrating an example of a many-to-one attack (attack on a specific target). The entry corresponding to the transmission destination authentication ID of this packet is searched in the SIP malicious sequence database 535-1, and it is investigated whether or not the difference between the latest time of the search result and the arrival time of this packet is within a specified second. If it is within seconds, it is an attack, if it exceeds the specified seconds, it is non-attack, and if there is no entry in the SIP malicious sequence database 535-1, it is unclear whether it is an attack.
攻撃の場合は、535−1を書き換えた上で、このパケットと同じ攻撃対象認証ID、攻撃元認証IDのエントリを検索し、535−1を検索して出てきた全てのエントリのSIP悪意レベル点数を、SIP悪意シーケンスレベル表を用いて、SIP悪意レベル点数*回数にて計算する。そして、計算して出たSIP悪意レベル点数を全て加算した上で、攻撃対象リスト535−2の該当エントリを書き換える。もし、535−2に該当エントリがない場合は、新規にて作成した上で、SIP悪意レベル点数を代入する。 In the case of an attack, after rewriting 535-1, the entry of the same attack target authentication ID and attack source authentication ID as this packet is searched, and the SIP malicious level of all entries that come out by searching for 535-1 The score is calculated as SIP malicious level score * number of times using the SIP malicious sequence level table. Then, after adding all the calculated SIP malicious level scores, the corresponding entry in the attack target list 535-2 is rewritten. If there is no corresponding entry in 535-2, it is newly created and the SIP malicious level score is substituted.
非攻撃の場合は、535−1を書き換えた上で、このパケットと同じ攻撃対象認証ID、攻撃元認証IDのエントリを検索し、535−1を検索して出てきた全てのエントリのSIP悪意レベル点数を、SIP悪意シーケンスレベル表を用いて、SIP悪意レベル点数*回数にて再計算する。そして、計算して出たSIP悪意レベル点数を全て加算した上で、攻撃対象リスト535−2の該当エントリを書き換える。なお、書き換えた結果が、SIP悪意レベル点数0点の場合は、エントリ自体を削除する。不明の場合は、535−1の新規作成を行うのみとする。 In the case of a non-attack, after rewriting 535-1, the entry of the same attack target authentication ID and attack source authentication ID as this packet is searched, and the SIP maliciousness of all entries that come out by searching for 535-1 The level score is recalculated as SIP malicious level score * number of times using the SIP malicious sequence level table. Then, after adding all the calculated SIP malicious level scores, the corresponding entry in the attack target list 535-2 is rewritten. If the rewritten result is a SIP malicious level score of 0, the entry itself is deleted. If it is unknown, only 535-1 is newly created.
次に、図7のようなこのパケットが特定送信元からの攻撃(1対多攻撃)か否かの判断を行う。図7は1対多攻撃(特定送信元からの攻撃)例を示す図である。SIP悪意シーケンスデータベース535−1においてこのパケットの送信先認証IDに該当するエントリを検索し、検索結果の最新時刻と、このパケットの到着時刻との差が規定秒以内か否かを調査し、規定秒以内ならば攻撃、規定秒を越えていれば非攻撃、SIP悪意シーケンスデータベース535−1にエントリがない場合は、攻撃か否かは不明とする。 Next, it is determined whether or not this packet as shown in FIG. 7 is an attack from a specific transmission source (one-to-many attack). FIG. 7 is a diagram illustrating an example of a one-to-many attack (attack from a specific transmission source). The entry corresponding to the transmission destination authentication ID of this packet is searched in the SIP malicious sequence database 535-1, and it is investigated whether or not the difference between the latest time of the search result and the arrival time of this packet is within a specified second. If it is within seconds, it is an attack, if it exceeds the specified seconds, it is non-attack, and if there is no entry in the SIP malicious sequence database 535-1, it is unclear whether it is an attack.
攻撃の場合は、535−1を書き換えた上で、このパケットと同じ攻撃対象認証ID、攻撃元認証IDのエントリを検索し、535−1を検索して出てきた全てのエントリのSIP悪意レベル点数を、SIP悪意シーケンスレベル表を用いて、SIP悪意レベル点数*回数にて計算する。そして、計算して出たSIP悪意レベル点数を全て加算した上で、攻撃対象リスト535−2の該当エントリを書き換える。もし、535−3に該当エントリがない場合は、新規にて作成した上で、SIP悪意レベル点数を代入する。 In the case of an attack, after rewriting 535-1, the entry of the same attack target authentication ID and attack source authentication ID as this packet is searched, and the SIP malicious level of all entries that come out by searching for 535-1 The score is calculated as SIP malicious level score * number of times using the SIP malicious sequence level table. Then, after adding all the calculated SIP malicious level scores, the corresponding entry in the attack target list 535-2 is rewritten. If there is no corresponding entry in 535-3, it is newly created and the SIP malicious level score is substituted.
