KR20100080728A - 응용계층 url 주소정보기반의 sip 플루딩 공격을 탐지하는 방법 - Google Patents

응용계층 url 주소정보기반의 sip 플루딩 공격을 탐지하는 방법 Download PDF

Info

Publication number
KR20100080728A
KR20100080728A KR1020090000158A KR20090000158A KR20100080728A KR 20100080728 A KR20100080728 A KR 20100080728A KR 1020090000158 A KR1020090000158 A KR 1020090000158A KR 20090000158 A KR20090000158 A KR 20090000158A KR 20100080728 A KR20100080728 A KR 20100080728A
Authority
KR
South Korea
Prior art keywords
sip
dos
server
attack
detecting
Prior art date
Application number
KR1020090000158A
Other languages
English (en)
Inventor
김정욱
김환국
고경희
이창용
정현철
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020090000158A priority Critical patent/KR20100080728A/ko
Publication of KR20100080728A publication Critical patent/KR20100080728A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1101Session protocols
    • H04L65/1104Session initiation protocol [SIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/30Types of network names
    • H04L2101/385Uniform resource identifier for session initiation protocol [SIP URI]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Multimedia (AREA)
  • Telephonic Communication Services (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 응용계층 URL 주소정보기반의 SIP 플루딩 공격을 탐지하는 방법에 관한 것으로서, 특히 더욱 상세하게는 3~4계층의 IP 주소체계인 5-투풀(Tuple)과 SIP 주소정보(To, From) 정보를 조합하여 DoS 패턴을 분류하고 탐지할 수 있고, 송신자로부터 수신자까지의 SIP 트래픽 전달 과정을 송신자와 서버 구간, 서버 간 구간, 서버와 수신자 구간으로 나누어 각각의 사용자 별 또는 단말이나 서버 별로 SIP 호 프로파일링 테이블을 생성하고 임계치를 넘을 시 DoS 또는 SCAN 공격으로 판단하고 탐지하며, SIP 프록시 서버 사용에 따른 송신 IP 및 목적지 IP 주소 변경 특성에 따라 탐지 구간을 나누고, 탐지 구간별로 IP 정보와 SIP 메시지의 메소드(Method), URI, Call-ID 등과 같은 정보를 고려하여 탐지를 수행함으로써, INVITE 플루딩, REGISTRATION 플루딩과 같은 SIP 서비스 거부 공격 및 SCAN 공격이 탐지가 가능하고, IP 정보 이외에 SIP 헤더 정보, 단말과 SIP 서버 간의 특성을 이용하여 SIP 서비스 거부 공격 및 SIP SCAN 공격을 탐지할 수 있는 효과가 있다.
5-투풀, SIP 헤더정보, 단말과 SIP 서버간 특성, 송신 IP주소, 목적지 IP주 소, SIP SCAN 공격탐지, SIP DoS 공격탐지, SIP DDoS 공격탐지, 서버/단말별 공격탐지.

