KR20120071831A - System for detecting abnormal voip traffic using heuristic statistic-information - Google Patents
System for detecting abnormal voip traffic using heuristic statistic-information Download PDFInfo
- Publication number
- KR20120071831A KR20120071831A KR1020100133529A KR20100133529A KR20120071831A KR 20120071831 A KR20120071831 A KR 20120071831A KR 1020100133529 A KR1020100133529 A KR 1020100133529A KR 20100133529 A KR20100133529 A KR 20100133529A KR 20120071831 A KR20120071831 A KR 20120071831A
- Authority
- KR
- South Korea
- Prior art keywords
- traffic
- sip
- ddos attack
- analysis
- detection
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
Abstract
Description
본 발명은 휴리스틱 통계정보 기반 비정상 VoIP 트래픽 탐지 시스템에 관한 것이다.The present invention relates to a heuristic statistical information based abnormal VoIP traffic detection system.
네트워크 상의 비정상 트래픽 탐지 시스템에 관한 종래의 기술들은 IP 트래픽의 5-tuple 정보(발신지 IP, 발신지 port, 목적지 IP, 목적지 port, 프로토콜(TCP, UDP, ICMP))만을 이용하여 IP 트래픽의 특성을 분석하고 비정상 트래픽을 탐지하였다. 하지만, 인터넷 전화 등의 발달로 인해 근래 폭발적으로 서비스되고 있는 SIP 응용서비스의 경우 지금까지의 IP 트래픽 모니터링 기술 및 비정상 IP 트래픽 탐지 기술은 이와 같은 SIP 트래픽을 효과적으로 모니터링 하거나 비정상 SIP 트래픽 공격을 탐지할 수 없었다.Conventional techniques related to an abnormal traffic detection system on a network analyze IP characteristics using only 5-tuple information (source IP, source port, destination IP, destination port, protocol (TCP, UDP, ICMP)) of IP traffic. And abnormal traffic was detected. However, in the case of SIP application service which is being exploded in recent years due to the development of Internet telephony, IP traffic monitoring technology and abnormal IP traffic detection technology can effectively monitor such SIP traffic or detect abnormal SIP traffic attack. There was no.
이는 먼저, SIP 트래픽의 경우 상기 IP, port 정보 외에 응용서비스 제공을 위한 식별자인 URI를 추가로 사용하고 있는데 종래 기술로는 이러한 URI를 제대로 모니터링 할 수 없기 때문이고, 다음으로, SIP는 호 설정을 위한 SIP 트래픽과 미디어 전송을 위한 RTP 트래픽이 실제로 같은 응용서비스 세션내부의 트래픽임에도 불구하고 전달 경로가 다를 수 있지만, 기존의 IP 트래픽 모니터링 장비 또는 IP 기반 보안장비들은 이를 인식하여 처리할 수 없었기 때문이다.This is because, firstly, in case of SIP traffic, a URI, which is an identifier for providing an application service, is additionally used in addition to the IP and port information. This is because the conventional technology cannot properly monitor such a URI. Next, SIP performs call setup. Although the delivery path may be different even though SIP traffic for RTP and RTP traffic for media transmission are actually traffic inside the same application service session, existing IP traffic monitoring devices or IP-based security devices could not recognize and process them. .
따라서, 이러한 네트워크 상의 비정상 SIP 트래픽(예를 들어, DDoS 공격 트래픽이나 SCAN 공격 트래픽 등)을 체계적인 단계에 따라 탐지할 수 있는 탐지 시스템이 필요하다.Therefore, there is a need for a detection system capable of detecting abnormal SIP traffic (for example, DDoS attack traffic or SCAN attack traffic) on such a network according to systematic steps.
본 발명이 해결하고자 하는 기술적 과제는 체계적인 단계에 따라 VoIP 네트워크 상의 비정상 SIP 트래픽을 탐지할 수 있는 비정상 VoIP 트래픽 탐지 시스템을 제공하는 것이다.The technical problem to be solved by the present invention is to provide an abnormal VoIP traffic detection system that can detect abnormal SIP traffic on the VoIP network according to a systematic step.
본 발명의 기술적 과제들은 이상에서 언급한 기술적 과제로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.Technical problems of the present invention are not limited to the technical problems mentioned above, and other technical problems not mentioned will be clearly understood by those skilled in the art from the following description.
상기 기술적 과제를 달성하기 위한 본 발명의 비정상 VoIP 트래픽 탐지 시스템의 일 태양(aspect)은, 네트워크 상의 트래픽 정보를 수신하는 수신 모듈, 수신 모듈로부터 트래픽 정보를 제공받고 트래픽을 분석하여, 네트워크에 SIP DDoS 공격, SIP SCAN 공격 또는 RTP DDoS 공격이 있는지 탐지하는 탐지 모듈, 및 탐지 모듈이 트래픽을 분석하는데 필요한 다수의 기준값을 제공하는 통계 DB를 포함하되, SIP DDoS 공격 트래픽을 탐지하는 것는, 네트워크 상의 트래픽에 대해 행위기반 분석과 휴리스틱 SIP 패턴 변동량 분석을 수행하여 잠재적 SIP DDoS 공격 트래픽을 탐지하는 것과, 잠재적 SIP DDoS 공격 트래픽에 대해 요청 메소드 및 응답 매소드를 분석하여 잠재적 SIP DDoS 공격 트래픽을 SIP DDoS 공격 트래픽으로 탐지하는 것을 포함한다.An aspect of the abnormal VoIP traffic detection system of the present invention for achieving the above technical problem is a receiving module for receiving traffic information on a network, receiving the traffic information from the receiving module and analyzing the traffic, SIP DDoS to the network A detection module that detects whether there is an attack, a SIP SCAN attack, or an RTP DDoS attack, and a statistics database that provides a number of thresholds for the detection module to analyze the traffic, wherein detecting the SIP DDoS attack traffic includes: Detect potential SIP DDoS attack traffic by conducting behavior-based analysis and heuristic SIP pattern variability analysis, and detect potential SIP DDoS attack traffic as SIP DDoS attack traffic by analyzing request methods and response methods for potential SIP DDoS attack traffic. It involves doing.
기타 실시예들의 구체적인 사항들은 상세한 설명 및 도면들에 포함되어 있다.Specific details of other embodiments are included in the detailed description and the drawings.
본 발명의 일 실시예에 따른 비정상 VoIP 트래픽 탐지 시스템은 응용 레벨에서 다양한 정보를 바탕으로 DDoS 공격 트래픽을 탐지하기 때문에 IP 레벨에서 탐지 불가능한 SIP DDoS 공격 트래픽의 탐지가 가능하다.The abnormal VoIP traffic detection system according to an embodiment of the present invention detects the DDoS attack traffic based on various information at the application level, thereby detecting the SIP DDoS attack traffic that cannot be detected at the IP level.
또한, 본 발명의 일 실시예에 따른 비정상 VoIP 트래픽 탐지 시스템은 앞서 설명한 것과 같이 행위기반 분석과 휴리스틱 SIP 패턴 변동량 분석을 단계적으로 수행하여 잠재적 SIP DDoS 공격 트래픽을 탐지하고, 이러한 잠재적 SIP DDoS 공격 트래픽에 대해 요청 메소드 및 응답 매소드를 분석하여 잠재적 SIP DDoS 공격 트래픽을 SIP DDoS 공격 트래픽으로 탐지하기 때문에, 체계적인 단계에 따라 VoIP 네트워크 상의 비정상 SIP 트래픽을 탐지하는 것이 가능하다.In addition, the abnormal VoIP traffic detection system according to an embodiment of the present invention detects potential SIP DDoS attack traffic by performing behavior-based analysis and heuristic SIP pattern variation analysis as described above, and applies to such potential SIP DDoS attack traffic. By analyzing the request method and response method, the potential SIP DDoS attack traffic is detected as SIP DDoS attack traffic. Therefore, according to the systematic steps, it is possible to detect abnormal SIP traffic on the VoIP network.
