KR101011221B1 - 에스아이피(sip) 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템과 그 방법 - Google Patents

에스아이피(sip) 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템과 그 방법 Download PDF

Info

Publication number
KR101011221B1
KR101011221B1 KR1020080132229A KR20080132229A KR101011221B1 KR 101011221 B1 KR101011221 B1 KR 101011221B1 KR 1020080132229 A KR1020080132229 A KR 1020080132229A KR 20080132229 A KR20080132229 A KR 20080132229A KR 101011221 B1 KR101011221 B1 KR 101011221B1
Authority
KR
South Korea
Prior art keywords
sip
attack
rtp
blocking
detection
Prior art date
Application number
KR1020080132229A
Other languages
English (en)
Other versions
KR20100073527A (ko
Inventor
김환국
김정욱
고경희
이창용
정현철
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020080132229A priority Critical patent/KR101011221B1/ko
Publication of KR20100073527A publication Critical patent/KR20100073527A/ko
Application granted granted Critical
Publication of KR101011221B1 publication Critical patent/KR101011221B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1101Session protocols
    • H04L65/1104Session initiation protocol [SIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/60Network streaming of media packets
    • H04L65/65Network streaming protocols, e.g. real-time transport protocol [RTP] or real-time control protocol [RTCP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 에스아이피(SIP) 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템과 그 방법에 관한 것으로서, 더욱 상세하게는 SIP 시그널링 공격 대응 모듈과, RTP 미디어 공격 대응 모듈과, SIP 시그널링/미디어 공격 대응 정책 관리 모듈 및 IP/Port 필터링 모듈의 구성을 통해 인터넷전화의 대표적인 신호 제어 프로토콜인 SIP 프로토콜을 이용하여 해킹 공격을 탐지하고 차단할 수 있으며, 응용계층(SIP:호 설정 제어 메시지 전송 프로토콜, RTP: 실시간 미디어 데이터 전송 프로토콜)간 프로토콜의 연관성 분석 탐지 기능과, 응용계층 프로토콜의 Deep Packet 헤더 분석 기능과, 호 설정 상태 분석 기능을 갖고 있음으로써, 응용계층(SIP, RTP)에 특화된 공격을 탐지하고 차단할 수 있는 효과가 있다.
인터넷전화, SIP(Session Initation Protocol), VoIP(Voice Over IP), 정보보호, VoIP 보안, IPS, SIP 방화벽, SIP 시그널링 공격 대응 모듈, RTP 미디어 공격 대응 모듈, SIP 시그널링/미디어 공격 대응 정책 관리 모듈, IP/Port 필터링 모듈, 응용계층, 해킹 공격, 탐지, 차단.