Description

응용계층 URL 주소정보기반의 SIP 플루딩 공격을 탐지하는 방법{Detecting method for SIP flooding attack of application layer URL address information based}
본 발명은 3~4계층의 IP 주소체계인 5-투풀(Tuple)과 SIP 주소정보(To, From) 정보를 조합하여 DoS 패턴을 분류하고 탐지할 수 있고, 송신자로부터 수신자까지의 SIP 트래픽 전달 과정을 송신자와 서버 구간, 서버 간 구간, 서버와 수신자 구간으로 나누어 각각의 사용자 별 또는 단말이나 서버 별로 SIP 호 프로파일링 테이블을 생성하고 임계치를 넘을 시 DoS 또는 SCAN 공격으로 판단하고 탐지하며, SIP 프록시 서버 사용에 따른 송신 IP 및 목적지 IP 주소 변경 특성에 따라 탐지 구간을 나누고, 탐지 구간별로 IP 정보와 SIP 메시지의 메소드, URI, Call-ID 등과 같은 정보를 고려하여 탐지를 수행함으로써, INVITE 플루딩, REGISTRATION 플루딩과 같은 SIP 서비스 거부 공격 및 SCAN 공격이 탐지가 가능하고, IP 정보 이외에 URI, Call-ID 등과 같은 SIP 헤더 정보, 단말과 SIP 서버 간의 특성을 이용하여 SIP 서비스 거부 공격 및 SIP SCAN 공격을 탐지할 수 있는 응용계층 URL 주소정보기반의 SIP 플루딩 공격을 탐지하는 방법에 관한 기술이다.
기존 DoS 공격 탐지 기법은 TCP을 탐지하기 위해 IP 플로우 정보인 5-투풀(소스 IP, 소스 포트, 대상 IP, 대상 포트, 프로토콜) 기반으로 DoS 공격 패턴을 정의한다.
일반적으로 Snort 등의 네트워크 기반의 침입탐지기술들은 IP 계층의 5-투풀 플루우 정보(srcIP, srcPort, dstIP, dstPort, Protocol) 기반으로 DoS, 네트워크/호스트 스캔 등의 DoS 패턴을 구분한다.
그러나 인터넷전화의 경우 IP 주소와는 별도로 e-mail 주소와 유사한 URI 형태로 사용자를 구분한다. 이러한 URI 주소 정보는 SIP 프로토콜 헤더의 To, From 필드에 주소 정보가 내포되며, URI 주소기반 라우팅을 위해 SIP 프록시 서버를 사용함으로써 모든 호 설정 트래픽이 일단 프록시 서버로 전송되어 프록시서버에서 URI를 확인하고 최종 목적지로 다시 배달하는 방식으로 서비스가 제공된다.
따라서, 전체 인터넷전화 서비스의 접속을 방해하거나 인터넷전화용 교환장비를 마비시킬 수 있는 SIP 특화된 DoS 공격은 URI 주소 정보를 이용하여 공격을 시도하는 특징을 가지고 있으며, IP 헤더의 송신 IP 및 목적지 IP 또한 프록시 서버를 거치며 변경되므로, 근원지 및 목적지의 IP/port 정보만으로는 해당 SIP트래 픽의 최초 근원지 및 최종 목적지를 알 수 없는 문제점이 있다.
이와 같이, 종래의 OSI 3~4계층인 5-투플 주소기반의 서비스에 대한 거부공격 탐지 기법으로는 SIP 플루딩 공격을 탐지하기 어려운 문제점이 있고, SIP 프록시 서버 사용으로 인해 IP 헤더의 목적지 IP가 변경되어 SIP 플루딩 공격을 탐지하기 어려운 문제점이 있다. 또한 SIP 기반의 서비스에 대한 거부 공격은 Soft Switch, SIP Proxy Server, 사용자 단말 등을 대상으로 다량의 위조된 SIP 메시지 발송을 통해 시스템의 오작동이나, 통화 요청의 지연을 야기할 수 있다.
그러므로 3~4계층의 IP 주소체계인 5-투풀(Tuple)과 SIP 주소정보(To, From) 정보를 조합해서 이용하여 DoS 패턴을 분류하고 탐지할 수 있고, SIP 프록시 서버 사용에 따른 송신 IP 및 목적지 IP 주소 변경 특성에 따라 탐지 구간을 나누고, 송신자로부터 수신자까지의 SIP 트래픽 전달 과정을 송신자와 서버 구간, 서버 간 구간, 서버와 수신자 구간으로 나누어 각각의 사용자 별 또는 단말이나 서버 별로 SIP 호 프로파일링 테이블을 생성하고 임계치를 넘을 시 DoS 또는 SCAN 공격으로 판단하고 탐지하며, 탐지 구간별로 IP 정보와 SIP 메시지의 메소드, URI, Call-ID 등과 같은 정보를 고려하여 탐지를 수행하여 INVITE 플루딩, REGISTRATION 플루딩과 같은 SIP 서비스 거부 공격 및 SCAN 공격이 탐지가 가능하고, IP 정보 이외에 SIP 헤더 정보, 단말과 SIP 서버 간의 특성을 이용하여 SIP 서비스 거부 공격 및 SIP SCAN 공격을 탐지할 수 있는 응용계층 URL 주소정보기반의 SIP 플루딩 공격을 탐지하는 방법의 개발이 절실히 요구되고 있는 실정이다.
이에 본 발명은 상기 문제점들을 해결하기 위하여 착상된 것으로서, 3~4계층의 IP 주소체계인 5-투풀(Tuple)과 SIP 주소정보(To, From) 정보를 조합해서 이용하여 DoS 패턴을 분류하고 탐지할 수 있는 응용계층 URL 주소정보기반의 SIP 플루딩 공격을 탐지하는 방법을 제공하는데 그 목적이 있다.
본 발명의 다른 목적은 송신자로부터 수신자까지의 SIP 프록시 서버 사용에 따른 송신 IP 및 목적지 IP 주소 변경 특성에 따라 탐지 구간을 나누고, 송신자로부터 수신자까지의 SIP 트래픽 전달 과정을 송신자와 서버 구간, 서버 간 구간, 서버와 수신자 구간으로 나누어 각각의 사용자 별 또는 단말이나 서버 별로 SIP 호 프로파일링 테이블을 생성하고 임계치를 넘을 시 DoS 또는 SCAN 공격으로 판단하고 탐지하는 응용계층 URL 주소정보기반의 SIP 플루딩 공격을 탐지하는 방법을 제공하는데 있다.