마지막으로, 본 발명의 일 실시에에 따른 비정상 VoIP 트래픽 탐지 시스템의 탐지 기준값은 탐지 모듈의 트래픽 분석 결과에 따라 실시간으로 그 값이 갱신되기 때문에, 실시간으로 변동되는 트래픽 상황을 반영하여 비정상 SIP 트래픽을 탐지하는 것이 가능하다.Lastly, since the detection reference value of the abnormal VoIP traffic detection system according to an embodiment of the present invention is updated in real time according to the traffic analysis result of the detection module, the abnormal SIP traffic is reflected to reflect the traffic situation that changes in real time. It is possible to detect.
본 발명의 효과들은 이상에서 언급한 효과로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.Effects of the present invention are not limited to the above-mentioned effects, and other effects not mentioned will be clearly understood by those skilled in the art from the following description.
도 1은 본 발명의 일 실시예에 따른 비정상 VoIP 트래픽 탐지 시스템의 블록 개념도이다.
도 2는 본 발명의 일 실시예에 따른 비정상 VoIP 트래픽 탐지 시스템의 수신 모듈이 수신하는 SIP 트래픽 정보의 일 예이다.
도 3은 본 발명의 일 실시예에 따른 비정상 VoIP 트래픽 탐지 시스템의 탐지 모듈이 분석하는 행위기반 분석 항목들의 구체적인 예시이다.
도 4는 본 발명의 일 실시예에 따른 비정상 VoIP 트래픽 탐지 시스템의 SIP DDoS 탐지 모듈의 동작을 설명하기 위한 순서도이다.
도 5는 본 발명의 일 실시예에 따른 비정상 VoIP 트래픽 탐지 시스템의 SIP DDoS 탐지 모듈의 SIP DDoS 공격 트래픽 탐지 동작을 설명하기 위한 도면이다.
도 6은 본 발명의 일 실시예에 따른 비정상 VoIP 트래픽 탐지 시스템의 SIP SCAN 탐지 모듈의 동작을 설명하기 위한 순서도이다.
도 7은 본 발명의 일 실시예에 따른 비정상 VoIP 트래픽 탐지 시스템의 RTP DDoS 탐지 모듈의 동작을 설명하기 위한 순서도이다.
도 8은 본 발명의 일 실시예에 따른 비정상 VoIP 트래픽 탐지 시스템의 효과를 설명하기 위한 도면이다.1 is a block diagram of an abnormal VoIP traffic detection system according to an embodiment of the present invention.
2 is an example of SIP traffic information received by a receiving module of an abnormal VoIP traffic detection system according to an embodiment of the present invention.
3 is a detailed example of behavior-based analysis items analyzed by a detection module of an abnormal VoIP traffic detection system according to an embodiment of the present invention.
4 is a flowchart illustrating an operation of a SIP DDoS detection module of an abnormal VoIP traffic detection system according to an embodiment of the present invention.
5 is a diagram illustrating a SIP DDoS attack traffic detection operation of the SIP DDoS detection module of an abnormal VoIP traffic detection system according to an embodiment of the present invention.
6 is a flowchart illustrating an operation of a SIP SCAN detection module of an abnormal VoIP traffic detection system according to an embodiment of the present invention.
7 is a flowchart illustrating the operation of the RTP DDoS detection module of the abnormal VoIP traffic detection system according to an embodiment of the present invention.
8 is a view for explaining the effect of the abnormal VoIP traffic detection system according to an embodiment of the present invention.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 도면에서 표시된 구성요소의 크기 및 상대적인 크기는 설명의 명료성을 위해 과장된 것일 수 있다.Advantages and features of the present invention and methods for achieving them will be apparent with reference to the embodiments described below in detail with the accompanying drawings. However, the present invention is not limited to the embodiments disclosed below, but will be implemented in various forms, and only the present embodiments are intended to complete the disclosure of the present invention, and the general knowledge in the art to which the present invention pertains. It is provided to fully convey the scope of the invention to those skilled in the art, and the present invention is defined only by the scope of the claims. The size and relative size of the components shown in the drawings may be exaggerated for clarity of explanation.
명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭하며, "및/또는"은 언급된 아이템들의 각각 및 하나 이상의 모든 조합을 포함한다.Like reference numerals refer to like elements throughout the specification, and "and / or" includes each and every combination of one or more of the mentioned items.
본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "이루어지다(made of)"는 언급된 구성요소, 단계, 동작 및/또는 소자는 하나 이상의 다른 구성요소, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.The terminology used herein is for the purpose of describing particular embodiments only and is not intended to be limiting of the invention. In the present specification, the singular form includes plural forms unless otherwise specified in the specification. As used herein, the terms "comprises" and / or "made of" means that a component, step, operation, and / or element may be embodied in one or more other components, steps, operations, and / And does not exclude the presence or addition thereof.
비록 제1, 제2 등이 다양한 구성요소들을 서술하기 위해서 사용되나, 이들 구성요소들은 이들 용어에 의해 제한되지 않음은 물론이다. 이들 용어들은 단지 하나의 구성요소를 다른 구성요소와 구별하기 위하여 사용하는 것이다. 따라서, 이하에서 언급되는 제1 구성요소는 본 발명의 기술적 사상 내에서 제2 구성요소일 수도 있음은 물론이다.Although the first, second, etc. are used to describe various components, these components are of course not limited by these terms. These terms are used only to distinguish one component from another. Therefore, it goes without saying that the first component mentioned below may be the second component within the technical scope of the present invention.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.Unless otherwise defined, all terms (including technical and scientific terms) used in the present specification may be used in a sense that can be commonly understood by those skilled in the art. In addition, the terms defined in the commonly used dictionaries are not ideally or excessively interpreted unless they are specifically defined clearly.
이하 도 1 내지 도 7을 참조하여, 본 발명의 일 실시예에 따른 비정상 VoIP 트래픽 탐지 시스템에 대해 설명한다.Hereinafter, an abnormal VoIP traffic detection system according to an embodiment of the present invention will be described with reference to FIGS. 1 to 7.
도 1은 본 발명의 일 실시예에 따른 비정상 VoIP 트래픽 탐지 시스템의 블록 개념도이고, 도 2는 본 발명의 일 실시예에 따른 비정상 VoIP 트래픽 탐지 시스템의 수신 모듈이 수신하는 SIP 트래픽 정보의 일 예이다.1 is a block diagram of an abnormal VoIP traffic detection system according to an embodiment of the present invention, Figure 2 is an example of SIP traffic information received by the receiving module of the abnormal VoIP traffic detection system according to an embodiment of the present invention .