非攻撃の場合は、535−1を書き換えた上で、このパケットと同じ攻撃対象認証ID、攻撃元認証IDのエントリを検索し、535−1を検索して出てきた全てのエントリのSIP悪意レベル点数を、SIP悪意シーケンスレベル表を用いて、SIP悪意レベル点数*回数にて計算する。そして、計算して出たSIP悪意レベル点数を全て加算した上で、攻撃対象リスト535−3の該当エントリを書き換える。なお、書き換えた結果が、SIP悪意レベル点数0点の場合は、エントリ自体を削除する。不明の場合は、535−1の新規作成を行うのみとする。 In the case of a non-attack, after rewriting 535-1, the entry of the same attack target authentication ID and attack source authentication ID as this packet is searched, and the SIP maliciousness of all entries that come out by searching for 535-1 The level score is calculated as SIP malicious level score * number of times using the SIP malicious sequence level table. Then, after adding all the calculated SIP malicious level scores, the corresponding entry in the attack target list 535-3 is rewritten. If the rewritten result is a SIP malicious level score of 0, the entry itself is deleted. If it is unknown, only 535-1 is newly created.
次に、ネットワーク間接続装置またはSIPサーバ531にてパケットフィルタリング設定を行う場合は、535−1、535−2、535−3の情報から、設定可能な情報を抽出した上で、設定ファイルを作成し、531に転送する。なお、SIPの送信元アドレスおよびポート番号または送信先アドレスおよびポート番号が送信元認証IDまたは送信先認証IDから不明な場合は、設定情報の抽出は行わない。
Next, when performing packet filtering setting in the inter-network connection device or the
それから、SIP悪意シーケンス準備状態データベース534から、このパケットと同じCALL−ID、送信元認証ID、送信先認証IDのエントリを検索し、削除する。
Then, an entry of the same CALL-ID, transmission source authentication ID, and transmission destination authentication ID as this packet is searched from the SIP malicious sequence
最後に、このパケットのSIPパケット拡張領域に535−2、535−3の一定の点数以上のエントリを暗号化して埋め込んだ上で、ネットワーク間接続装置またはSIPサーバ531に転送し、このパケットのIPヘッダの転送先に転送する。これにより図14〜図17に示したSIP悪意シーケンス例を本発明により防ぐことができる。
Finally, after encrypting and embedding entries of a certain number of points 535-2 and 535-3 in the SIP packet extension area of this packet, it is transferred to the inter-network connection device or
本発明によれば、SIPにおけるDoS攻撃、DDoS攻撃、ワンギリ攻撃(無応答攻撃を含む)のパケットをユーザ端末よりも前段にてシーケンスとその回数から判断し、SIPパケットフィルタリングを広範囲に実施することができるので、例えば、IP電話利用者をこれらの攻撃から守ることができる。 According to the present invention, SIP packet filtering is performed in a wide range by determining packets of SIP DoS attack, DDoS attack, Wangiri attack (including no response attack) from the sequence and the number of times before the user terminal. Therefore, for example, IP telephone users can be protected from these attacks.
101〜10N、111〜11N、121〜12N、201、211、301〜30N、401、411、501、511 端末
150、160、170、250、260、270、350、450 パケット網
131、231、241 ネットワーク間接続装置
132、142、232、242、332、432、442、532 SIPパケットフィルタリング装置
331、431、441 SIPサーバ
531 ネットワーク間接続装置またはSIPサーバ
533 SIPシーケンス監視処理部
534 SIP悪意シーケンス準備状態データベース
535 悪意ユーザが記録されたリスト
535−1 SIP悪意シーケンスデータベース
535−2 攻撃対象リスト
535−3 悪意ユーザリスト
536 SIP悪意シーケンス設定データベース
101-10N, 111-11N, 121-12N, 201, 211, 301-30N, 401, 411, 501, 511
Claims (6)
SIPパケットを受け取って前記リストを参照し当該SIPパケットがSIP悪意シーケンスに関わるSIPパケットであるか否かを判定する手段と
を備えたSIPパケットフィルタリング装置。 A list in which predetermined conditions for identifying a SIP malicious sequence are recorded, and a list in which malicious users who satisfy the predetermined conditions are recorded;
A SIP packet filtering device comprising: means for receiving a SIP packet and determining whether the SIP packet is a SIP packet related to a SIP malicious sequence by referring to the list.