본 발명의 다른 목적은 SIP 프록시 서버 사용에 따른 송신 IP 및 목적지 IP 주소 변경 특성에 따라 탐지 구간을 나누고, 탐지 구간별로 IP 정보와 SIP 메시지의 방법(Method), URI, Call-ID 등과 같은 정보를 고려하여 탐지를 수행함으로써, INVITE 플루딩, REGISTRATION 플루딩과 같은 SIP 서비스 거부 공격 및 SCAN 공격이 탐지가 가능한 응용계층 URL 주소정보기반의 SIP 플루딩 공격을 탐지하는 방법을 제공하는데 있다.
본 발명의 다른 목적은 IP 정보 이외에 URI, Call-ID 등과 같은 SIP 헤더 정 보, 단말과 SIP 서버 간의 특성을 이용하여 SIP 서비스 거부 공격 및 SIP SCAN 공격을 탐지할 수 있는 응용계층 URL 주소정보기반의 SIP 플루딩 공격을 탐지하는 방법을 제공하는데 있다.
상기 목적을 달성하기 위한 본 발명의 바람직한 일실시예에 따른 응용계층 URL 주소정보기반의 SIP 플루딩 공격을 탐지하는 방법은 SIP 패킷 디코딩 모듈에서 SIP 패킷을 디코딩하는 단계와; 탐지 구간에 따라 적절한 SIP DoS 탐지 룰을 SIP DoS 탐지 DB에서 조회하고 SIP DoS 탐지 룰에 따라 SIP DoS 탐지 모듈에서 SIP DoS 공격을 탐지하는 단계와; SIP DoS 탐지 결과에 따라 SIP DoS 트래픽 대응모듈에서 SIP DoS 공격 트래픽을 차단하거나 SIP 서버 또는 단말로 전송하는 단계; 를 포함함을 특징으로 한다.
또한 상기 목적을 달성하기 위한 본 발명의 바람직한 일실시예에 따른 응용계층 URL 주소정보기반의 SIP 플루딩 공격을 탐지하는 방법은 SIP DoS 탐지를 위해 수신된 SIP 트래픽의 IP/Port를 통해 DoS 모듈에서 SIP 메시지를 조회하는 단계와; 상기 조회한 다음 탐지 구간에 따라 적절한 SIP DoS 탐지 룰을 조회하고 선택하는 단계와; SIP DoS 정책 데이터베이스에 저장되어 있는 Src IP, Direction, Dst IP, From, To, Call-ID를 변수로 하여 각 변수의 조합을 통한 정책을 설정하여 SIP DoS 탐지 룰 조회를 통해 SIP DoS 탐지 모듈로 전달하는 단계와; 상기 설정된 정책에 따라 각각의 사용자 별 또는 단말이나 서버 별로 SIP 호 프로파일링 테이블을 조회 하는 단계와; 상기 조회한 다음 IP, From, To, Call-ID를 체크한 결과 체크가 되는 경우, SIP DoS 탐지 모듈에서 탐지하고, 체크가 되지 않는 경우, SIP 호 프로파일링 테이블을 생성하는 단계와; 상기 SIP DoS 탐지 모듈에서 탐지되는 경우, Drop하고, SIP DoS 탐지 모듈에서 탐지되지 않는 경우, SIP DoS 트래픽 대응 모듈에서 임계치에 1을 더한 다음 저장한 후 프록시 서버나 SIP 서버로 전달하는 단계; 를 포함함을 특징으로 한다.
상기 본 발명에 있어서, 상기 탐지 구간은 목적지 IP주소가 SIP 서버 IP로 고정하는 송신자와 서버 구간과, 송신 IP 주소 및 목적지 IP 주소가 SIP 서버 IP로 고정하는 서버 간 구간과, 송신 IP 주소가 SIP 서버 IP로 고정하는 서버와 수신자 구간으로 구분하는 것을 특징으로 한다.
상기 본 발명에 있어서, 상기 SIP DoS 정책에 따라 탐지하는 사용자별로의 탐지는 단일 사용자(From)로부터 다수의 사용자(To)로 전송하는 SIP SCAN 공격과, 단일 사용자(From)로부터 단일 사용자(To)로 대량의 메시지 전송하는 SIP DoS 공격과, 다수의 사용자(From)로부터 단일 사용자(To)로 전송하는 SIP DDoS 공격을 포함함을 특징으로 한다.
상기 본 발명에 있어서, 상기 SIP DoS 정책에 따라 탐지하는 단말이나 서버별로의 탐지는 서버와 단말의 경우, 송/수신하는 메시지의 양이 다르므로 각각에 대해 다른 정책을 적용하여 DoS를 탐지하는 것을 특징으로 한다.
상기 본 발명에 있어서, 3~4계층의 IP 주소체계인 5-투풀(Tuple)과 SIP 주소정보(To, From) 정보를 조합하여 SIP 메소드 플루딩 공격 및 SIP SCAN 공격 패턴을 분류하고 탐지할 수 있는 것을 특징으로 한다.
본 발명에 따른 응용계층 URL 주소정보기반의 SIP 플루딩 공격을 탐지하는 방법은 다음과 같은 효과를 가진다.
첫째, 본 발명은 3~4계층의 IP 주소체계인 5-투풀(Tuple)과 SIP 주소정보(To, From) 정보를 조합해서 이용하여 SIP 메소드 플루딩 공격 및 SIP SCAN 공격 패턴을 분류하고 탐지할 수 있다.
둘째, 본 발명은 송신자로부터 수신자까지의 SIP 트래픽 전달 과정을 송신자와 서버 구간, 서버 간 구간, 서버와 수신자 구간으로 나누어 각각의 사용자 별 또는 단말이나 서버 별로 SIP 호 프로파일링 테이블을 생성하고 임계치를 넘을 시 SIP 메소드 플루딩 공격 및 SIP SCAN 공격으로 판단하고 탐지할 수 있다.
셋째, 본 발명은 SIP 프록시 서버 사용에 따른 송신 IP 및 목적지 IP 주소 변경 특성에 따라 탐지 구간을 나누고, 탐지 구간별로 IP 정보와 SIP 메시지의 메소드, URI, Call-ID 등과 같은 정보를 고려하여 탐지를 수행함으로써, INVITE 플루딩, REGISTRATION 플루딩과 같은 SIP 메소드 플루딩 및 SCAN 공격이 탐지가 가능하다.