먼저, 도 1을 참조하면, 본 발명의 일 실시예에 따른 비정상 VoIP 트래픽 탐지 시스템(100)은 수신 모듈(10), 탐지 모듈(40), 수집 DB(80), 통계 DB(85), 로그 DB(90)를 포함할 수 있다.First, referring to FIG. 1, an abnormal VoIP
수신 모듈(10)은 네트워크 상의 트래픽 정보를 수신하는 모듈일 수 있다. 본 발명의 실시예에서 이러한 네트워크는 음성 트래픽이 전송되는 VoIP(Voice over Internet Protocol) 네트워크일 수 있고, 이러한 네트워크로부터 수신 모듈(10)에 수신되는 트래픽 정보는 도 2에 도시된 것과 같이 SIP 트래픽에 관한 정보 및 RTP 트래픽에 관한 정보들을 포함하는 넷플로우(netfolw) 기반의 SIP 트래픽 정보일 수 있다.The
이렇게 수신 모듈(10)을 통해 수신된 트래픽 정보는 임시큐(20) 및 임시 DB(30)을 거쳐 탐지 모듈(40)에 제공될 수 있다. 비록, 도 1에서는 트래픽 처리의 효율성을 높이기 위해 트래픽 정보가 임시큐(20) 및 임시 DB(30)을 거쳐 탐지 모듈(40)에 제공되는 것이 도시되어 있으나, 본 발명이 도 1에 도시된 것에 제한되는 것은 아니다. 즉, 필요에 따라 이러한, 임시큐(20) 및 임시 DB(30)는 생략될 수도 있다.The traffic information received through the
탐지 모듈(40)은 수신 모듈(10)로부터 트래픽 정보를 제공받고 트래픽을 분석하여, 네트워크에 SIP DDoS 공격, SIP SCAN 공격 또는 RTP DDoS 공격이 있는지 탐지하는 모듈일 수 있다. 구체적으로 탐지 모듈(40)은 수신 모듈(10)로부터 제공받은 각 항목별 트래픽 정보를 통계 DB(85)에서 제공하는 각 항목별 기준값과 비교하여 네트워크에 SIP DDoS 공격, SIP SCAN 공격 또는 RTP DDoS 공격이 있는지 탐지하는 모듈일 수 있다. 이러한 탐지 모듈(40)은 SIP DDoS 공격을 탐지 하기 위한 SIP DDoS 공격 탐지 모듈(50)과, SIP SCAN 공격을 탐지하기 위한 SIP SCAN 공격 탐지 모듈(60)과, RTP DDoS 공격을 탐지 하기 위한 RTP DDoS 공격 탐지 모듈(70)로 구성될 수 있는데, 각 모듈에 대한 상세 동작은 추후 구체적으로 설명하도록 한다.The
한편, 본 발명의 일 실시예에 따른 비정상 VoIP 트래픽 탐지 시스템(100)의 탐지 모듈(40)은 제공 받은 네트워크 상의 트래픽에 대해 행위기반 분석 및/또는 휴리스틱 SIP 패턴 변동량 분석을 수행하여 네트워크 상의 트래픽이 공격 트래픽인지 탐지할 수 있다. 구체적으로, 탐지 모듈(40)은 제공 받은 네트워크 상의 트래픽에 대해 행위기반 분석과 휴리스틱 SIP 패턴 변동량 분석을 단계적으로 수행하여 잠재적 SIP DDoS 공격 트래픽을 탐지하고, 탐지된 잠재적 SIP DDoS 공격 트래픽에 대해 요청 메소드 및 응답 매소드를 분석하여 SIP DDoS 공격 트래픽을 탐지할 수 있다. 또한, 탐지 모듈(40)은 제공 받은 네트워크 상의 트래픽에 대해 행위기반 분석을 수행하여 SIP SCAN 공격 트래픽과 RTP DDoS 공격 트래픽을 탐지할 수 있다.On the other hand, the
여기서, 행위기반 분석은 구체적으로 사용자 분포 패턴 분석, 콜행위 패턴 분석 및 네트워크 상태 분석 등을 포함할 수 있다. 각각에 대해 보다 구체적으로 살펴보면, 사용자 분포 패턴 분석은 SIP 주소 분포 분석과 SIP 주소-IP 주소 연계 분석을 포함할 수 있고, 콜행위 패턴 분석은 요청메시지 전송 수 및 비율 분석과, 콜 트랜잭션 비율 분석을 포함할 수 있으며, 네트워크 상태 분석은 SIP 응용트래픽 볼륨 분석과, 미디어 트래픽 품질 분석을 포함할 수 있다. 각각에 대한 자세한 예시적인 분석 항목은 도 3에 정리해 놓았다.Here, the behavior-based analysis may specifically include user distribution pattern analysis, call behavior pattern analysis, network state analysis, and the like. More specifically, the user distribution pattern analysis may include SIP address distribution analysis and SIP address-to-IP address association analysis, and call behavior pattern analysis may include request message transmission rate and rate analysis and call transaction rate analysis. The network state analysis may include SIP application traffic volume analysis and media traffic quality analysis. Detailed exemplary analysis items for each are summarized in FIG. 3.
도 3은 본 발명의 일 실시예에 따른 비정상 VoIP 트래픽 탐지 시스템의 탐지 모듈이 분석하는 행위기반 분석 항목들의 구체적인 예시이다.3 is a detailed example of behavior-based analysis items analyzed by a detection module of an abnormal VoIP traffic detection system according to an embodiment of the present invention.
도 3을 참조하면, SIP 주소 분포 분석은 트래픽의 From-To 비율 분석을, 그리고 SIP 주소-IP 주소 연계 분석은 From-SrcIP 비율 분석을 의미할 수 있다. 또한, 요청메시지 전송 수 및 비율 분석은 INVITE 메시지 전송수 및 비율 분석과, REGISTER 메시지 전송수 및 비율 분석과, BYE 메시지 전송수 및 비율 분석과, CANCEL 메시지 전송수 및 비율 분석과, OPTION 메시지 전송수 및 비율 분석과, MESSAGE 메시지 전송수 및 비율 분석을 포함할 수 있고, 콜 트랜잭션 비율 분석은 INVITE 메시지 대 100Trying 비율 분석과, INVITE 메시지 대 200OK 비율 분석과, REGISTER 메시지 대 200OK 비율 분석과, OPTION 메시지 대 200OK 비율 분석과, MESSAGE 메시지 대 200OK 비율 분석을 포함할 수 있다. 마지막으로, SIP 응용트래픽 볼륨 분석은 SIP bps 분석과, RTP bps 분석과, SIP bytes 비율 분석과, RTP bytes 비율 분석과, RTP bytes 대 세션수 비율 분석을 포함할 수 있으며, 미디어 트래픽 품질 분석은 MoS 분석을 의미할 수 있다. 각 항목에 대한 실제적인 분석 방법의 예시는 도 3에 표시된 설명란을 참고하기 바란다.Referring to FIG. 3, an SIP address distribution analysis may mean a traffic from-to rate analysis, and a SIP address-IP address association analysis may mean a from-srcIP rate analysis. In addition, the request message transmission rate and rate analysis includes INVITE message transmission rate and rate analysis, REGISTER message transmission rate and rate analysis, BYE message transmission rate and rate analysis, CANCEL message transmission rate and rate analysis, and OPTION message transmission number. And rate analysis, MESSAGE message transfer and rate analysis, call transaction rate analysis may include INVITE message to 100Trying rate analysis, INVITE message to 200OK rate analysis, REGISTER message to 200OK rate analysis, and OPTION message to 200OK rate analysis and MESSAGE message to 200OK rate analysis. Finally, SIP application traffic volume analysis can include SIP bps analysis, RTP bps analysis, SIP bytes ratio analysis, RTP bytes ratio analysis, and RTP bytes to session ratio analysis. May mean analysis. For an example of the actual analysis method for each item, please refer to the explanation column shown in FIG. 3.