Description

에스아이피(SIP) 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템과 그 방법{Detection and block system for hacking attack of internet telephone using the SIP-based and method thereof}
본 발명은 SIP 시그널링 공격 대응 모듈과, RTP 미디어 공격 대응 모듈과, SIP 시그널링/미디어 공격 대응 정책 관리 모듈 및 IP/Port 필터링 모듈의 구성을 통해 인터넷전화의 대표적인 신호 제어 프로토콜인 SIP 프로토콜을 이용하여 해킹 공격을 탐지하고 차단할 수 있으며, 응용계층(SIP:호 설정 제어 메시지 전송 프로토콜, RTP: 실시간 미디어 데이터 전송 프로토콜)간 프로토콜의 연관성 분석 탐지 기능과, 응용계층 프로토콜의 Deep Packet 헤더 분석 기능과, 호 설정 상태 분석 기능을 갖고 있음으로써, 응용계층(SIP, RTP)에 특화된 공격을 탐지하고 차단할 수 있는 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템과 그 방법에 관한 기술이다.
인터넷 전화 등 SIP(Session Initation Protocol) 기반의 응용서비스는 호 설정을 위한 시그널링 경로와 음성 데이터 전송되는 미디어 경로가 다르게 전송되고, 사용자간 미디어 채널을 오픈하기 위해 IP/Port 등의 호 설정 주소 정보가 SIP 시그널링 메시지에 내포되어 전송되며, SIP 프로토콜 구조가 INVITE/BYE/CANCEL 등의 다양한 SIP 설정 메소드를 사용하는 SIP 기반의 응용서비스에 특화된 특성을 가지고 있으나, 기존의 보안 장비들은 이러한 특성들을 반영하여 응용계층(SIP, RTP)을 이용한 다양한 해킹 공격에 대응하는데 한계가 있다.
종래의 방화벽은 SIP 시그널링 포트를 반드시 오픈해야 하는 한계가 있고, IPS, IDS 기술의 경우도 응용계층(SIP, RTP) 프로토콜 헤더 필드를 정교하게 분석하지 않으며, SIP 시그널링 패킷과, RTP 미디어 패킷과, 크로스 프로토콜 연관 분석 탐지 및 호 설정 상태 기반의 Statefull Inspection 탐지 기능을 제공하지 않아 응용계층(SIP, RTP)에 특화된 공격을 탐지하고 대응하는데 한계가 있다.
그러므로 인터넷전화의 대표적인 신호 제어 프로토콜인 SIP 프로토콜을 이용하여 해킹 공격을 탐지하고 차단할 수 있으며, 응용계층(SIP, RTP)간 프로토콜의 연관성 분석 탐지 기능과, 응용계층 프로토콜의 Deep Packet 헤더 분석 기능과, 호 설정 상태 분석 기능을 갖고 있음으로써, 응용계층(SIP, RTP)에 특화된 공격을 탐지하고 차단할 수 있는 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템과 방법의 개발이 절실히 요구되고 있는 실정이다.
이에 본 발명은 상기 문제점들을 해결하기 위하여 착상된 것으로서, SIP 시그널링 공격 대응 모듈과, RTP 미디어 공격 대응 모듈과, SIP 시그널링/미디어 공격 대응 정책 관리 모듈 및 IP/Port 필터링 모듈의 구성을 통해 인터넷전화의 대표적인 신호 제어 프로토콜인 SIP 프로토콜을 이용하여 해킹 공격을 탐지하고 차단할 수 있는 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템과 그 방법을 제공하는데 그 목적이 있다.
본 발명의 다른 목적은 응용계층(SIP, RTP)간 프로토콜의 연관성 분석 탐지 기능과, 응용계층 프로토콜의 Deep Packet 헤더 분석 기능과, 호 설정 상태 분석 기능을 갖고 있음으로써, 응용계층(SIP, RTP)에 특화된 공격을 탐지하고 차단할 수 있는 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템과 그 방법을 제공하는데 있다.
상기 목적을 달성하기 위한 본 발명의 바람직한 일실시예에 따른 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템은 SIP 메소드 플루딩(Flooding) 공격과, SIP BYE/Cancel 공격인 SIP 호 제어 메시지를 이용한 공격을 탐지하고 차단하는 SIP 시그널링 공격 대응 모듈과; RTP Insertion 공격인 RTP 미디어 데이터 기반의 공격을 탐지하고 차단하는 RTP 미디어 공격 대응 모듈과; 상기 SIP 시그널링 공격 대응 모듈 및 RTP 미디어 공격 대응 모듈과 연결되며, 응용계 층(SIP, RTP) 기반의 공격을 탐지하고 차단하는 정책과 보안 정책을 관리하는 SIP 시그널링/미디어 공격 대응 정책 관리 모듈과; 상기 SIP 시그널링 공격 대응 모듈 및 RTP 미디어 공격 대응 모듈과 연결되며, IP/Port/프로토콜 별로 L3~L4 계층의 공격을 차단하는 IP/Port 필터링 모듈; 을 포함함을 특징으로 한다.
