| 1 |
1
네트워크를 통해 데이터를 수집하고 전달하는 SIP 기반 통합보안관리 시스템 에이전트;
상기 SIP 기반 통합보안관리 시스템 에이전트와 송수신하여SIP 기반의 공격을 탐지하고 대응하는 SIP 침입 탐지 시스템;
넷플로우 데이터에 기반하여 데이터를 수집하는 비정상 SIP 트래픽 탐지 센서;
상기 SIP 기반 통합보안관리 시스템 에이전트와 송수신하고, 상기 비정상 SIP 트래픽 탐지 센서로부터 상기 넷플로우 데이터에 기반하여 수집된 데이터를 제공받아 트래픽의 이상을 탐지하는 비정상 SIP 트래픽 탐지 엔진; 및
상기 SIP 기반 통합보안관리 시스템 에이전트와 송수신하여 상기 비정상 SIP 트래픽 탐지 엔진으로부터 트래픽 이상 이벤트를 수신함과 동시에 상기 SIP 침입 탐지 시스템으로부터 보안 이벤트를 수신하면, 상기 네트워크가 공격을 받고 있는 것으로 판단하는 SIP 기반 통합보안관리 시스템 매니저를 포함하되,
상기 SIP 기반 통합보안관리 시스템 매니저는 수집된 이벤트를 사전 정의된 규칙과 공격 시나리오에 따라 서로 연계시키는 보안 이벤트 연관분석 엔진부와;
사용자의 제어명령을 소정의 관리메시지 포맷으로 변환하는 관리제어부와;
SIP 기반 통합보안관리 시스템 에이전트와 상기SIP 기반 통합보안관리 시스템 매니저가 상호 통신하게 하는 송수신부를 포함함을 특징으로 하는 SIP 기반 서비스의 보호를 위한 SIP 침입 탐지 및 대응 시스템
|
| 2 |
2
제 1항에 있어서,
상기 SIP 침입 탐지 시스템은 SIP 서버로 출입되는 모든 패킷을 감시하고 캡쳐하는 패킷 바이패스/감시부와;
다양한 출발지 URI(Uniform Resource Identifiers)로부터 특정 목적지 URI로 단위 시간당 전해지는 INVITE 메시지와 SIP REGISTER 메시지의 양이 소정 양을 초과하게 되면, 이들 메시지를 DoS 공격으로 탐지하고, RTP DoS 공격과 SIP DoS를 탐지하는 SIP 시그니처 기반 탐지부 및 RTP 시그니처 기반 탐지부와;
사용료의 부정을 목적으로 하는 SIP 서비스 남용의 탐지와 정당한 사용자간의 통신을 방해하는 통화 방해 공격을 탐지하는 SIP 프로토콜 상태 기반 탐지부와;
구문(syntax)을 체크하여 퍼징 공격을 탐지하는 SIP 프로토콜 디코더/구문체크부 및 RTP 프로토콜 디코더/구문체크부와;
SIP 침입 탐지 시스템이 공격을 감지하면, 그에 상응하는 패킷을 제거하거나 사전에 준비된 필터링 규칙을 써서 패킷을 필터링하는 SIP 공격 격리부 및 RTP 공격 격리부와;
SIP 침입 탐지 시스템을 감시하고 관리하는 운용자를 위한 SIP 침입 탐지 시스템 관리/GUI표시부와;
SIP 침입 탐지 시스템과 비정상 SIP 트래픽 탐지시스템 사이에서 침입탐지 데이터를 전달하는 비정상 SIP 트래픽 탐지시스템 인터페이스부와; SIP 기반 통합보안관리 시스템에 부속되며, SIP 침입 탐지 시스템이 SIP 기반 통합보안관리 시스템 에이전트와 통신하게 하는 클라이언트측 SIP 기반 통합보안관리 시스템 인터페이스 라이브러리부를 포함함을 특징으로 하는 SIP 기반 서비스의 보호를 위한 SIP 침입 탐지 및 대응 시스템
|
| 3 |
3
제 1항에 있어서,
상기 비정상 SIP 트래픽 탐지 센서는 라우터나 스위치와 같은 네트워크 장비로부터의 트래픽 데이터를 감시하는 원시패킷 수집부와;
SIP 패킷과 이에 상응하는 RTP 패킷을 식별하는 SIP 패킷 식별/분류부와;