한편, 휴리스틱 SIP 패턴 변동량 분석은 앞서 설명한 행위기반 분석 항목 중, 그 분석 결과가 비정상으로 탐지된 항목에 대해서 수행될 수 있다. 즉, 휴리스틱 SIP 패턴 변동량 분석은 행위기반 분석 항목 모두에 대해 수행되는 것이 아니고, 상기 행위기반 분석 결과가 비정상으로 탐지된 항목들에 대해서만 그 항목의 최근 변동량을 분석하는 방법으로 수행될 수 있다. 예를 들어, 트래픽에 대한 행위기반 분석 결과, From-To 비율 분석 항목에서 비정상임이 감지되었다면, 탐지 모듈(40)은 분석 대상 트래픽의 최근 From-To 비율 변동량을 기준으로, From-To 비율 분석 항목에 대해 휴리스틱 SIP 패턴 변동량 분석을 수행할 수 있는 것이다.Meanwhile, the heuristic SIP pattern variation analysis may be performed on an item in which the analysis result is abnormally detected among the behavior-based analysis items described above. That is, the heuristic SIP pattern variation analysis may not be performed on all of the behavior-based analysis items, but may be performed by analyzing the recent variation of the items only for those items in which the behavior-based analysis result is abnormally detected. For example, if a behavior-based analysis of the traffic results in abnormality in the From-To ratio analysis item, the
결국, 탐지 모듈(40)은 이러한 행위기반 분석결과와 이러한 휴리스틱 SIP 패턴 변동량 분석 결과를 바탕으로 탐지 점수를 산정하여 그 점수가 일정 임계치 이상이면 분석 대상 트래픽을 공격 트래픽으로 탐지하게 된다. 이에 관한 보다 구체적인 기준 및 그에 관한 상세한 설명은, 추후 본 발명의 일 실시예에 따른 비정상 VoIP 트래픽 탐지 시스템(100)의 탐지 모듈(40)의 동작을 설명하면서 같이 하도록 한다.As a result, the
다시, 도 1을 참조하면, 수집 DB(80)는 탐지 모듈(40)에서 분석 및 탐지한 트래픽 정보를 저장하는 저장소일 수 이고, 통계 DB(85)는 수집 DB(80)로부터 트래픽 정보를 제공받아 탐지 모듈(40)이 트래픽을 분석하는데 필요한 다수의 기준값을 제공하는 저장소일 수 있다. 여기서, 본 발명의 일 실시에에 따른 비정상 VoIP 트래픽 탐지 시스템(100)의 통계 DB(85)가 탐지 모듈(40)에 제공하는 각각의 기준값은 탐지 모듈(40)의 앞서 설명한 트래픽 분석 결과에 따라 실시간으로 그 값이 갱신될 수 있다. 즉, 통계 DB(85)가 탐지 모듈(40)에 제공하는 각각의 기준값은 트래픽 상황이 변동됨에 따라 그 값이 갱신되는, 즉, 트래픽 상황을 실시간으로 반영하는 값일 수 있다.Referring again to FIG. 1, the
마지막으로, 로그 DB(90)는 탐지 모듈(40)이 분석 대상 트래픽을 공격 트래픽으로 탐지할 경우, 이에 대한 로그를 저장하는 저장소일 수 있다.Finally, when the
다음 도 4 내지 도 8을 참조하여, 본 발명의 일 실시예에 따른 비정상 VoIP 트래픽 탐지 시스템(100)의 탐지 모듈(40)의 동작에 대해 설명하도록 한다. 먼저, 도 4 및 도 5를 참조하여, SIP DDoS 공격 탐지 모듈(50)의 동작에 대해 설명하도록 한다.4 to 8, the operation of the
도 4는 본 발명의 일 실시예에 따른 비정상 VoIP 트래픽 탐지 시스템의 SIP DDoS 탐지 모듈의 동작을 설명하기 위한 순서도이고, 도 5는 본 발명의 일 실시예에 따른 비정상 VoIP 트래픽 탐지 시스템의 SIP DDoS 탐지 모듈의 SIP DDoS 공격 트래픽 탐지 동작을 설명하기 위한 도면이다.4 is a flowchart illustrating an operation of a SIP DDoS detection module of an abnormal VoIP traffic detection system according to an embodiment of the present invention, and FIG. 5 is a SIP DDoS detection of an abnormal VoIP traffic detection system according to an embodiment of the present invention. A diagram illustrating the SIP DDoS attack traffic detection operation of the module.
도 4를 참조하면, 수신 모듈(10)이 넷플로우 기반의 SIP 트래픽 정보를 수신한다(S100). 그리고, 이렇게 수신 모듈(10)을 통해 수신된 트래픽 정보는 임시큐(20) 및 임시 DB(30)을 거쳐 SIP DDoS 공격 탐지 모듈(50)에 제공된다(S102).Referring to FIG. 4, the
다음 트래픽 정보를 제공 받은 SIP DDoS 공격 탐지 모듈(50)은 이를 목적지 IP별로 그룹핑한다(S104). 그리고, 각 그룹에 대해 행위기반 분석을 수행한다(S106, S108).The SIP DDoS
구체적으로, SIP DDoS 공격 탐지 모듈(50)은 각 그룹에 대해 아래 표 1에 표시된 항목에 대해 분석을 수행한다. 즉, 트래픽의 From-To 비율, SIP bps, SIP bytes 비율, SIP 요청메시지 전송수 및 비율, 콜 트랜잭션 비율을 표 1에 표시된 기준값과 비교한다. 여기서, 기준값은 앞서 설명한 바와 같이 통계 DB(85)로부터 제공된 값일 수 있다.Specifically, the SIP DDoS
또는,
사용자 지정 고정값 중 더 큰 값Same day over the past month Same time zone Average + (standard deviation * 2)
or,
Larger of user-specified fixed values
만약, 이 중에서 기준값을 넘는 항목이 존재한다면, 해당 항목에 아래 표 2에 표시된 것과 같은 탐지 점수를 부여한다.If there is an item exceeding the reference value among these, the item is given a detection score as shown in Table 2 below.
즉, 예를 들어 트래픽의 From-To 비율과 SIP bps가 기준값을 넘었다면 그에 해당하는 탐지점수 2+4=6을 부여한다.That is, for example, if the traffic From-To ratio and the SIP bps exceed the reference value, the corresponding detection score 2 + 4 = 6 is assigned.
다음 다시 도 4를 참조하면, 행위기반 분석 결과가 비정상으로 탐지된 항목들에 대해서 휴리스틱 SIP 패턴 변동량 분석을 수행한다(S110, S112).Next, referring back to FIG. 4, heuristic SIP pattern variation analysis is performed on items whose behavior-based analysis results are abnormally detected (S110 and S112).
앞선 예에서, 트래픽의 From-To 비율과 SIP bps만 기준값을 넘었다면, 트래픽의 From-To 비율과 SIP bps에 대해 휴리스틱 SIP 패턴 변동량 분석을 수행한다. 이러한 휴리스틱 SIP 패턴 변동량 분석은 다음과 같이 수행한다.In the previous example, if only the From-To ratio and the SIP bps of the traffic exceeded the reference value, the heuristic SIP pattern variation analysis is performed on the From-To ratio and the SIP bps of the traffic. This heuristic SIP pattern variation analysis is performed as follows.
먼저 각 항목에 대해 아래의 수학식 1에 의해 산정된 T 값을 각각 산정한다.First, T values calculated by Equation 1 below are calculated for each item.