상기 본 발명에 있어서, 상기 SIP 시그널링 공격 대응 모듈은 SIP 표준 규격에 맞게 SIP 시그널링 헤더를 디코딩하는 SIP 시그널링 헤더 디코딩 블록과; URI기반 SIP 패킷 필터링과, SIP 시그널링 DoS 탐지와, SIP 프로토콜 어노말리 탐지와, SIP 주소 위변조 탐지와, 시그니처 기반 SIP 해킹 공격 탐지 및 SIP 세션 어노말리 탐지 기능을 갖는 SIP 시그널링 공격 탐지/차단 블록과; 호가 SIP 호 설정 정보를 전송하기 위한 호 설정 정보 전송 에이전트; 로 구성되는 것을 특징으로 한다.
상기 본 발명에 있어서, 상기 RTP 미디어 공격 대응 모듈은 호가 SIP 호 설정 정보를 수신하기 위한 호 설정 정보 수신 에이전트와; SIP 시그널링 공격 대응 모듈로부터 호 설정 상태 정보(통화가 연결된 IP 주소, 동적 Port 정보)를 수신 받아 RTP 미디어 공격을 탐지하고 차단하는 RTP 미디어 공격 탐지/차단 블록과; RTP 표준 규격에 맞게 RTP 미디어 헤더를 디코딩하는 RTP 미디어 헤더 디코딩 블록; 으로 구성되는 것을 특징으로 한다.
상기 본 발명에 있어서, 상기 SIP 시그널링 공격 대응 모듈과, RTP 미디어 공격 대응 모듈 간 호 설정 정보 전송/수신 에이전트 채널을 통해 통화가 연결된 설정 정보(Signaled IP 주소, 동적 Port 주소)를 교환하여 응용계층(SIP, RTP) 간 프로토콜의 연관성 분석이 가능한 것을 특징으로 한다.
상기 본 발명에 있어서, 상기 SIP 시그널링 공격 탐지/차단 블록은 SIP 헤더 필드 분석 후 To, From, Via 필드에 블랙리스트로 설정된 URI 주소 정보를 포함하는 SIP 패킷을 필터링하는 URI기반 SIP 패킷 필터링부와; INVITE 플로딩과 같은 SIP 메소드를 이용한 DoS 공격을 탐지하고 차단하는 SIP 시그널링 DoS 탐지부와; RFC 3261 표준 규격을 위반하는 SIP Malformed 메시지 공격을 탐지하고 차단하는 SIP 프로토콜 어노말리 탐지부와; IP 주소 스푸핑의 스푸핑 공격을 탐지하는 SIP 주소 위변조 탐지부와; 알려진 SIP 메시지 기반 공격을 시그니처 형태로 패턴매칭 방식을 통해 SIP XSS, SQL Injection 공격, 단말 OS 버그 취약성 공격을 탐지하는 시그니처기반 SIP 해킹 공격 탐지부와; SIP 콜 트랜젝션 상태의 적합성을 확인하고 처리하는 SIP 세션 어노말리 탐지부; 로 구성되는 것을 특징으로 한다.
상기 본 발명에 있어서, 상기 RTP 미디어 공격 탐지/차단 블록은 SIP 시그널링 공격 탐지/차단 모듈로부터 호 설정 상태 정보를 수신 받아 IP 헤더 필드 분석 후 송신 IP/Port, 수신 IP/Port 필드에 블랙리스트로 설정된 IP/Port 정보를 포함하는 RTP 패킷을 필터링하는 IP/Port 패킷 필터링부와; IP/Port 패킷 필터링부에서 RTP 패킷을 수신 받아 헤더 필드별로 RTP 표준 규격에 맞게 디코딩하여 RTP 미디어 공격 탐지/차단 모듈로 전송하는 RTP 미디어 헤더 디코딩 모듈과; 정상적으로 호가 설정된 RTP 스트림을 판단하기 위한 것으로, SIP 시그널링 공격 대응 모듈로부터 호 설정 상태 정보를 수신 받아 IP, Port, SSRC 값이 동일한지 체크하고 동일하지 않을 경우 RTP Insertion 공격으로 판단하고 탐지하는 RTP 미디어 공격 탐지/차단 모듈과; RTP 트래픽을 프로파일링하고 rate-limit을 통해 비정상 RTP 트래픽을 탐지하고 네트워크 대역을 관리하여 정상 RTP 트래픽을 우선 처리할 수 있게 하는 비정상 RTP 트래픽 대응 모듈; 로 구성되는 것을 특징으로 한다.
또한 상기 목적을 달성하기 위한 본 발명의 바람직한 일실시예에 따른 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 방법에 있어서, 호 설정이 이뤄지지 않은 RTP 미디어 공격 패킷 탐지/차단 동작 과정은 RTP 미디어 데이터 디코딩을 통과한 RTP 패킷을 수신하는 단계와; 정상적으로 호가 설정되어 RTP 스트림을 판단하기 위해 호가 설정된 정보인 송수신 IP, Port, SSRC 값을 조회하는 단계와; 호 설정 상태 테이블의 IP, Port, SSRC와 일치하는 패킷일 경우, 패킷을 다음 프로세스로 전달하고, 그렇지 않은 경우, 패킷을 Drop하는 단계; 를 포함함을 특징으로 한다.