前記判定する手段は、当該SIPパケットがいずれかの前記SIP悪意シーケンス例に類似するシーケンスの少なくとも一部に関わるSIPパケットであるときに当該SIPパケットをSIP悪意シーケンスに関わるSIPパケットであると判定する手段を含む
請求項1記載のSIPパケットフィルタリング装置。 The predetermined condition includes information on a plurality of SIP malicious sequences derived based on a plurality of SIP malicious sequences executed in the past,
The determining unit determines that the SIP packet is a SIP packet related to a SIP malicious sequence when the SIP packet is a SIP packet related to at least a part of a sequence similar to any of the SIP malicious sequence examples. The SIP packet filtering device according to claim 1, comprising means.
Control Protocol)パケットフィルタリングまたはSIP(Session Initiation Protocol)パケットフィルタリング機能とSIPパケット転送機能とを有するネットワーク間接続装置またはSIPサーバに接続され、
前記判定する手段の判定結果を前記ネットワーク間接続装置または前記SIPサーバに転送する手段が設けられ、
この転送する手段は、前記判定する手段の判定結果を当該SIPパケットの拡張領域に埋め込み前記ネットワーク間接続装置または前記SIPサーバに転送する手段を備えた
請求項1記載のSIPパケットフィルタリング装置。 UDP (User Datagram Protocol) or TCP (Transmission
Connected to an inter-network connection device or SIP server having Control Protocol) packet filtering or SIP (Session Initiation Protocol) packet filtering function and SIP packet transfer function,
Means for transferring the determination result of the determining means to the inter-network connection device or the SIP server;
The SIP packet filtering device according to claim 1, wherein the forwarding means comprises means for embedding a judgment result of the judging means in an extension area of the SIP packet and forwarding the inter-network connection device or the SIP server.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004280850A JP2006100873A (en) | 2004-09-28 | 2004-09-28 | Sip packet filtering apparatus, network indirect connection apparatus, and sip server |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004280850A JP2006100873A (en) | 2004-09-28 | 2004-09-28 | Sip packet filtering apparatus, network indirect connection apparatus, and sip server |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2006100873A true JP2006100873A (en) | 2006-04-13 |
Family
ID=36240317
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004280850A Pending JP2006100873A (en) | 2004-09-28 | 2004-09-28 | Sip packet filtering apparatus, network indirect connection apparatus, and sip server |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2006100873A (en) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007200323A (en) * | 2006-01-27 | 2007-08-09 | Nec Corp | Method for protecting sip-based application |
KR100818302B1 (en) | 2006-09-29 | 2008-04-01 | 한국전자통신연구원 | Correspondence method and apparatus of denial of service(dos) attack in session initiation protocol |
JP2009049601A (en) * | 2007-08-16 | 2009-03-05 | Nippon Telegr & Teleph Corp <Ntt> | Number scanning detecting device and detection program |
JP2009117929A (en) * | 2007-11-02 | 2009-05-28 | Nippon Telegr & Teleph Corp <Ntt> | Unauthorized access monitoring device and method thereof |
WO2009129487A2 (en) * | 2008-04-17 | 2009-10-22 | Tekelec | Methods, systems, and computer readable media for session initiation protocol (sip) overload control |
US9106769B2 (en) | 2011-08-10 | 2015-08-11 | Tekelec, Inc. | Methods, systems, and computer readable media for congestion management in a diameter signaling network |
US9391897B2 (en) | 2013-07-31 | 2016-07-12 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating traffic storms |
US9537775B2 (en) | 2013-09-23 | 2017-01-03 | Oracle International Corporation | Methods, systems, and computer readable media for diameter load and overload information and virtualization |
US10027760B2 (en) | 2015-05-22 | 2018-07-17 | Oracle International Corporation | Methods, systems, and computer readable media for short and long term policy and charging rules function (PCRF) load balancing |
US11388082B2 (en) | 2013-11-27 | 2022-07-12 | Oracle International Corporation | Methods, systems, and computer readable media for diameter routing using software defined network (SDN) functionality |
-
2004
- 2004-09-28 JP JP2004280850A patent/JP2006100873A/en active Pending
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007200323A (en) * | 2006-01-27 | 2007-08-09 | Nec Corp | Method for protecting sip-based application |
US8085763B2 (en) | 2006-01-27 | 2011-12-27 | Nec Corporation | Method for protecting SIP-based applications |