<수학식 1>&Quot; (1) "
T = S + E (여기서, S는 지난 N분간 30초 단위 증가치의 평균, E는 지난 N분간 30초 단위 증가치 변량의 표준편차 * 2)
T = S + E (where S is the mean of 30-second increments over the last N minutes, E is the standard deviation of the variance in 30-second increments over the last N minutes * 2)
그리고, 해당 항목이 산정된 T 값보다 크다면, 그 항목에 대한 표 2에 도시된 탐지 점수에 2를 곱한다.If the item is larger than the calculated T value, the detection score shown in Table 2 for the item is multiplied by two.
즉, 앞선 예에서, 트래픽의 From-To 비율과 SIP bps 중 From-To 비율은 산정된 T 값을 넘지 못했으나, SIP bps는 산정된 T 값을 넘었다면, From-To 비율 항목의 탐지 점수는 그대로 2이나, SIP bps 항목의 탐지 점수는 4에 2를 곱한 8이 된다.That is, in the previous example, if the From-To ratio of the traffic and the From-To ratio of the SIP bps did not exceed the calculated T value, but the SIP bps exceeded the calculated T value, the detection score of the From-To ratio item would be As it is 2, the SIP bps entry's detection score is 4 times 8 times 2.
다음, 도 4를 다시 참조하면, 이렇게 가중치가 반영된 탐지점수를 모두 합한다(S114). 그리고 탐지 점수의 합이 일정 임계치(예를 들어, 10) 이상이면 분석 대상 트래픽을 잠재적 SIP DDoS 공격 트래픽으로 탐지한다(S116).Next, referring back to FIG. 4, all the detection scores reflecting the weights are summed (S114). If the sum of the detection scores is equal to or greater than a predetermined threshold (eg, 10), the traffic to be analyzed is detected as potential SIP DDoS attack traffic (S116).
앞선, 예에서 트래픽의 From-To 비율 탐지 점수는 2이고, SIP bps 탐지 점수는 8이고, SIP bytes 비율, SIP 요청메시지 전송수 및 비율, 콜 트랜잭션 비율의 탐지 점수는 0이므로, 그 합은 10이 된다. 따라서, SIP DDoS 공격 탐지 모듈(50)은 분석 대상 트래픽을 잠재적 SIP DDoS 공격 트래픽으로 탐지한다.Earlier, in the example, the traffic from-to-rate detection score was 2, the SIP bps detection score was 8, the SIP bytes rate, the number and rate of SIP request message transmissions, and the call transaction rate were 0, so the sum is 10 Becomes Accordingly, the SIP DDoS
다음, 탐지된 잠재적 SIP DDoS 공격 트래픽에 대해 요청 메소드 및 응답 매소드를 분석하여 SIP DDoS 공격 트래픽인지 탐지한다(S118, S120). 즉, SIP DDoS 공격 탐지 모듈(50)은 잠재적 SIP DDoS 공격 트래픽에 요청 메소드 개수는 0보다 크나 ACK 메소드가 0인 경우, 또는 요청 메소드 개수에 대한 응답 메소드 개수의 비율이 5를 초과하는 경우, 잠재적 SIP DDoS 공격 트래픽을 SIP DDoS 공격 트래픽으로 탐지한다.Next, it analyzes the request method and response method for the detected potential SIP DDoS attack traffic and detects whether it is SIP DDoS attack traffic (S118, S120). That is, the SIP DDoS
일반적으로 분석 대상 트래픽이 SIP DDoS 공격 트래픽이라면, 도 5의 (a)에 도시된 정상적인 상황과 달리 도 5의 (b)도시된 것처럼, 트래픽 내에 ACK 메소드가 존재하지 않거나, 요청(Request) 메소드에 대한 응답(Response) 메소드의 비율이 지나치게 높을 수(예를 들어, 응답 메소드 개수/ 요청 메소드 개수 > 5) 있다. 따라서, SIP DDoS 공격 탐지 모듈(50)은 분석 트래픽의 ACK 메소드 개수가 없거나, 요청 메소드에 대한 응답 메소드의 비율이 5를 초과하면, 분석 대상 트래픽을 SIP DDoS 공격 트래픽으로 탐지한다.In general, if the traffic to be analyzed is SIP DDoS attack traffic, unlike in the normal situation illustrated in FIG. 5A, as shown in FIG. 5B, there is no ACK method in the traffic or a request method. The ratio of response methods to the response may be too high (for example, the number of response methods / the number of request methods> 5). Accordingly, the SIP DDoS
다음, SIP DDoS 공격 트래픽으로 탐지된 트래픽에는 태그(Tag)를 부착하고(S122), 정상 트래픽은 태그를 부착하지 않은 상태로 이들을 수집 DB(80)에 저장한다(S200). 그리고, 통계 DB(85)는 수집 DB(80)에 저장된 트래픽 정보 중 태그가 부착되지 않은 정상 트래픽 정보만을 가져와 기존에 저장된 각 분석 항목별 기준값을 갱신한다(S210, S220).Next, a tag (Tag) is attached to the traffic detected as SIP DDoS attack traffic (S122), and normal traffic stores them in the
다음, 도 6을 참조하여, SIP SCAN 공격 탐지 모듈(60)의 동작에 대해 설명하도록 한다.Next, the operation of the SIP SCAN
도 6은 본 발명의 일 실시예에 따른 비정상 VoIP 트래픽 탐지 시스템의 SIP SCAN 탐지 모듈의 동작을 설명하기 위한 순서도이다.6 is a flowchart illustrating an operation of a SIP SCAN detection module of an abnormal VoIP traffic detection system according to an embodiment of the present invention.
도 6을 참조하면, 수신 모듈(10)이 넷플로우 기반의 SIP 트래픽 정보를 수신한다(S100). 그리고, 이렇게 수신 모듈(10)을 통해 수신된 트래픽 정보는 임시큐(20) 및 임시 DB(30)을 거쳐 SIP SCAN 공격 탐지 모듈(60)에 제공된다(S102).Referring to FIG. 6, the receiving
다음, 트래픽 정보를 제공 받은 SIP SCAN 공격 탐지 모듈(60)은 이를 발신지 IP별로 그룹핑한다(S130). 그리고, 각 그룹에 대해 행위기반 분석을 수행한다(S132, S134).Next, the SIP SCAN
구체적으로, SIP SCAN 공격 탐지 모듈(60)은 각 그룹에 대해 아래 표 3에 표시된 항목에 대해 분석을 수행한다. 이러한 분석 방법은 앞서 설명한 SIP DDoS 공격 탐지 모듈(50)과 유사한바, 중복된 자세한 설명은 생략하도록 한다.Specifically, the SIP SCAN
또는,
사용자 지정 고정값 중 더 큰 값Average of the callers' maximum for the last week plus + (standard deviation * 2)
or,
Larger of user-specified fixed values
만약, 이 중에서 기준값을 넘는 항목이 존재한다면, 해당 항목에 아래 표 4에 표시된 것과 같은 탐지 점수를 부여한다.If there is an item exceeding the reference value among these, the item is given a detection score as shown in Table 4 below.
그리고, 항목별 탐지 점수 들을 합산한다(S136). 그리고 탐지 점수의 합이 일정 임계치(예를 들어, 10) 이상이면 분석 대상 트래픽을 SIP SCAN 공격 트래픽으로 탐지한다(S138).Then, the detection scores for each item are added up (S136). If the sum of the detection scores is equal to or greater than a predetermined threshold (eg, 10), the traffic to be analyzed is detected as SIP SCAN attack traffic (S138).