본 발명에 따른 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템과 그 방법은 다음과 같은 효과를 가진다.
첫째, 본 발명은 SIP 시그널링 공격 대응 모듈과, RTP 미디어 공격 대응 모듈과, SIP 시그널링/미디어 공격 대응 정책 관리 모듈 및 IP/Port 필터링 모듈의 구성을 통해 인터넷전화의 대표적인 신호 제어 프로토콜인 SIP 프로토콜을 이용하여 해킹 공격을 탐지하고 차단할 수 있다.
둘째, 본 발명은 응용계층(SIP, RTP)간 프로토콜의 연관성 분석 탐지 기능 과, 응용계층 프로토콜의 Deep Packet 헤더 분석 기능과, 호 설정 상태 분석 기능을 갖고 있음으로써, 응용계층(SIP, RTP)에 특화된 공격을 탐지하고 차단할 수 있다.
이하 첨부된 도면과 함께 본 발명의 바람직한 실시 예를 살펴보면 다음과 같은데, 본 발명을 설명함에 있어서 관련된 공지기술 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략할 것이며, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있으므로, 그 정의는 본 발명인 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템과 그 방법을 설명하는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
이하, 본 발명의 바람직한 일실시예에 따른 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템을 첨부된 도면을 참조하여 상세히 설명한다.
도 1은 본 발명의 일실시예에 따른 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템을 설명하기 위한 구성을 나타낸 도면이고, 도 2는 본 발명의 일실시예에 따른 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템을 구성하는 SIP 시그널링 공격 탐지/차단 블록을 설명하기 위해 나타낸 도면이며, 도 3은 본 발명의 일실시예에 따른 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템을 구성하는 RTP 미디어 공격 탐지/차단 블록을 설명하기 위해 나타낸 도면이다.
도 1에 도시한 바와 같이, SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템은 SIP 메소드 플루딩 공격과, SIP BYE/Cancel 공격인 SIP 호 제어 메시지를 이용한 공격을 탐지하고 차단하는 SIP 시그널링 공격 대응 모듈(100)과; RTP Insertion 공격인 RTP 미디어 데이터 기반의 공격을 탐지하고 차단하는 RTP 미디어 공격 대응 모듈(200)과; 상기 SIP 시그널링 공격 대응 모듈 및 RTP 미디어 공격 대응 모듈과 연결되며, 응용계층(SIP, RTP) 기반의 공격을 탐지하고 차단하는 정책과 보안 정책을 관리하는 SIP 시그널링/미디어 공격 대응 정책 관리 모듈(300)과; 상기 SIP 시그널링 공격 대응 모듈 및 RTP 미디어 공격 대응 모듈과 연결되며, IP/Port/프로토콜 별로 L3~L4 계층의 공격을 차단하는 IP/Port 필터링 모듈(400); 로 구성된다.
상기 SIP(session initiation protocol)란 전화, 인터넷 컨퍼런스, 메신저 등에 사용되는 응용 계층의 시그널링 프로토콜로서, 인터넷 기반 회의, 전화, 음성 메일, 이벤트 통지, 인스턴트 메시징 등 멀티미디어 서비스 세션의 생성, 수정, 종료를 제어하는 역할을 한다. SIP 프로토콜은 음성 미디어 전달을 위한 RTP 프로토콜과 같이 사용된다.
상기 본 발명인 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템을 구성하는 기술적 수단들의 구성과 기능을 살펴보면 다음과 같다.
상기 SIP 시그널링 공격 대응 모듈(100)은 SIP 프로토콜 기반의 인터넷전화 해킹 공격의 탐지 및 대응 시스템은 SIP 메소드 플루딩 공격과, SIP BYE/Cancel 공격인 SIP 호 제어 메시지를 이용한 공격을 탐지하고 차단한다.