넷째, 본 발명은 IP 정보 이외에 URI, Call-ID 등과 같은 SIP 헤더 정보, 단말과 SIP 서버 간의 특성을 이용하여 SIP 메소드 플루딩 공격 및 SIP SCAN 공격을 탐지할 수 있다.
이하 첨부된 도면과 함께 본 발명의 바람직한 실시 예를 살펴보면 다음과 같은데, 본 발명을 설명함에 있어서 관련된 공지기술 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략할 것이며, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있으므로, 그 정의는 본 발명인 응용계층 URL 주소정보기반의 SIP 플루딩 공격을 탐지하는 방법을 설명하는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
이하, 본 발명의 바람직한 일실시예에 따른 응용계층 URL 주소정보기반의 SIP 플루딩 공격을 탐지하는 방법을 첨부된 도면을 참조하여 상세히 설명한다.
도 1은 응용계층 URL 주소정보기반의 SIP 플루딩 공격을 탐지를 위한 IP 주소체계인 5-투풀(Tuple)과 SIP 메시지 정보를 나타낸 도면이다.
도 1에 도시한 바와 같이, SIP 플루딩 공격을 탐지를 위한 IP 주소체계인 5-투풀(Tuple) 정보는 송신 IP 주소, 송신 Port, 수신 IP 주소, 수신 Port, 프로토콜로 구성되어 있고, SIP 메시지 정보는 SIP Method, From URI To URI, Call-ID로 구성된다.
도 2는 본 발명의 일실시예에 따른 응용계층 URL 주소정보기반의 SIP 플루딩 공격을 탐지하는 구성을 나타낸 도면이고, 도 3은 본 발명의 일실시예에 따른 응용계층 URL 주소정보기반의 SIP 플루딩 공격을 탐지하는 과정을 나타내는 흐름도이 다.
도 2와 도 3에 도시한 바와 같이, 응용계층 URL 주소정보기반의 SIP 플루딩 공격을 탐지하는 방법은 SIP 패킷 디코딩 모듈(100)에서 SIP 패킷을 디코딩하는 단계와; 탐지 구간에 따라 적절한 SIP DoS 탐지 룰을 SIP DoS 탐지 DB에서 조회하고 SIP DoS 탐지 룰에 따라 SIP DoS 탐지 모듈(200)에서 SIP DoS 공격을 탐지하는 단계와; SIP DoS 탐지 결과에 따라 SIP DoS 트래픽 대응모듈(300)에서 SIP DoS 공격 트래픽을 차단하거나 SIP 서버 또는 단말로 전송하는 단계; 로 구성된다.
상기 본 발명인 응용계층 URL 주소정보기반의 SIP 플루딩 공격을 탐지하는 방법을 구성하는 기술적 단계들의 흐름과 기능을 살펴보면 다음과 같다.
첫째는 SIP 패킷을 디코딩하는 단계로서, SIP 메소드 플루딩 공격 및 SIP SCAN 공격 탐지를 위해 SIP 패킷 디코딩 모듈(100)에서 SIP 패킷에서 IP/Port, SIP 메소드, From, To, Call-ID 정보를 디코딩하는 단계이다.
둘째는 SIP DoS 공격을 탐지하는 단계로서, SIP 메소드 플루딩 공격 및 SIP SCAN 공격 탐지를 위해 SIP DoS 모듈 내의 SIP DoS 정책 DB에서 탐지 구간에 따라 적절한 SIP DoS 탐지 룰을 조회하고 SIP DoS 탐지 룰에 따라 SIP DoS 탐지 모듈(200)에서 SIP DoS 공격을 탐지하는 것이다. 상기 탐지 구간은 목적지 IP주소가 SIP 서버 IP로 고정하는 송신자와 서버 구간과, 송신 IP 주소 및 목적지 IP 주소가 SIP 서버 IP로 고정하는 서버 간 구간과, 송신 IP 주소가 SIP 서버 IP로 고정하는 서버와 수신자 구간으로 구분하는 것이다. SIP DoS 공격 탐지는 단일 사용자(From)로부터 다수의 사용자(To)로 전송하는 SIP SCAN 공격과, 단일 사용자(From)로부터 단일 사용자(To)로 대량의 메시지 전송하는 SIP DoS 공격과, 다수의 사용자(From)로부터 단일 사용자(To)로 전송하는 SIP DDoS 공격을 포함하는 것이다.
셋째는 SIP DoS 공격 트래픽 대응 단계로서, SIP DoS 탐지 모듈의 탐지 결과와 SIP 호 프로파일링 DB(220)에 저장된 사용자별 트래픽 정보를 기반으로 SIP DoS 트래픽 대응모듈(300)에서 SIP DoS 공격 트래픽을 차단하거나 SIP 서버 또는 단말로 전송하는 것이다.
또한 응용계층 URL 주소정보기반의 SIP 플루딩 공격을 탐지하는 방법을 보다 더 구체적으로 살펴보면, SIP DoS 탐지를 위해 수신된 SIP 트래픽의 IP/Port를 통해 DoS 모듈(400)에서 SIP 메시지를 조회하는 단계와; 상기 조회한 다음 탐지 구간에 따라 적절한 SIP DoS 탐지 룰을 조회하고 선택하는 단계와; SIP DoS 정책 데이터베이스(210)에 저장되어 있는 Src IP, Direction, Dst IP, From, To, Call-ID를 변수로 하여 각 변수의 조합을 통한 정책을 설정하여 SIP DoS 탐지 룰 조회를 통해 SIP DoS 탐지 모듈(200)로 전달하는 단계와; 상기 설정된 정책에 따라 각각의 사용자 별 또는 단말이나 서버 별로 SIP 호 프로파일링 테이블(220)을 조회하는 단계와; 상기 조회한 다음 IP, From, To, Call-ID를 체크한 결과 체크가 되는 경우, SIP DoS 탐지 모듈(200)에서 탐지하고, 체크가 되지 않는 경우, SIP 호 프로파일링 테이블(220)을 생성하는 단계와; 상기 SIP DoS 탐지 모듈(200)에서 탐지되는 경우, SIP DoS 트래픽 대응 모듈(300)에서 Drop하고, SIP DoS 탐지 모듈(200)에서 탐지되지 않는 경우, SIP DoS 트래픽 대응 모듈(300)에서 임계치에 1을 더한 다음 저장한 후 프록시 서버나 SIP 서버로 전달하는 단계; 로 구성된다.