다음, SIP SCAN 공격 트래픽으로 탐지된 트래픽에는 태그(Tag)를 부착하고(S140), 정상 트래픽은 태그를 부착하지 않은 상태로 이들을 수집 DB(80)에 저장한다(S200). 그리고, 통계 DB(85)는 수집 DB(80)에 저장된 트래픽 정보 중 태그가 부착되지 않은 정상 트래픽 정보만을 가져와 기존에 저장된 각 분석 항목별 기준값을 갱신한다(S210, S220).Next, a tag (Tag) is attached to the traffic detected as SIP SCAN attack traffic (S140), and normal traffic stores them in the
다음, 도 7을 참조하여, RTP DDoS 공격 탐지 모듈(70)의 동작에 대해 설명하도록 한다.Next, the operation of the RTP DDoS
도 7은 본 발명의 일 실시예에 따른 비정상 VoIP 트래픽 탐지 시스템의 RTP DDoS 탐지 모듈의 동작을 설명하기 위한 순서도이다.7 is a flowchart illustrating the operation of the RTP DDoS detection module of the abnormal VoIP traffic detection system according to an embodiment of the present invention.
도 7을 참조하면, 수신 모듈(10)이 넷플로우 기반의 SIP 트래픽 정보를 수신한다(S100). 그리고, 이렇게 수신 모듈(10)을 통해 수신된 트래픽 정보는 임시큐(20) 및 임시 DB(30)을 거쳐 RTP DDoS 공격 탐지 모듈(70)에 제공된다(S102).Referring to FIG. 7, the receiving
다음, 트래픽 정보를 제공 받은 RTP DDoS 공격 탐지 모듈(70)은 이를 발신지 IP별로 그룹핑한다(S150). 그리고, 각 그룹에 대해 행위기반 분석을 수행한다(S152, S154).Next, the RTP DDoS
구체적으로, RTP DDoS 공격 탐지 모듈(70)은 각 그룹에 대해 아래 표 5에 표시된 항목에 대해 분석을 수행한다. 이러한 분석 방법 역시 앞서 설명한 SIP DDoS 공격 탐지 모듈(50) 및 SIP SCAN 공격 탐지 모듈(60)과 유사한바, 중복된 자세한 설명은 생략하도록 한다.Specifically, the RTP DDoS
또는,
사용자 지정 고정값 중 더 큰 값 Same day over the past month Same time zone Average + (standard deviation * 2)
or,
Larger of user-specified fixed values
만약, 이 중에서 기준값 이상인 항목(RTP bps, RTP byte 비율)이 존재하거나, 기준값 이하인 항목(MoS)이 존재하한다면, 해당 항목에 아래 표 6에 표시된 것과 같은 탐지 점수를 부여한다.If there is an item (RTP bps, RTP byte ratio) that is greater than or equal to the reference value or an item (MoS) that is less than or equal to the reference value, a detection score as shown in Table 6 below is assigned to the item.
그리고, 항목별 탐지 점수 들을 합산한다(S156). 그리고 탐지 점수의 합이 일정 임계치(예를 들어, 10) 이상이면 분석 대상 트래픽을 잠재적 RTP DDoS 공격 트래픽으로 탐지한다(S158).Then, the detection scores for each item are added up (S156). If the sum of the detection scores is equal to or greater than a predetermined threshold (eg, 10), the traffic to be analyzed is detected as potential RTP DDoS attack traffic (S158).
다음, 탐지된 잠재적 RTP DDoS 공격 트래픽이 매칭되는 매칭되는 SIP 세션이 없는 RTP 플로우 이거나, 잠재적 RTP DDoS 공격 트래픽의 (InBytes/OutBytes*100) 값이 특정값(예를 들어, k)보다 크면 잠재적 RTP DDoS 공격 트래픽을 RTP DDoS 공격 트래픽으로 탐지한다(S1160, S162). 그리고, RTP DDoS 공격 트래픽으로 탐지된 트래픽에는 태그(Tag)를 부착하고(S164), 정상 트래픽은 태그를 부착하지 않은 상태로 이들을 수집 DB(80)에 저장한다(S200). 그리고, 통계 DB(85)는 수집 DB(80)에 저장된 트래픽 정보 중 태그가 부착되지 않은 정상 트래픽 정보만을 가져와 기존에 저장된 각 분석 항목별 기준값을 갱신한다(S210, S220).Next, if the detected potential RTP DDoS attack traffic has no matching SIP session matching, or if the value of (InBytes / OutBytes * 100) of the potential RTP DDoS attack traffic is greater than a certain value (e.g., k), then the potential RTP DDoS attack traffic is detected as RTP DDoS attack traffic (S1160, S162). Then, a tag (Tag) is attached to the traffic detected as RTP DDoS attack traffic (S164), and normal traffic stores them in the
다음, 도 8을 참조하여 본 발명의 일 실시예에 따른 비정상 VoIP 트래픽 탐지 시스템의 효과에 대해 설명한다.Next, with reference to Figure 8 will be described the effect of the abnormal VoIP traffic detection system according to an embodiment of the present invention.
도 8은 본 발명의 일 실시예에 따른 비정상 VoIP 트래픽 탐지 시스템의 효과를 설명하기 위한 도면이다.8 is a view for explaining the effect of the abnormal VoIP traffic detection system according to an embodiment of the present invention.
본 발명의 일 실시예에 따른 비정상 VoIP 트래픽 탐지 시스템(100)의 경우, 네트워크(예를 들어, VoIP 네트워크) 상의 비정상 SIP 트래픽이 탐지 가능할 수 있다. 도 8을 참조하여 보다 구체적으로 설명하면, 종래의 비정상 트래픽 탐지 시스템의 경우, 5-tuple 정보에 의해서만 비정상 트래픽을 탐지했기 때문에 도 8과 같이 IP 레벨에서 하나의 발신지(source)에서 하나의 목적지(destination)으로 흐르는 트래픽의 경우에는 비록, 응용 레벨에서 서로 다른 여러 개의 URI(서로 다른 여러 개의 From)를 사용하여 하나의 타겟(하나의 To)을 공격한다 하더라도 이를 DDoS 공격으로 탐지하지 못하였다.In the case of an abnormal VoIP
하지만, 본 발명의 일 실시예에 따른 비정상 VoIP 트래픽 탐지 시스템(100)은 응용 레벨에서 앞서 설명한 바와 같이 다양한 정보를 바탕으로 DDoS 공격 트래픽을 탐지하기 때문에, 도 8에 도시된 것과 같은 SIP DDoS 공격 트래픽의 탐지가 가능하다.However, since the abnormal VoIP
또한, 본 발명의 일 실시예에 따른 비정상 VoIP 트래픽 탐지 시스템(100)은 앞서 설명한 것과 같이 행위기반 분석과 휴리스틱 SIP 패턴 변동량 분석을 단계적으로 수행하여 잠재적 SIP DDoS 공격 트래픽을 탐지하고, 이러한 잠재적 SIP DDoS 공격 트래픽에 대해 요청 메소드 및 응답 매소드를 분석하여 잠재적 SIP DDoS 공격 트래픽을 SIP DDoS 공격 트래픽으로 탐지하기 때문에, 체계적인 단계에 따라 VoIP 네트워크 상의 비정상 SIP 트래픽을 탐지하는 것이 가능하다.In addition, the abnormal VoIP
이상 첨부된 도면을 참조하여 본 발명의 실시예들을 설명하였으나, 본 발명은 상기 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 제조될 수 있으며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.Although the embodiments of the present invention have been described above with reference to the accompanying drawings, the present invention is not limited to the above embodiments but may be manufactured in various forms, and having ordinary skill in the art to which the present invention pertains. It will be understood by those skilled in the art that the present invention may be embodied in other specific forms without changing the technical spirit or essential features of the present invention. It is therefore to be understood that the above-described embodiments are illustrative in all aspects and not restrictive.
