| 1 |
1
관리대상의 네트워크로부터 SIP/RTP 트래픽에 대한 정보를 수집하고, 상기 수집된 SIP/RTP 트래픽 정보에 대한 넷플로우 v9(version 9) 형태의 통계 데이터를 생성하는 다수의 SIP 트래픽 정보 수집 센서;
다중 지점의 상기 SIP 트래픽 정보 수집 센서로부터 상기 넷플로우 v9(version 9) 형태의 통계 데이터를 수신하고, 이를 디코딩하며, 상기 다중지점의 SIP 트래픽 정보 수집 센서의 연결 상태를 관리하는 SIP 플로우 정보 수집기;
상기 SIP 플로우 정보 수집기를 통해 모여진 상기 통계 데이터를 기반으로 상기 네트워크의 SIP 트래픽 특성을 분석하고, SIP 트래픽 통계 DB에 상기 분석 결과를 저장하는 SIP 트래픽 분석-모니터링 모듈;
상기 SIP 트래픽 분석-모니터링 모듈의 분석 결과에 소정의 탐지 룰을 적용하여 상기 네트워크에 비정상 SIP 트래픽 폭주 공격이 있는지 탐지하되, 상기 분석 결과 중5-tuple 정보 이외에 Call-ID, URI 분포, RTP 음성품질 정보와 같은 SIP 응용서비스의 특성 정보를 통합적으로 고려하여 상기 네트워크에 상기 비정상 SIP 트래픽 폭주 공격이 있는지 탐지하고, 상기 네트워크에 상기 비정상 SIP 트래픽 폭주 공격이 있을 경우 상기 비정상 SIP 트래픽 폭주 공격에 대한 로그를SIP 트래픽 폭주 공격 탐지 로그 DB에 저장하는 비정상 SIP 트래픽 탐지 모듈;
상기 SIP 트래픽 통계 DB로부터 상기 저장된 분석 결과를 제공 받아 상기 탐지 룰의 임계값을 재설정하고, 이를 비정상 SIP 트래픽 폭주 공격 탐지 정책 정보와 함께 상기 비정상 SIP 트래픽 탐지 모듈에 제공하는 SIP 보안정책 관리 모듈; 및
상기 SIP 트래픽 분석-모니터링 모듈로부터 실시간으로 상기 분석 결과를 제공받고, 상기 SIP 트래픽 통계 DB로부터 상기 저장된 분석 결과를 제공받고, 상기 SIP 트래픽 폭주 공격 탐지 로그 DB로부터 상기 저장된 비정상 SIP 트래픽 폭주 공격에 대한 로그를 제공받아, 관리자가 실시간으로 상기 분석결과 및 상기 로그를 조회할 수 있도록 하고, 상기 SIP 보안 정책 관리 모듈과 상기 비정상 SIP 트래픽 폭주 공격 탐지 정책의 설정 정보를 주고 받는 SIP 트래픽 모니터링 및 탐지 관리 GUI를 포함하되,
상기 탐지 룰은 상기 관리자가 상기 SIP 트래픽 모니터링 및 탐지 관리 GUI를 통해 추가, 수정 또는 삭제할 수 있고,
상기 비정상 SIP 트래픽 탐지 모듈은, 상기 네트워크의 SIP 트래픽 볼륨이 최근 3달간 SIP 트래픽 bps 및 pps 평균값보다 크거나, 상기 네트워크의 수신자대 송신자의 비율이 1인당 가능한 최대 동시 통화 수보다 많거나, 상기 네트워크의 메소드별 전송 비율을 계산하여 고정적으로 많이 전송된 메소드가 있다면 상기 네트워크에 상기 비정상 SIP 트래픽 폭주 공격이 있는 것으로 탐지하는 비정상 SIP 트래픽 폭주공격 탐지 및 모니터링시스템
|
| 2 |
2
제 1항에 있어서,