SIP 기반 응용서비스 환경에서 발생할 수 있는 SIP 서비스 거부 공격들을 유형별로 분류하고, 각 공격에 대해 수집 구간별 특징을 분석하여 보면 다음과 같다.
SIP 프로토콜은 응용레벨의 프로토콜로 URI를 사용하는 특성을 가지므로 IP 레벨에서의 트래픽 패턴과 응용 레벨에서의 트래픽 패턴이 다르게 나타날 수 있다. 따라서 IP 레벨에서의 트래픽 패턴 분석을 위한 IP 정보와, 응용 레벨에서의 트래픽 패턴 분석을 위한 URI 정보를 총괄적으로 고려하여 그 패턴을 분석해야 하며, 추가로 각 세션별 식별자인 Call-ID를 고려하여 분석하게 된다.
일반적인 S단일 URI 소스 주소기반 SIP 플루딩 공격의 경우는, 주로 공격자가 하나의 SIP 패킷을 생성하여 동일한 패킷을 단시간에 다량 전송하여 공격하므로 Call-ID 및 전송되는 메소드가 모두 동일한 특성을 가진다.
SIP 서비스 거부 공격의 유형은 분류 기준에 따라 다양하게 분류될 수 있으나, SIP 서비스 거부 공격의 공격 대상 및 분산 공격성 여부를 기준으로 크게 다섯 가지의 SIP 메소드 플루딩 공격 및 SIP SCAN 공격 등으로 그 유형을 분류하고, 송신 IP(SIP From URI), 수신 IP(SIP To URI) 형태로 표현한다.
Figure 112009000118328-PAT00001
첫째로는 위 그림과 같이, 단일 URI 소스 주소기반 SIP 플루딩 공격으로서, 1:1:1:1의 형태를 가진다. 이 공격은 단일 송신자가 단일 수신자에게 대량의 패킷을 보내는 경우로 IP기반 플루딩 공격과 형태가 유사하다. 단순히 정상적인 트래픽을 다량 전송하는 공격으로 보여 트래픽 패턴만으로 SIP 메소드 플루딩 공격이라 판단하기 어려우나, 일반적으로 정상 통화 시 INVITE, OK 등 열일곱 가지의 메소드를 송수신하여 세션이 성립되므로 동일한 Call-ID로 수십 개의 SIP 메시지가 전송될 경우, 혹은 동일한 메소드의 패킷이 다량 전송되는 경우, 단일 URI 소스 주소기반 SIP 플루딩 공격으로 판단할 수 있으며, 각 구간별 트래픽의 특징은 목적지 IP주소가 SIP 서버 IP로 고정하는 송신자와 서버 구간은 동일 송신 IP, 메소드, From, To, Call-ID를 가지고, 송신 IP 주소 및 목적지 IP 주소가 SIP 서버 IP로 고정하는 서버 간 구간과, 송신 IP 주소가 SIP 서버 IP로 고정하는 서버와 수신자 구간은 각각 동일 메소드, From, To, Call-ID를 가지는 것이다.
Figure 112009000118328-PAT00002
둘째로는 위 그림과 같이, 다중 송신 URI 주소기반 SIP 플루딩 공격으로 1:N:1:1의 형태를 가진다. 이 공격은 단일 송신자가 From URI만을 변조하여 대량의 패킷을 단일 수신자에게 전송하는 경우이다. 동일 송신 IP에서 다수의 From 주소를 사용하여 SIP 메소드가 전송될 수 없으므로 목적지 IP주소가 SIP 서버 IP로 고정하는 송신자와 서버 구간에서는 공격 여부의 판단이 용이하나 송신 IP 주소 및 목적지 IP 주소가 SIP 서버 IP로 고정하는 서버 간 구간과, 송신 IP 주소가 SIP 서버 IP로 고정하는 서버와 수신자 구간에서는 최초 송신자의 IP 주소를 확인할 수 없으므로 Call-ID가 변조된 경우 송신 IP 주소 및 목적지 IP 주소가 SIP 서버 IP로 고정하는 서버 간 구간과, 송신 IP 주소가 SIP 서버 IP로 고정하는 서버와 수신자 구간에서의 패턴 기반의 다중 송신 URI 주소기반 SIP 플루딩 공격 탐지가 어렵다. 따라서 목적지 IP주소가 SIP 서버 IP로 고정하는 송신자와 서버 구간은 동일 송신IP, 메소드, To, Call-ID를 가지고, 다수의 From 정보를 가지며, 동일 송신 IP에서 다수의 From 주소를 가지지 못하므로 다중 송신 URI 주소기반 SIP 플루딩 공격 판단이 용이하다. 또한 송신 IP 주소 및 목적지 IP 주소가 SIP 서버 IP로 고정하는 서버 간 구간과, 송신 IP 주소가 SIP 서버 IP로 고정하는 서버와 수신자 구간은 IP/URI를 활용한 패턴 기반 탐지가 어려우며, 동일 메소드, To, Call-ID를 가지는 SIP 패킷에 대해 임계치 이상의 SIP 패킷이 전송될 경우, 다중 송신 URI 주소기반 SIP 플루딩 공격으로 판단할 수 있는 것이다.
Figure 112009000118328-PAT00003