JP4692776B2 (en) * | 2006-01-27 | 2011-06-01 | 日本電気株式会社 | Method for protecting SIP-based applications |
KR100818302B1 (en) | 2006-09-29 | 2008-04-01 | 한국전자통신연구원 | Correspondence method and apparatus of denial of service(dos) attack in session initiation protocol |
JP2009049601A (en) * | 2007-08-16 | 2009-03-05 | Nippon Telegr & Teleph Corp <Ntt> | Number scanning detecting device and detection program |
JP4570652B2 (en) * | 2007-11-02 | 2010-10-27 | 日本電信電話株式会社 | Unauthorized access monitoring apparatus and method |
JP2009117929A (en) * | 2007-11-02 | 2009-05-28 | Nippon Telegr & Teleph Corp <Ntt> | Unauthorized access monitoring device and method thereof |
WO2009129487A3 (en) * | 2008-04-17 | 2010-03-04 | Tekelec | Methods, systems, and computer readable media for session initiation protocol (sip) overload control |
WO2009129487A2 (en) * | 2008-04-17 | 2009-10-22 | Tekelec | Methods, systems, and computer readable media for session initiation protocol (sip) overload control |
US9106769B2 (en) | 2011-08-10 | 2015-08-11 | Tekelec, Inc. | Methods, systems, and computer readable media for congestion management in a diameter signaling network |
US9391897B2 (en) | 2013-07-31 | 2016-07-12 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating traffic storms |
US9537775B2 (en) | 2013-09-23 | 2017-01-03 | Oracle International Corporation | Methods, systems, and computer readable media for diameter load and overload information and virtualization |
US11388082B2 (en) | 2013-11-27 | 2022-07-12 | Oracle International Corporation | Methods, systems, and computer readable media for diameter routing using software defined network (SDN) functionality |
US10027760B2 (en) | 2015-05-22 | 2018-07-17 | Oracle International Corporation | Methods, systems, and computer readable media for short and long term policy and charging rules function (PCRF) load balancing |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7950053B2 (en) | Firewall system and firewall control method | |
Sengar et al. | VoIP intrusion detection through interacting protocol state machines | |
EP2181545B1 (en) | Using pstn reachability to verify voip call routing information | |
EP2090024B1 (en) | Intercepting voice over ip communications and other data communications | |
US7568224B1 (en) | Authentication of SIP and RTP traffic | |
US8934609B2 (en) | Method and apparatus for identifying and monitoring VoIP media plane security keys for service provider lawful intercept use | |
US7570743B2 (en) | Method and apparatus for surveillance of voice over internet protocol communications | |
US7653938B1 (en) | Efficient cookie generator | |
EP2351323B1 (en) | Method for supporting attack detection in a distributed system | |
WO2006039629A2 (en) | Voice over internet protocol data overload detection and mitigation system and method | |
CA2636780A1 (en) | Method and device for anonymous encrypted mobile data and speech communication | |
Yan et al. | Incorporating active fingerprinting into spit prevention systems | |
JP2008538470A (en) | How to counter the transmission of unsolicited voice information | |
Patrick | Voice over IP security | |
JP2006100873A (en) | Sip packet filtering apparatus, network indirect connection apparatus, and sip server | |
Voznak et al. | Threats to voice over IP communications systems | |
Clayton | Anonymity and traceability in cyberspace | |
Zhang et al. | On the billing vulnerabilities of SIP-based VoIP systems | |
JP5609519B2 (en) | SIP equipment | |
Ackermann et al. | Vulnerabilities and Security Limitations of current IP Telephony Systems | |
Hoffstadt et al. | Improved detection and correlation of multi-stage VoIP attack patterns by using a Dynamic Honeynet System | |
KR101379779B1 (en) | Caller Information Modulated Voice/Message Phishing Detecting and Blocking Method | |
KR101095878B1 (en) | SIP DoS Attack Detection and Prevention System and Method using Hidden Markov Model | |
Shoket et al. | Secure VOIP LTE network for secure transmission using PLRT (Packet Level Restraining Technique) under DDOS Attack | |
Lu et al. | Transport layer identification of Skype traffic |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060712 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080829 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090127 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20090602 |