10: 수신 모듈 40: 탐지 모듈
50: SIP DDoS 공격 탐지 모듈 60: SIP SCAN 공격 탐지 모듈
70: RTP DDoS 공격 탐지 모듈 80: 수집 DB
85: 통계 DB 90: 로그 DB10: receiving module 40: detection module
50: SIP DDoS attack detection module 60: SIP SCAN attack detection module
70: RTP DDoS attack detection module 80: collection DB
85: statistics DB 90: logs DB
Claims (13)
상기 수신 모듈로부터 상기 트래픽 정보를 제공받고 상기 트래픽을 분석하여, 상기 네트워크에 SIP DDoS 공격, SIP SCAN 공격 또는 RTP DDoS 공격이 있는지 탐지하는 탐지 모듈; 및
상기 탐지 모듈이 상기 트래픽을 분석하는데 필요한 다수의 기준값을 제공하는 통계 DB를 포함하되,
상기 SIP DDoS 공격 트래픽을 탐지하는 것은, 상기 네트워크 상의 트래픽에 대해 행위기반 분석과 휴리스틱 SIP 패턴 변동량 분석을 수행하여 잠재적 SIP DDoS 공격 트래픽을 탐지하는 것과, 상기 잠재적 SIP DDoS 공격 트래픽에 대해 요청 메소드 및 응답 매소드를 분석하여 상기 잠재적 SIP DDoS 공격 트래픽을 상기 SIP DDoS 공격 트래픽으로 탐지하는 것을 포함하는 비정상 VoIP 트래픽 탐지 시스템.A receiving module for receiving traffic information on the network;
A detection module receiving the traffic information from the receiving module and analyzing the traffic to detect whether there is a SIP DDoS attack, a SIP SCAN attack or an RTP DDoS attack in the network; And
A statistics DB providing the plurality of reference values needed for the detection module to analyze the traffic,
Detecting the SIP DDoS attack traffic includes detecting behavioral SIP DDoS attack traffic by performing behavior-based analysis and heuristic SIP pattern variation analysis on the traffic on the network, and requesting method and response to the potential SIP DDoS attack traffic. And analyzing a method to detect the potential SIP DDoS attack traffic as the SIP DDoS attack traffic.
상기 네트워크는 VoIP 네트워크를 포함하고,
상기 트래픽 정보는 넷플로우(netflow) 기반의 SIP 트래픽 정보를 포함하는 비정상 VoIP 트래픽 탐지 시스템.The method of claim 1,
The network comprises a VoIP network,
The traffic information abnormal VoIP traffic detection system including netflow (Netflow) based SIP traffic information.
상기 행위기반 분석은 사용자 분포 패턴 분석, 콜행위 패턴 분석 및 네트워크 상태 분석을 포함하는 비정상 VoIP 트래픽 탐지 시스템.The method of claim 1,
The behavior-based analysis includes abnormal VoIP traffic detection system including user distribution pattern analysis, call behavior pattern analysis, and network state analysis.
상기 사용자 분포 패턴 분석은 SIP 주소 분포 분석과 SIP 주소-IP 주소 연계 분석을 포함하고,
상기 콜행위 패턴 분석은 요청메시지 전송 수 및 비율 분석과, 콜 트랜잭션 비율 분석을 포함하고,
상기 네트워크 상태 분석은 SIP 응용트래픽 볼륨 분석과, 미디어 트래픽 품질 분석을 포함하는 비정상 VoIP 트래픽 탐지 시스템.The method of claim 3, wherein
The user distribution pattern analysis includes SIP address distribution analysis and SIP address-IP address association analysis,
The call behavior pattern analysis includes request message transmission number and rate analysis and call transaction rate analysis.
The network state analysis includes an SIP application traffic volume analysis and media traffic quality analysis.
상기 휴리스틱 SIP 패턴 변동량 분석은 상기 행위기반 분석 결과 비정상으로 판단된 항목의 최근 변동량을 분석하는 것을 포함하는 비정상 VoIP 트래픽 탐지 시스템.The method of claim 1,
The heuristic SIP pattern variation analysis includes analyzing a recent variation of an item determined as abnormal as a result of the behavior-based analysis.
상기 SIP DDoS 공격에 대한 탐지는 상기 행위기반 분석결과와 상기 휴리스틱 SIP 패턴 변동량 분석 결과를 바탕으로 탐지 점수를 산정하여 그 점수가 일정 임계치 이상이면 상기 트래픽을 SIP DDoS 공격 트래픽으로 탐지하는 것을 포함하는 비정상 VoIP 트래픽 탐지 시스템.The method of claim 1,
The detection of the SIP DDoS attack includes calculating a detection score based on the behavior-based analysis result and the heuristic SIP pattern variation analysis result, and detecting the traffic as the SIP DDoS attack traffic when the score is above a predetermined threshold. VoIP traffic detection system.
상기 탐지 모듈은 SIP DDoS 공격 탐지 모듈, SIP SCAN 공격 탐지 모듈 및 RTP DDoS 공격 탐지 모듈을 포함하는 비정상 VoIP 트래픽 탐지 시스템.The method of claim 1,
The detection module is an abnormal VoIP traffic detection system including a SIP DDoS attack detection module, SIP SCAN attack detection module and RTP DDoS attack detection module.
상기 SIP DDoS 공격 탐지 모듈은 상기 트래픽의 From-To 비율, SIP bps, SIP bytes 비율, SIP 요청메시지 전송수 및 비율, 콜 트랜잭션 비율 중 어느 하나의 항목이 상기 각각의 기준값보다 크면 그에 해당하는 탐지 점수를 산정하고,
상기 기준값보다 큰 항목이 아래의 수식으로 산정된 T값보다도 크면, 해당 탐지 점수에 2를 곱하고,
상기 모든 항목에 대한 상기 탐지 점수의 합이 일정 임계치 이상이면 상기 트래픽을 상기 잠재적 SIP DDoS 공격 트래픽으로 탐지하는 비정상 VoIP 트래픽 탐지 시스템.
T=S+E (여기서, S는 지난 N분간 30초 단위 증가치의 평균, E는 지난 N분간 30초 단위 증가치 변량의 표준편차 * 2)8. The method of claim 7,
The SIP DDoS attack detection module detects a corresponding score if any one of the From-To rate, the SIP bps, the SIP bytes rate, the number and rate of SIP request message transmissions, and the call transaction rate is greater than each reference value. Calculate the
If the item larger than the reference value is larger than the T value calculated by the following equation, the detection score is multiplied by 2,
An abnormal VoIP traffic detection system for detecting the traffic as the potential SIP DDoS attack traffic if the sum of the detection scores for all the items is equal to or greater than a predetermined threshold.
T = S + E, where S is the mean of 30 second increments over the last N minutes, and E is the standard deviation of the variance over 30 seconds increments over the last N minutes * 2
상기 SIP DDoS 공격 탐지 모듈은 상기 잠재적 SIP DDoS 공격 트래픽에 요청 메소드 개수는 0보다 크나 ACK 메소드가 0인 경우, 또는 요청 메소드 개수에 대한 응답 메소드 개수의 비율이 5를 초과하는 경우, 상기 잠재적 SIP DDoS 공격 트래픽을 상기 SIP DDoS 공격 트래픽으로 탐지하는 비정상 VoIP 트래픽 탐지 시스템.The method of claim 8,
The SIP DDoS attack detection module determines that the potential SIP DDoS attacks have potential SIP DDoS attack traffic when the number of request methods is greater than zero but the ACK method is zero, or when the ratio of the number of response methods to the number of request methods exceeds five. An abnormal VoIP traffic detection system for detecting attack traffic as the SIP DDoS attack traffic.