여기서 상기 SIP 시그널링 공격 대응 모듈(100)은 SIP 표준 규격에 맞게 SIP 시그널링 헤더를 디코딩하는 SIP 시그널링 헤더 디코딩 블록(110)과; URI기반 SIP 패킷 필터링과, SIP 시그널링 DoS 탐지와, SIP 프로토콜 어노말리 탐지와, SIP 주소 위변조 탐지와, 시그니처 기반 SIP 해킹 공격 탐지 및 SIP 세션 어노말리 탐지 기능을 갖는 SIP 시그널링 공격 탐지/차단 블록(120)과; 호가 SIP 호 설정 정보를 전송하기 위한 호 설정 정보 전송 에이전트(130); 로 구성된다.
또한 도 2에 도시한 바와 같이, 상기 SIP 시그널링 공격 탐지/차단 블록(120)은 SIP 헤더 필드 분석 후 To, From, Via 필드에 블랙리스트로 설정된 URI 주소 정보를 포함하는 SIP 패킷을 필터링하는 URI기반 SIP 패킷 필터링부(121)와; INVITE 플로딩과 같은 SIP 메소드를 이용한 DoS 공격을 탐지하고 차단하는 SIP 시그널링 DoS 탐지부(122)와; RFC 3261 표준 규격을 위반하는 SIP Malformed 메시지 공격을 탐지하고 차단하는 SIP 프로토콜 어노말리 탐지부(123)와; IP 주소 스푸핑의 스푸핑 공격을 탐지하는 SIP 주소 위변조 탐지부(124)와; 알려진 SIP 메시지 기반 공격을 시그니처 형태로 패턴매칭 방식을 통해 SIP XSS, SQL Injection 공격, 단말 OS 버그 취약성 공격을 탐지하는 시그니처기반 SIP 해킹 공격 탐지부(125)와; SIP 콜 트랜젝션 상태의 적합성을 확인하고 처리하는 SIP 세션 어노말리 탐지부(126); 로 구성된다.
여기서 상기 SIP 주소 위변조 탐지부(124)는 더 구체적으로 보면, SIP 메시 지에서 핑거프린팅 정보를 추출해서, 초기 SIP INVITE 메시지의 Fingerprint 값과 비교하여 메시지의 위조, 변조를 탐지하는 것이다. 현재 세션의 정보를 이용하여, Call-ID, MAC address, Seq #, From, To, 헤더 순서, Max-Forwards, Via 필드 등의 값이 동일한지 체크하고 동일하지 않을 경우 주소 위조, 변조된 패킷으로 판단하고 탐지한다. 또한 상기 SIP 세션 어노말리 탐지부(126)에서 트랜젝션 상태는 표준(RFC 3261)의 INVITE/Non-INVITE sever/client transaction 따라 SIP BYE, CANCEL 등 SIP 콜 트랜젝션 상태에 위배되는 통화 방해/중단 공격을 탐지하는 것이다.
상기 RTP 미디어 공격 대응 모듈(200)은 RTP Insertion 공격인 RTP 미디어 데이터 기반의 공격을 탐지하고 차단한다.
여기서 상기 RTP 미디어 공격 대응 모듈(200)은 호가 SIP 호 설정 정보를 수신하기 위한 호 설정 정보 수신 에이전트(210)와; SIP 시그널링 공격 대응 모듈로부터 호 설정 상태 정보(통화가 연결된 IP 주소, 동적 Port 정보)를 수신 받아 RTP 미디어 공격을 탐지하고 차단하는 RTP 미디어 공격 탐지/차단 블록(220)과; RTP 표준 규격에 맞게 RTP 미디어 헤더를 디코딩하는 RTP 미디어 헤더 디코딩 블록(230); 으로 구성된다.
상기 SIP 시그널링 공격 대응 모듈(100)과, RTP 미디어 공격 대응 모듈(200) 간 호 설정 정보 전송/수신 에이전트 채널을 통해 통화가 연결된 설정 정보(Signaled IP 주소, 동적 Port 주소)를 교환하여 응용계층(SIP, RTP) 간 프로토콜의 연관성 분석이 가능한 것이다.
상기 SIP 시그널링/미디어 공격 대응 정책 관리 모듈(300)은 상기 SIP 시그널링 공격 대응 모듈 및 RTP 미디어 공격 대응 모듈과 연결되며, 응용계층(SIP, RTP) 기반의 공격을 탐지하고 차단하는 정책과 보안 정책을 관리한다.
상기 IP/Port 필터링 모듈(400)은 상기 SIP 시그널링 공격 대응 모듈 및 RTP 미디어 공격 대응 모듈과 연결되며, IP/Port/프로토콜 별로 L3~L4 계층의 공격을 차단한다.
또한, OSI 7 레이어 관점에서 SIP 시그널링 공격 대응 모듈(100) 및 RTP 미디어 공격 대응 모듈(200)은 L7 응용계층에서 처리하며, IP/Port 필터링 모듈(400)은 L3~L4 계층 기반 공격 필터링을 처리한다.