상기 SIP 트래픽 분석-모니터링 모듈에서 분석하는 상기 네트워크의 SIP 트래픽 특성은 SIP/RTP 트래픽 볼륨, 패턴별 세션 수, URI 분포, RTP 음성품질을 포함하는 비정상 SIP 트래픽 폭주공격 탐지 및 모니터링시스템
|
| 3 |
3
관리대상의 네트워크로부터 SIP 트래픽에 대한 통계정보를 수집하고 이를 이용하여 넷플로우 버전 9 기반의 통계정보를 생성하는 단계;
상기 생성된 넷플로우 버전 9 기반의 통계정보를SIP 호 설정 트래픽 통계정보와, RTP 미디어 트래픽 통계정보로 나누어 1차로 분류하는 단계;
상기 1차 분류된 정보를 SIP와 RTP의 각 구성요소 별로 2차 분류하여 SIP와 RTP 트래픽에 대한 통계 분석을 실시하는 단계;
상기 분석 결과를 저장하고, 이를 실시간으로 관리자가 모니터링 할 수 있도록 상기 관리자에게 제공하는 단계; 및
상기 네트워크의 SIP 트래픽 통계 정보 분석 결과를 이용하여 SIP 서비스 거부 공격, RTP 플러딩 공격과 같은 비정상 SIP/RTP 트래픽 폭주 공격을 탐지하는 단계를 포함하되,
상기 SIP 서비스 거부 공격을 탐지하는 것은, 상기 네트워크의 SIP 트래픽 볼륨이 최근 3달간 SIP 트래픽 bps 및 pps 평균값보다 크거나, 상기 네트워크의 수신자대 송신자의 비율이 1인당 가능한 최대 동시 통화 수보다 많거나, 상기 네트워크의 메소드별 전송 비율을 계산하여 고정적으로 많이 전송된 메소드가 있다면 상기 네트워크에 상기 SIP 서비스 거부 공격이 있는 것으로 탐지하는 것을 포함하는 넷플로우 통계정보를 이용한 비정상 SIP 트래픽 폭주공격 탐지 및 모니터링 방법
|
| 4 |
4
제 3항에 있어서,
상기 SIP트래픽에 대한 통계 분석은,
상기SIP 호 설정 트래픽에 대해서 bps 및 pps의 트래픽 볼륨에 대한 통계 정보를 이용하여 SIP 트래픽 볼륨의 평균 통계를 계산하는 SIP 트래픽 통계분석과, SIP 메소드별 전송량 통계를 이용하여 메소드별 전송 비율 통계를 계산하는 SIP 메소드 수 통계 분석과, 송신자와 수신자 URI 통계 정보를 이용하여 송수신자의 비율 통계를 계산하는 송수신자 분포 통계 분석을 포함하고,
상기 RTP트래픽에 대한 통계 분석은,
상기RTP 미디어 트래픽에 대해서 bps 및 pps의 트래픽 볼륨에 대한 통계정보를 이용하여 RTP 트래픽 볼륨의 평균 통계를 계산하는 RTP 트래픽 볼륨 통계분석과, 지터, 지연시간, 패킷 손실의 정보를 이용하여 RTP 음성품질 정도를 계산하는 RTP 음성품질 분석을 포함하는 넷플로우 통계정보를 이용한 비정상 SIP 트래픽 폭주공격 탐지 및 모니터링 방법
|
| 5 |
5
제 3항에 있어서,
상기 RTP 플러딩 공격을 탐지하는 것은, 상기 네트워크의 RTP 트래픽 볼륨이 최근 3달간 RTP 트래픽 bps 및 pps 평균값보다 크거나, 임계치 이상의 지연시간, 지터, 패킷손실이 발생하면 상기 네트워크에 상기 RTP 플러딩 공격이 있는 것으로 탐지하는 것을 포함하는 비정상 SIP 트래픽 폭주공격 탐지 및 모니터링 방법
|
| 6 |
6
삭제
|