셋째로는 위 그림과 같이, 단일 송신 URI 주소기반 DDoS 공격으로, N:1:1:1의 형태를 가진다. 이 공격은 다수의 송신자가 동일한 SIP 패킷을 복사하여 단일 수신자에게 전송하는 경우의 공격으로 IP기반의 DDoS 공격과 유사하다. 두번째와 마찬가지로 송신 IP 주소 및 목적지 IP 주소가 SIP 서버 IP로 고정하는 서버 간 구간과, 송신 IP 주소가 SIP 서버 IP로 고정하는 서버와 수신자 구간에서의 패턴 기반 SIP DDoS 공격 탐지가 어렵다. 따라서 목적지 IP주소가 SIP 서버 IP로 고정하는 송신자와 서버 구간은 다수의 송신 IP를 가지며 동일한 From, To, 메소드, Call-ID를 가지고, 서로 다른 송신 IP에서 동일한 From 주소를 가질 수 없기 때문에 공격으로 판단하기가 용이하다. 또한 송신 IP 주소 및 목적지 IP 주소가 SIP 서버 IP로 고정하는 서버 간 구간과, 송신 IP 주소가 SIP 서버 IP로 고정하는 서버와 수신자 구간은 동일 메소드, From, To, Call-ID를 가지고, SIP 패킷에 대해 임계치 이상의 SIP 패킷이 전송될 경우, 단일 송신 URI 주소기반 DDoS 공격으로 판단할 수 있는 것이다.
Figure 112009000118328-PAT00004
넷째로는 위 그림과 같이, 단일 송신 URI 주소기반 SCAN 공격으로서, 1:1:N:N의 형태를 가진다. 이 공격은 단일 송신자가 다수의 수신자에게 정보 획득을 목적으로 요청 메시지를 전송하는 경우로 목적지 IP주소가 SIP 서버 IP로 고정하는 송신자와 서버 구간은 동일 송신 IP, 메소드, From URI 값을 가지고 To URI 주소 값이 각기 다른 경우, 임계치 이상의 SIP 패킷이 전송되면 SIP SCAN 공격으로 판단할 수 있는 것이다. 송신 IP 주소 및 목적지 IP 주소가 SIP 서버 IP로 고정하는 서버 간 구간과, 송신 IP 주소가 SIP 서버 IP로 고정하는 서버와 수신자 구간은 동일 메소드, From URI, Call-ID 값을 가지고, To URI 주소 값이 각기 다른 경우, 임계치 이상의 SIP 패킷이 전송되면 단일 송신 URI 주소기반 SCAN 공격으로 판단할 수 있는 것이다.
Figure 112009000118328-PAT00005
다섯째로는 위 그림과 같이 다중 송신 URI 주소기반 SIP SCAN 공격으로 1:N:N:N의 형태를 가지며, 단일 송신자가 From URI만을 변조하여 다수의 수신자에게 대량의 패킷을 전송하는 경우이다. 이 공격의 경우, 응용 레벨에서의 트래픽 패턴은 정상적인 SIP 트래픽과 동일하나, IP 레벨에서의 트래픽 패턴을 같이 분석하여 비정상 여부를 알 수 있다. 따라서 목적지 IP주소가 SIP 서버 IP로 고정하는 송신자와 서버 구간은 동일한 송수신 IP와 다수의 From, To URI 정보를 가지고, 동일 송신 IP에서 다수의 From를 가질 수 없기 때문에 공격으로 판단할 수 있는 것이며, 송신 IP 주소 및 목적지 IP 주소가 SIP 서버 IP로 고정하는 서버 간 구간과, 송신 IP 주소가 SIP 서버 IP로 고정하는 서버와 수신자 구간은 동일 메소드, From, Call-ID를 가지는 SIP 패킷에 대해 임계치 이상의 SIP 패킷이 전송될 경우 다중 송신 URI 주소기반 SIP SCAN 공격으로 판단할 수 있는 것이다.
상기의 구간별 특성에서 알 수 있는 바와 같이, 이 대부분의 SIP 플루딩 공격 및 SIP SCAN 공격에서 공격자의 공격 의도는 A구간의 트래픽 분석을 통해 확인이 가능하다. 표 1에는 목적지 IP주소가 SIP 서버 IP로 고정하는 송신자와 서버 구 간에서의 SIP 플루딩 및 SCAN 공격 트래픽 패턴의 특성을 정리한다.
공격 형태 Src IP Dst IP From To Call-ID
단일 송신 URI 주소기반 SIP 플루딩 공격 1:1:1:1 단일 Proxy/UA 단일 단일 동일
다중 송신 URI 주소기반 SIP 플루딩 공격 1:N:1:1 다수 Proxy/UA 동일
단일 송신 URI 주소기반 SIP DDoS 공격 N:1:1:1 다수 Proxy 다수 동일
단일 송신 URI 주소기반 SIP SCAN 공격 1:1:N:N 단일 Proxy/UA 동일
다중 송신 URI 주소기반 SIP SCAN 공격 1:N:N:N 다수 Proxy/UA 다수 단일 동일
그러므로 5-투풀(Tuple)과 SIP 주소정보(To, From), Call-ID 정보를 조합해서 이용하여 SIP 플루딩 공격 및 SIP SCAN 공격 패턴을 분류하고 탐지할 수 있고, SIP 프록시 서버 사용에 따른 송신 IP 및 목적지 IP 주소 변경 특성에 따라 탐지 구간을 나누고, 송신자로부터 수신자까지의 SIP 트래픽 전달과정을 송신자와 서버 구간, 서버 간 구간, 서버와 수신자 구간으로 나누어 각각의 사용자 별 또는 단말이나 서버 별로 SIP 호 프로파일링 테이블을 생성하고 임계치를 넘을시 SIP 플루딩 공격 및 SIP SCAN 공격으로 판단하고 탐지할 수 있다.
본 발명은 상기 실시예에 한정되지 않고, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 다양하게 수정 및 변경 실시할 수 있음은 이 기술 분야에서 통상의 지식을 가진 자라면 누구나 이해할 수 있을 것이다.
도 1은 응용계층 URL 주소정보기반의 SIP 플루딩 공격을 탐지를 위한 IP 주소체계인 5-투풀(Tuple)과 SIP 메시지 정보를 나타낸 도면.
도 2는 본 발명의 일실시예에 따른 응용계층 URL 주소정보기반의 SIP 플루딩 공격을 탐지하는 구성을 나타낸 도면.
도 3은 본 발명의 일실시예에 따른 응용계층 URL 주소정보기반의 SIP 플루딩 공격을 탐지하는 과정을 나타내는 흐름도.
<도면의 주요부분에 대한 부호설명>
100: SIP 패킷 디코딩 모듈 200: SIP DoS 탐지 모듈
210: SIP DoS 정책 DB 220: SIP 호 프로파일링 테이블
300: SIP DoS 트래픽 대응 모듈 400: DoS 모듈