또한 도 3에 도시한 바와 같이, RTP 미디어 공격 탐지/차단 블록(220)은 SIP 시그널링 공격 탐지/차단 모듈로부터 호 설정 상태 정보를 수신 받아 IP 헤더 필드 분석 후 송신 IP/Port, 수신 IP/Port 필드에 블랙리스트로 설정된 IP/Port 정보를 포함하는 RTP 패킷을 필터링하는 IP/Port 패킷 필터링부(221)와; IP/Port 패킷 필터링부에서 RTP 패킷을 수신 받아 헤더 필드별로 RTP 표준 규격에 맞게 디코딩하여 RTP 미디어 공격 탐지/차단 모듈로 전송하는 RTP 미디어 헤더 디코딩 모듈(222)과; 정상적으로 호가 설정된 RTP 스트림을 판단하기 위한 것으로, SIP 시그널링 공격 대응 모듈로부터 호 설정 상태 정보를 수신 받아 IP, Port, SSRC 값이 동일한지 체크하고 동일하지 않을 경우 RTP Insertion 공격으로 판단하고 탐지하는 RTP 미디어 공격 탐지/차단 모듈(223)과; RTP 트래픽을 프로파일링하고 rate-limit을 통해 비정상 RTP 트래픽을 탐지하고 네트워크 대역을 관리하여 정상 RTP 트래픽을 우선 처 리할 수 있게 하는 비정상 RTP 트래픽 대응 모듈(224); 로 구성된다.
그러므로 SIP 시그널링 공격 대응 모듈로부터 호 설정 상태 정보(통화가 연결된 IP 주소, 동적 Port 정보 등)을 수신 받아 RTP 미디어 공격을 탐지하고 차단하는데, 즉, SIP 호설정 정보와 프로토콜 연관성 분석을 통해 RTP 미디어 공격을 탐지하고 차단하는 것이다.
도 4는 본 발명의 일실시예에 따른 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 방법에서 호 설정이 이뤄지지 않은 RTP 미디어 공격 패킷 탐지/차단 동작하는 흐름을 나타낸 도면이다.
도 4에 도시한 바와 같이, SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 방법에서 호 설정이 이뤄지지 않은 RTP 미디어 공격 패킷 탐지/차단 동작하는 흐름을 살펴보면 다음과 같다.
먼저, RTP 미디어 데이터 디코딩을 통과한 RTP 패킷을 수신한다. 이어서 정상적으로 호가 설정되어 RTP 스트림을 판단하기 위해 호가 설정된 정보인 송수신 IP, Port, SSRC 값을 조회한다. 이후에 호 설정 상태 테이블의 IP, Port, SSRC와 일치하는 패킷일 경우, 패킷을 다음 프로세스로 전달하고, 그렇지 않은 경우, 패킷을 Drop한다.
본 발명은 상기 실시예에 한정되지 않고, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 다양하게 수정 및 변경 실시할 수 있음은 이 기술 분야에서 통상의 지식을 가진 자라면 누구나 이해할 수 있을 것이다.
도 1은 본 발명의 일실시예에 따른 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템을 설명하기 위한 구성을 나타낸 도면
도 2는 본 발명의 일실시예에 따른 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템을 구성하는 SIP 시그널링 공격 탐지/차단 블록을 설명하기 위해 나타낸 도면이다.
도 3은 본 발명의 일실시예에 따른 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템을 구성하는 RTP 미디어 공격 탐지/차단 블록을 설명하기 위해 나타낸 도면.
도 4는 본 발명의 일실시예에 따른 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 방법에서 호 설정이 이뤄지지 않은 RTP 미디어 공격 패킷 탐지/차단 동작하는 흐름을 나타낸 도면.
<도면의 주요부분에 대한 부호설명>
100: SIP 시그널링 공격 대응 모듈 200: RTP 미디어 공격 대응 모듈
300: SIP 시그널링/미디어 공격 대응 정책 관리 모듈
400: IP/Port 필터링 모듈 110: SIP 시그널링 헤더 디코딩 블록
120: SIP 시그널링 공격 탐지/차단 블록
130: 호 설정 정보 전송 에이전트 210: 호 설정 정보 수신 에이전트
220: RTP 미디어 공격 탐지/차단 블록 230: RTP 미디어 헤더 디코딩 블록
121: URI기반 SIP 패킷 필터링부 122: SIP 시그널링 DoS 탐지부
123: SIP 프로토콜 어노말리 탐지부 124: SIP 주소 위변조 탐지부
125: 시그니처기반 SIP 해킹 공격 탐지부 126: SIP 세션 어노말리 탐지부
221: IP/Port 패킷 필터링부 222: RTP 미디어 헤더 디코딩 모듈
223: RTP 미디어 공격 탐지/차단 모듈 224: 비정상 RTP 트래픽 대응 모듈