상기 넷플로우 데이터를 생성하는 SIP 플로우 생성부와;
상기 넷플로우 데이터에 기반하여 수집한 데이터를 비정상 SIP 트래픽 탐지 센서로 전달하는 SIP 플로우 송신부를 포함함을 특징으로 하는 SIP 기반 서비스의 보호를 위한 SIP 침입 탐지 및 대응 시스템
|
| 4 |
4
제 1항에 있어서,
상기 비정상 SIP 트래픽 탐지 엔진은 상기 비정상 SIP 트래픽 탐지 센서로부터 상기 넷플로우 데이터를 수집하는 SIP 플로우 수집부와;
상기 넷플로우 데이터를 분석하여 히스토리 패턴에 기반하여 이상이 있는 트래픽을 탐지하는 SIP 트래픽 분석기 엔진부와;
사용자에 대한 INVITE 메시지로써 시스템의 비정상 행태를 탐지하는 프로필 기반 탐지엔진부와;
비정상 SIP 트래픽 탐지시스템을 감시하고 관리하는 운용자를 위한 비정상 SIP 트래픽 탐지시스템 관리/GUI 표시부와;
비정상 SIP 트래픽 탐지시스템과 SIP 침입 탐지 시스템 사이에서 침입탐지 데이터를 전달하는 SIP 침입 탐지 시스템 인터페이스부와;
비정상 SIP 트래픽 탐지시스템이 SIP 기반 통합보안관리 시스템 에이전트와 통신하게 하는 클라이언트측 SIP 기반 통합보안관리 시스템 인터페이스 라이브러리부를 포함함을 특징으로 하는 SIP 기반 서비스의 보호를 위한 SIP 침입 탐지 및 대응 시스템
|
| 5 |
5
제 1항에 있어서,
상기 SIP 기반 통합보안관리 시스템 에이전트는 상기 SIP 침입 탐지 시스템, 상기 비정상 SIP 트래픽 탐지 엔진, 및 기타 SIP 인식 네트워크장치(SIP 프록시, SBC)로부터의 보안 이벤트, 시스템 리소스 정보, 통화 통계, 트래픽 통계를 수집하고, 상기 SIP 침입 탐지 시스템, 상기 비정상 SIP 트래픽 탐지 엔진, 및 상기 기타 SIP 인식 네트워크장치를 제어하기 위한 메시지의 포맷과 방법에 관한API를 제공하는 SIP 기반 통합보안관리 시스템 에이전트의 클라이언트 및 서버측 SIP 기반 통합보안관리 시스템 인터페이스 라이브러리부와;
상기 보안 이벤트가 정규화되고 축약되어 사용되는 정규화 및 축약부와;
상기 SIP 기반 통합보안관리 시스템 에이전트와 상기 SIP 기반 통합보안관리 시스템 매니저가 상호 통신하게 하는 송수신부를 포함함을 특징으로 하는 SIP 기반 서비스의 보호를 위한 SIP 침입 탐지 및 대응 시스템
|
| 6 |
6
삭제
|
| 7 |
7
제 1항에 있어서,
상기 SIP 침입 탐지 시스템, SIP 기반 통합보안관리 시스템 에이전트, 상기 비정상 SIP 트래픽 탐지 엔진, 상기 SIP 기반 통합보안관리 시스템 매니저, 및 상기 비정상 상기 SIP 트래픽 탐지 센서가 각각 서로 독립적으로 사용되거나 상호 복수의 결합으로 사용될 수 있는 것을 특징으로 하는 SIP 기반 서비스의 보호를 위한 SIP 침입 탐지 및 대응 시스템
|
| 8 |
8
제 1항 또는 제 2항에 있어서,
상기 SIP 침입 탐지 시스템은 SBC 앞단에 위치하여 신호 채널과 미디어 채널을 함께 조사거나 또는 신호 채널과 미디어 채널 경로에 분산되어 각각의 채널을 조사하는데, 상기 신호 채널과 미디어 채널 경로에 분산되어 각각의 채널을 조사하는 경우에는 각각의 채널의 대한 조사 결과가 SIP 기반 통합보안관리 시스템을 통해 통합되고 분석되는 것을 특징으로 하는 SIP 기반 서비스의 보호를 위한 SIP 침입 탐지 및 대응 시스템
|