Claims (6)

  1. 응용계층 URL 주소정보기반의 SIP 플루딩 공격을 탐지하는 방법에 있어서,
    SIP 패킷 디코딩 모듈(100)에서 SIP 패킷을 디코딩하는 단계와;
    탐지 구간에 따라 적절한 SIP DoS 탐지 룰을 SIP DoS 탐지 DB에서 조회하고 SIP DoS 탐지 룰에 따라 SIP DoS 탐지 모듈(200)에서 SIP DoS 공격을 탐지하는 단계와;
    SIP DoS 탐지 결과에 따라 SIP DoS 트래픽 대응모듈(300)에서 SIP DoS 공격 트래픽을 차단하거나 SIP 서버 또는 단말로 전송하는 단계; 를 포함함을 특징으로 하는 응용계층 URL 주소정보기반의 SIP 플루딩 공격을 탐지하는 방법.
  2. 응용계층 URL 주소정보기반의 SIP 플루딩 공격을 탐지하는 방법에 있어서, SIP DoS 탐지를 위해 수신된 SIP 트래픽의 IP/Port를 통해 DoS 모듈에서 SIP 메시지를 조회하는 단계와;
    상기 조회한 다음 탐지 구간에 따라 적절한 SIP DoS 탐지 룰을 조회하고 선택하는 단계와;
    SIP DoS 정책 데이터베이스에 저장되어 있는 Src IP, Direction, Dst IP, From, To, Call-ID를 변수로 하여 각 변수의 조합을 통한 정책을 설정하여 SIP DoS 탐지 룰 조회를 통해 SIP DoS 탐지 모듈로 전달하는 단계와;
    상기 설정된 정책에 따라 각각의 사용자 별 또는 단말이나 서버 별로 SIP 호 프로파일링 테이블을 조회하는 단계와;
    상기 조회한 다음 IP, From, To, Call-ID를 체크한 결과 체크가 되는 경우, SIP DoS 탐지 모듈에서 탐지하고, 체크가 되지 않는 경우, SIP 호 프로파일링 테이블을 생성하는 단계와;
    상기 SIP DoS 탐지 모듈에서 탐지되는 경우, SIP DoS 트래픽 대응 모듈(300)에서 Drop하고, SIP DoS 탐지 모듈에서 탐지되지 않는 경우, SIP DoS 트래픽 대응 모듈에서 임계치에 1을 더한 다음 저장한 후 프록시 서버나 SIP 서버로 전달하는 단계; 를 포함함을 특징으로 하는 응용계층 URL 주소정보기반의 SIP 플루딩 공격을 탐지하는 방법.
  3. 제 1항 또는 제 2항에 있어서,
    상기 탐지 구간은 목적지 IP주소가 SIP 서버 IP로 고정하는 송신자와 서버 구간과, 송신 IP 주소 및 목적지 IP 주소가 SIP 서버 IP로 고정하는 서버 간 구간과, 송신 IP 주소가 SIP 서버 IP로 고정하는 서버와 수신자 구간으로 구분하는 것을 특징으로 하는 응용계층 URL 주소정보기반의 SIP 플루딩 공격을 탐지하는 방법.
  4. 제 2항에 있어서,
    상기 SIP DoS 정책에 따라 탐지하는 사용자별로의 탐지는 단일 사용자(From)로부터 다수의 사용자(To)로 전송하는 SIP SCAN 공격과, 단일 사용자(From)로부터 단일 사용자(To)로 대량의 메시지 전송하는 SIP DoS 공격과, 다수의 사용자(From) 로부터 단일 사용자(To)로 전송하는 SIP DDoS 공격을 포함함을 특징으로 하는 응용계층 URL 주소정보기반의 SIP 플루딩 공격을 탐지하는 방법.
  5. 제 2항에 있어서,
    상기 SIP DoS 정책에 따라 탐지하는 단말이나 서버별로의 탐지는 서버와 단말의 경우, 송/수신하는 메시지의 양이 다르므로 각각에 대해 다른 정책을 적용하여 DoS를 탐지하는 것을 특징으로 하는 응용계층 URL 주소정보기반의 SIP 플루딩 공격을 탐지하는 방법.
  6. 제 1항 또는 제 2항에 있어서,
    3~4계층의 IP 주소체계인 5-투풀(Tuple)과 SIP 주소정보(To, From) 정보를 조합하여 DoS 패턴을 분류하고 탐지할 수 있는 것을 특징으로 하는 응용계층 URL 주소정보기반의 SIP 플루딩 공격을 탐지하는 방법.
KR1020090000158A 2009-01-02 2009-01-02 응용계층 url 주소정보기반의 sip 플루딩 공격을 탐지하는 방법 KR20100080728A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090000158A KR20100080728A (ko) 2009-01-02 2009-01-02 응용계층 url 주소정보기반의 sip 플루딩 공격을 탐지하는 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090000158A KR20100080728A (ko) 2009-01-02 2009-01-02 응용계층 url 주소정보기반의 sip 플루딩 공격을 탐지하는 방법