Claims (7)

  1. SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템에 있어서,
    SIP 메소드 플루딩 공격과, SIP BYE/Cancel 공격인 SIP 호 제어 메시지를 이용한 공격을 탐지하고 차단하는 SIP 시그널링 공격 대응 모듈과;
    RTP Insertion 공격인 RTP 미디어 데이터 기반의 공격을 탐지하고 차단하는 RTP 미디어 공격 대응 모듈과;
    상기 SIP 시그널링 공격 대응 모듈 및 RTP 미디어 공격 대응 모듈과 연결되며, 응용계층(SIP, RTP) 기반의 공격을 탐지하고 차단하는 정책과 보안 정책을 관리하는 SIP 시그널링/미디어 공격 대응 정책 관리 모듈과;
    상기 SIP 시그널링 공격 대응 모듈 및 RTP 미디어 공격 대응 모듈과 연결되며, IP/Port/프로토콜 별로 L3~L4 계층의 공격을 차단하는 IP/Port 필터링 모듈을 포함하되,
    상기 SIP 시그널링 공격 대응 모듈과, RTP 미디어 공격 대응 모듈 간 호 설정 정보 전송/수신 에이전트 채널을 통해 통화가 연결된 설정 정보(Signaled IP 주소, 동적 Port 주소)를 교환하여 응용계층(SIP, RTP) 간 프로토콜의 연관성 분석이 가능한 것을 특징으로 하는 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템.
  2. 제 1항에 있어서,
    상기 SIP 시그널링 공격 대응 모듈은 SIP 표준 규격에 맞게 SIP 시그널링 헤더를 디코딩하는 SIP 시그널링 헤더 디코딩 블록과; URI기반 SIP 패킷 필터링과, SIP 시그널링 DoS 탐지와, SIP 프로토콜 어노말리 탐지와, SIP 주소 위변조 탐지 와, 시그니처 기반 SIP 해킹 공격 탐지 및 SIP 세션 어노말리 탐지 기능을 갖는 SIP 시그널링 공격 탐지/차단 블록과; 호가 SIP 호 설정 정보를 전송하기 위한 호 설정 정보 전송 에이전트; 로 구성되는 것을 특징으로 하는 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템.
  3. 제 1항에 있어서,
    상기 RTP 미디어 공격 대응 모듈은 호가 SIP 호 설정 정보를 수신하기 위한 호 설정 정보 수신 에이전트와; SIP 시그널링 공격 대응 모듈로부터 호 설정 상태 정보(통화가 연결된 IP 주소, 동적 Port 정보)를 수신 받아 RTP 미디어 공격을 탐지하고 차단하는 RTP 미디어 공격 탐지/차단 블록과; RTP 표준 규격에 맞게 RTP 미디어 헤더를 디코딩하는 RTP 미디어 헤더 디코딩 블록; 으로 구성되는 것을 특징으로 하는 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템.
  4. 삭제
  5. 제 2항에 있어서,
    상기 SIP 시그널링 공격 탐지/차단 블록은 SIP 헤더 필드 분석 후 To, From, Via 필드에 블랙리스트로 설정된 URI 주소 정보를 포함하는 SIP 패킷을 필터링하는 URI기반 SIP 패킷 필터링부와; INVITE 플로딩과 같은 SIP 메소드를 이용한 DoS 공격을 탐지하고 차단하는 SIP 시그널링 DoS 탐지부와; RFC 3261 표준 규격을 위반하는 SIP Malformed 메시지 공격을 탐지하고 차단하는 SIP 프로토콜 어노말리 탐지부와; IP 주소 스푸핑의 스푸핑 공격을 탐지하는 SIP 주소 위변조 탐지부와; 알려진 SIP 메시지 기반 공격을 시그니처 형태로 패턴매칭 방식을 통해 SIP XSS, SQL Injection 공격, 단말 OS 버그 취약성 공격을 탐지하는 시그니처기반 SIP 해킹 공격 탐지부와; SIP 콜 트랜젝션 상태의 적합성을 확인하고 처리하는 SIP 세션 어노말리 탐지부; 로 구성되는 것을 특징으로 하는 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템.
  6. 제 3항에 있어서,
    상기 RTP 미디어 공격 탐지/차단 블록은 SIP 시그널링 공격 탐지/차단 모듈로부터 호 설정 상태 정보를 수신 받아 IP 헤더 필드 분석 후 송신 IP/Port, 수신 IP/Port 필드에 블랙리스트로 설정된 IP/Port 정보를 포함하는 RTP 패킷을 필터링하는 IP/Port 패킷 필터링부와; IP/Port 패킷 필터링부에서 RTP 패킷을 수신 받아 헤더 필드별로 RTP 표준 규격에 맞게 디코딩하여 RTP 미디어 공격 탐지/차단 모듈로 전송하는 RTP 미디어 헤더 디코딩 모듈과; 정상적으로 호가 설정된 RTP 스트림을 판단하기 위한 것으로, SIP 시그널링 공격 대응 모듈로부터 호 설정 상태 정보를 수신 받아 IP, Port, SSRC 값이 동일한지 체크하고 동일하지 않을 경우 RTP Insertion 공격으로 판단하고 탐지하는 RTP 미디어 공격 탐지/차단 모듈과; RTP 트래픽을 프로파일링하고 rate-limit을 통해 비정상 RTP 트래픽을 탐지하고 네트워크 대역을 관리하여 정상 RTP 트래픽을 우선 처리할 수 있게 하는 비정상 RTP 트래픽 대응 모듈; 로 구성되는 것을 특징으로 하는 SIP 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템.
  7. 삭제
KR1020080132229A 2008-12-23 2008-12-23 에스아이피(sip) 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템과 그 방법 KR101011221B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080132229A KR101011221B1 (ko) 2008-12-23 2008-12-23 에스아이피(sip) 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템과 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080132229A KR101011221B1 (ko) 2008-12-23 2008-12-23 에스아이피(sip) 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템과 그 방법