상기 SIP SCAN 공격 탐지 모듈은 상기 트래픽의 SIP bps, SIP bytes 비율, SIP 요청메시지 전송수 및 비율, 콜 트랜잭션 비율 중 어느 하나의 항목이 상기 각각의 기준값보다 크면 그에 해당하는 탐지 점수를 산정하고,
상기 모든 항목에 대한 상기 탐지 점수의 합이 일정 임계치 이상이면 상기 트래픽을 상기 SIP SCAN 공격 트래픽으로 탐지하는 비정상 VoIP 트래픽 탐지 시스템.8. The method of claim 7,
The SIP SCAN attack detection module calculates a detection score corresponding to any one item of the SIP bps, the SIP bytes rate, the number and rate of SIP request message transmissions, and the call transaction rate of the traffic that is greater than each reference value.
And detecting the traffic as the SIP SCAN attack traffic when the sum of the detection scores for all the items is equal to or greater than a predetermined threshold.
상기 RTP DDoS 공격 탐지 모듈은 상기 트래픽의 RTP bps, RTP bytes 비율, MoS값 중 어느 하나의 항목이 상기 각각의 기준값보다 크거나 작으면 그에 해당하는 점수를 산정하고,
상기 모든 항목에 대한 상기 탐지 점수의 합이 일정 임계치 이상이면 상기 트래픽을 상기 잠재적 RTP DDoS 공격 트래픽으로 탐지하는 비정상 VoIP 트래픽 탐지 시스템.8. The method of claim 7,
The RTP DDoS attack detection module calculates a corresponding score when any one item of the RTP bps, RTP bytes rate, and MoS value of the traffic is larger or smaller than each reference value.
An abnormal VoIP traffic detection system for detecting the traffic as the potential RTP DDoS attack traffic if the sum of the detection scores for all the items is equal to or greater than a predetermined threshold.
상기 RTP DDoS 공격 탐지 모듈은 상기 잠재적 RTP DDoS 공격 트래픽이 매칭되는 매칭되는 SIP 세션이 없는 RTP 플로우 이거나, 상기 잠재적 RTP DDoS 공격 트래픽의 (InBytes/OutBytes*100) 값이 특정값보다 크면 상기 잠재적 RTP DDoS 공격 트래픽을 상기 RTP DDoS 공격 트래픽으로 탐지하는 비정상 VoIP 트래픽 탐지 시스템.12. The method of claim 11,
The RTP DDoS attack detection module is an RTP flow without a matching SIP session to which the potential RTP DDoS attack traffic is matched, or if the value of (InBytes / OutBytes * 100) of the potential RTP DDoS attack traffic is greater than a specific value, the potential RTP DDoS attack traffic module. An abnormal VoIP traffic detection system for detecting attack traffic as the RTP DDoS attack traffic.
상기 기준값은 상기 탐지 모듈의 상기 트래픽 분석 결과에 따라 실시간으로 갱신되는 비정상 VoIP 트래픽 탐지 시스템.The method of claim 1,
The reference value is abnormal VoIP traffic detection system is updated in real time according to the traffic analysis result of the detection module.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020100133529A KR101177049B1 (en) | 2010-12-23 | 2010-12-23 | System for detecting abnormal VoIP traffic using heuristic statistic-information |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020100133529A KR101177049B1 (en) | 2010-12-23 | 2010-12-23 | System for detecting abnormal VoIP traffic using heuristic statistic-information |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20120071831A true KR20120071831A (en) | 2012-07-03 |
KR101177049B1 KR101177049B1 (en) | 2012-08-27 |
Family
ID=46706736
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020100133529A KR101177049B1 (en) | 2010-12-23 | 2010-12-23 | System for detecting abnormal VoIP traffic using heuristic statistic-information |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101177049B1 (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101492733B1 (en) * | 2013-10-02 | 2015-02-12 | 서울과학기술대학교 산학협력단 | Method for detecting toll fraud attack in Voice over Internet Protocol service using novelty detection technique |
KR20200014968A (en) * | 2018-08-02 | 2020-02-12 | 주식회사 케이티 | Method and apparatus for detecting anomalous traffic |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100809422B1 (en) * | 2006-09-29 | 2008-03-05 | 한국전자통신연구원 | Intrusion prevention apparatus based on alert severity of signiture detection and abnormal traffic and method thereof |
US8091127B2 (en) | 2006-12-11 | 2012-01-03 | International Business Machines Corporation | Heuristic malware detection |
-
2010
- 2010-12-23 KR KR1020100133529A patent/KR101177049B1/en not_active IP Right Cessation
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101492733B1 (en) * | 2013-10-02 | 2015-02-12 | 서울과학기술대학교 산학협력단 | Method for detecting toll fraud attack in Voice over Internet Protocol service using novelty detection technique |
KR20200014968A (en) * | 2018-08-02 | 2020-02-12 | 주식회사 케이티 | Method and apparatus for detecting anomalous traffic |
Also Published As
Publication number | Publication date |
---|---|
KR101177049B1 (en) | 2012-08-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
AU2018301643B2 (en) | Fraud detection system and method | |
US11206286B2 (en) | Methods and systems for reducing unwanted data traffic in a computer network | |
US8966627B2 (en) | Method and apparatus for defending distributed denial-of-service (DDoS) attack through abnormally terminated session | |
AU2011305214B2 (en) | IP prioritization and scoring system for DDoS detection and mitigation | |
US10291539B2 (en) | Methods, systems, and computer readable media for discarding messages during a congestion event | |
US7526807B2 (en) | Distributed architecture for statistical overload control against distributed denial of service attacks | |
US8244799B1 (en) | Client application fingerprinting based on analysis of client requests | |
JP5320458B2 (en) | Attack protection for packet-based networks | |
US20170295196A1 (en) | Network anomaly detection | |
RU2480937C2 (en) | System and method of reducing false responses when detecting network attack | |
Tammaro et al. | Exploiting packet‐sampling measurements for traffic characterization and classification | |
US10911473B2 (en) | Distributed denial-of-service attack detection and mitigation based on autonomous system number | |
US8260909B2 (en) | Method and apparatus for monitoring a data stream | |
US11005865B2 (en) | Distributed denial-of-service attack detection and mitigation based on autonomous system number | |
EP1919162A2 (en) | Identification of potential network threats using a distributed threshold random walk | |
US20080263661A1 (en) | Detecting anomalies in signaling flows | |
Ehlert et al. | Specification-based denial-of-service detection for sip voice-over-ip networks | |
US20120036579A1 (en) | System and method for detecting abnormal sip traffic on voip network | |
CN106506242A (en) | A kind of Network anomalous behaviors and the accurate positioning method and system of flow monitoring | |
KR100684602B1 (en) | Corresponding system for invasion on scenario basis using state-transfer of session and method thereof | |
Feng et al. | Application-layer DDoS defense with reinforcement learning | |
US7996544B2 (en) | Technique of detecting denial of service attacks | |
EP2053783A1 (en) | Method and system for identifying VoIP traffic in networks | |
KR101177049B1 (en) | System for detecting abnormal VoIP traffic using heuristic statistic-information | |
KR20110054537A (en) | Apparatus for detecting and filtering ddos attack based on distribution |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20150813 Year of fee payment: 4 |
|
LAPS | Lapse due to unpaid annual fee |