Publications (1)

Publication Number Publication Date
KR20100080728A true KR20100080728A (ko) 2010-07-12

Family

ID=42641442

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090000158A KR20100080728A (ko) 2009-01-02 2009-01-02 응용계층 url 주소정보기반의 sip 플루딩 공격을 탐지하는 방법

Country Status (1)

Country Link
KR (1) KR20100080728A (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102340428A (zh) * 2011-09-29 2012-02-01 哈尔滨安天科技股份有限公司 基于网络丢包的url检测与拦截方法和***
KR20210054799A (ko) 2019-11-06 2021-05-14 삼성에스디에스 주식회사 Url 클러스터링을 위한 url의 요약을 생성하는 방법 및 장치

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102340428A (zh) * 2011-09-29 2012-02-01 哈尔滨安天科技股份有限公司 基于网络丢包的url检测与拦截方法和***
CN102340428B (zh) * 2011-09-29 2014-01-15 哈尔滨安天科技股份有限公司 基于网络丢包的url检测与拦截方法和***
KR20210054799A (ko) 2019-11-06 2021-05-14 삼성에스디에스 주식회사 Url 클러스터링을 위한 url의 요약을 생성하는 방법 및 장치

Similar Documents

Publication Publication Date Title
JP5225468B2 (ja) 分散システムにおける攻撃検知支援方法
Abliz Internet denial of service attacks and defense mechanisms
EP2105003B1 (en) Method and apparatus to control application messages between a client and a server having a private network address
US9088581B2 (en) Methods and apparatus for authenticating an assertion of a source
Handley et al. Internet denial-of-service considerations
EP1812867A2 (en) Voice over internet protocol data overload detection and mitigation system and method
Ehlert et al. Specification-based denial-of-service detection for sip voice-over-ip networks
KR101097419B1 (ko) 넷플로우 통계정보를 이용한 비정상 에스아이피 트래픽 폭주공격 탐지 및 모니터링시스템과 그 방법
EP2191612B1 (en) Method for detecting attacks to multimedia systems and multimedia system with attack detection functionality
US20100146061A1 (en) session process and system
US20120060218A1 (en) System and method for blocking sip-based abnormal traffic
US8789141B2 (en) Method and apparatus for providing security for an internet protocol service
KR20100080728A (ko) 응용계층 url 주소정보기반의 sip 플루딩 공격을 탐지하는 방법
KR101011221B1 (ko) 에스아이피(sip) 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템과 그 방법
Ehlert et al. Intrusion detection system for denial-of-service flooding attacks in SIP communication networks
Phithakkitnukoon et al. Voip security—attacks and solutions
KR101190816B1 (ko) SIP DoS 및 SPAM 공격 탐지 시스템 및 그 탐지 방법
Savola et al. Protocol independent multicast-Sparse mode (PIM-SM) multicast routing security issues and enhancements
Mehić et al. Hiding data in SIP session
Shoket et al. Secure VOIP LTE network for secure transmission using PLRT (Packet Level Restraining Technique) under DDOS Attack
Kim et al. How to make content centric network (CCN) more robust against DoS/DDoS attack
Sherr et al. Can they hear me now? A security analysis of law enforcement wiretaps
Narayanan et al. DDoS attacks in VoIP: a brief review of detection and mitigation techniques
Parks et al. Vulnerabilities of reliable multicast protocols
Brown End-to-end security in active networks

Legal Events

Date Code Title Description
A201 Request for examination
N231 Notification of change of applicant
E902 Notification of reason for refusal
E601 Decision to refuse application