Publications (2)

Publication Number Publication Date
KR20100073527A KR20100073527A (ko) 2010-07-01
KR101011221B1 true KR101011221B1 (ko) 2011-01-26

Family

ID=42636472

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080132229A KR101011221B1 (ko) 2008-12-23 2008-12-23 에스아이피(sip) 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템과 그 방법

Country Status (1)

Country Link
KR (1) KR101011221B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101388627B1 (ko) 2013-11-07 2014-04-24 한국인터넷진흥원 4g 이동통신망에서의 비정상 트래픽 차단 장치

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101285769B1 (ko) * 2011-12-29 2013-07-19 주식회사 시큐아이 세션 개시 프로토콜의 invite 스푸핑 공격을 차단하기 위한 방법 및 장치
KR101346810B1 (ko) * 2012-03-07 2014-01-03 주식회사 시큐아이 통합적 서비스 제어 장치 및 방법
CN111314359B (zh) * 2020-02-20 2022-07-19 上海欣方智能***有限公司 一种基于sip信令采集的反诈骗方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070118894A1 (en) * 2005-11-23 2007-05-24 Nextone Communications, Inc. Method for responding to denial of service attacks at the session layer or above
KR100838811B1 (ko) * 2007-02-15 2008-06-19 한국정보보호진흥원 안전한 VoIP 서비스를 위한 보안 세션 제어 장치
KR100849888B1 (ko) * 2007-11-22 2008-08-04 한국정보보호진흥원 공격 멀티미디어 패킷 차단 장치, 시스템 및 방법
KR100852145B1 (ko) * 2007-11-22 2008-08-13 한국정보보호진흥원 SIP 기반 VoIP 서비스를 위한 호 제어 메시지의보안 시스템 및 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070118894A1 (en) * 2005-11-23 2007-05-24 Nextone Communications, Inc. Method for responding to denial of service attacks at the session layer or above
KR100838811B1 (ko) * 2007-02-15 2008-06-19 한국정보보호진흥원 안전한 VoIP 서비스를 위한 보안 세션 제어 장치
KR100849888B1 (ko) * 2007-11-22 2008-08-04 한국정보보호진흥원 공격 멀티미디어 패킷 차단 장치, 시스템 및 방법
KR100852145B1 (ko) * 2007-11-22 2008-08-13 한국정보보호진흥원 SIP 기반 VoIP 서비스를 위한 호 제어 메시지의보안 시스템 및 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101388627B1 (ko) 2013-11-07 2014-04-24 한국인터넷진흥원 4g 이동통신망에서의 비정상 트래픽 차단 장치

Also Published As

Publication number Publication date
KR20100073527A (ko) 2010-07-01

Similar Documents

Publication Publication Date Title
KR101107742B1 (ko) 에스아이피(sip) 기반 서비스의 보호를 위한 sip 침입 탐지 및 대응 시스템
US9473529B2 (en) Prevention of denial of service (DoS) attacks on session initiation protocol (SIP)-based systems using method vulnerability filtering
US8522344B2 (en) Theft of service architectural integrity validation tools for session initiation protocol (SIP)-based systems
US8161540B2 (en) System and method for unified communications threat management (UCTM) for converged voice, video and multi-media over IP flows
US8984627B2 (en) Network security management
KR101088852B1 (ko) 인터넷 전화 과금우회 공격 탐지 시스템 및 그 탐지 방법
US20140173731A1 (en) System and Method for Unified Communications Threat Management (UCTM) for Converged Voice, Video and Multi-Media Over IP Flows
US8514845B2 (en) Usage of physical layer information in combination with signaling and media parameters
KR100849888B1 (ko) 공격 멀티미디어 패킷 차단 장치, 시스템 및 방법
US20080089494A1 (en) System and Method for Securing a Telephone System Comprising Circuit Switched and IP Data Networks
KR101097419B1 (ko) 넷플로우 통계정보를 이용한 비정상 에스아이피 트래픽 폭주공격 탐지 및 모니터링시스템과 그 방법
JP2008538470A (ja) 未承諾の音声情報の送信に対抗する方法
Patrick Voice over IP security
EP2597839A1 (en) Transparen Bridge Device for protecting network services
KR101011221B1 (ko) 에스아이피(sip) 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템과 그 방법
US7764697B2 (en) Method for detecting and handling rogue packets in RTP protocol streams
Shan et al. Research on security mechanisms of SIP-based VoIP system
Ha et al. Design and implementation of SIP-aware DDoS attack detection system
JP2006100873A (ja) Sipパケットフィルタリング装置およびネットワーク間接続装置およびsipサーバ
KR101466895B1 (ko) VoIP 불법 검출 방법, 이를 수행하는 VoIP 불법 검출 장치 및 이를 저장하는 기록매체
KR101379779B1 (ko) 발신 정보가 변조된 보이스 피싱 및 문자 피싱 공격을 탐지 및 차단하는 방법
JP2006023934A (ja) サービス拒絶攻撃防御方法およびシステム
KR20100073535A (ko) Sip 변종 제어 메시지 공격을 탐지하는 장치 및 그 방법
Ahmad et al. VoIP security: A model proposed to mitigate DDoS attacks on SIP based VoIP network
Barry et al. Architecture and performance evaluation of a hybrid intrusion detection system for IP telephony

Legal Events

Date Code Title Description
A201 Request for examination
N231 Notification of change of applicant
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140121

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20141204

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee