| 1 |
1
SIP 변종 제어 메시지 공격을 탐지하는 장치에 있어서,
SIP 제어 메시지를 표준 규격에 정의된 헤더 및 서브 필드별로 파싱하는 기능과, RFC 3261 형식에 위배되는 메시지는 Drop시키기 위해 First Line, SIP Header, SIP Body 유무, SIP Header 필수 필드 유무, SIP Header 필드 구분자, SIP Header name과 value 형식을 체크하는 기능과, 트랜잭션 별로 세션 상태 정보를 세션 상태 정보 테이블에 저장하는 기능과, SIP 헤더와 SIP Body(SDP)에 대해 name과 value로 파싱하여 SIP 변종 제어 메시지 탐지 모듈로 전송하는 기능을 갖는 SIP 제어 메시지 헤더 파서모듈과; 상기 SIP 제어 메시지 헤더 파서모듈로부터 파싱한 정보 중에서 SIP 변종 제어 메시지를 탐지하는 SIP 변종 제어 메시지 공격 탐지 모듈과; SIP 세션 상태 정보를 저장하는 SIP 세션 상태 정보 테이블; 을 포함함을 특징으로 하는 SIP 변종 제어 메시지 공격을 탐지하는 장치
|
| 2 |
2
제 1항에 있어서,
상기 SIP 제어 메시지 헤더 파서 모듈은 SIP First Line, SIP 헤더, SDP 메시지 순으로 파싱하여 구조체화 하여 세션 상태 정보 테이블에 저장하고, RFC 3261 형식에 위배되는 메시지는 Drop시키는 SIP 메시지 파서부와; 상기 SIP 메시지 파서부에서 파싱된 SIP 메시지의 트랜잭션 정보와 주요 헤더 값을 세션 상태 정보 테이블에 저장하는 세션 상태 정보 테이블; 을 포함함을 특징으로 하는 SIP 변종 제어 메시지 공격을 탐지하는 장치
|
| 3 |
3
제 1항에 있어서,
상기 SIP 변종 제어 메시지 공격 탐지 모듈은 SIP 표준 프로토콜 규격에 맞는 정상적인 SIP 제어 메시지만을 허용하기 위해 메시지 전체 길이, 각 헤더별 최고 길이, 사용 가능한 문자열 등을 체크하는 포지티브 규칙 기반 검사 블록과; SIP 변종 제어 메시지 공격 시그니처 기반으로 알려진 공격만을 탐지하기 위해 보안 관리자에 의해 정의된 SIP 공격 시그니처를 기반으로 메시지의 입력 값을 검증하는 네가티브 규칙 기반 탐지 블록; 를 포함함을 특징으로 하는 SIP 변종 제어 메시지 공격을 탐지하는 장치
|
| 4 |
4
제 3항에 있어서,
상기 포지티브 규칙 기반 검사 블록은 SIP 헤더 필드의 value와 parameter value의 길이를 체크하고, SIP 헤더와 parameter의 반복 횟수를 체크하여 오버플로우 공격을 탐지하는 SIP 스트링 오버플로우 검사부와; Request URI, From, To, Via의 사용자 주소에 대해 형식 및 길이를 체크하는 비정상 사용자 주소 검사부와; SIP 헤더 필드별로 표준 RFC에 정의된 문자열 이외의 문자열이 존재하는지 체크하는 SIP 메시지 허용 문자열 검사부와; via 필드 port, max-forward 필드, content_length, status code 등의 값이 표준에 정의된 범위의 값을 가지는지 체크하는 SIP Integer 범위 검사부와; SIP 메시지의 Version 정보가 표준 RFC에 정의된 Version 정보와 일치하는지 체크하는 SIP Version 검사부와; SIP 메시지의 Content-type 정보가 표준 RFC에 정의된 Content-type 정보와 일치하는지 체크하는 SIP Content-type 검사부와; Request 메시지의 메소드와 Response 메시지의 Status Code에 따라 필수 헤더 필드 존재 유무 및 반복횟수 체크하는 SIP 필수 헤더 필드 유무 및 반복횟수 검사부와; SIP 헤더 필드와 parameter 필드의 value 값이 사용자가 지정한 규칙과 일치하는지 체크하는 사용자 지정 포지티브 규칙 검사부와; 포지티브 규칙 기반 블록의 8개 검사부에서 체크한 포지티브 규칙에 위배되는 SIP 메시지를 Drop하거나, 정상적인 SIP 메시지를 네가티브 규칙기반 탐지 블록으로 전달하는 포지티브 규칙 위반 필터링부; 로 구성됨을 특징으로 하는 SIP 변종 제어 메시지 공격을 탐지하는 장치
|
| 5 |
5
제 3항에 있어서,
상기 네가티브 규칙 기반 탐지 블록은 SQL Injection, Cross Site Script 공격과 같은 SIP기반 웹 공격 유형 패턴을 탐지하는 SIP기반 웹 공격 유형 패턴 탐지부와; 악성 코드 공격 패턴 탐지부와; 포맷 스트링 공격 패턴 탐지부와; VoIP 장비 O/S 취약성 패턴 탐지부와; 특수 문자 오버플로우 공격 패턴 탐지부와; 기타 다양한 공격 탐지를 위해 사용자에 의해 지정된 공격 패턴을 탐지하는 사용자 지정 공격 패턴 탐지부와; 상기 6개의 탐지부에서 탐지한 네가티브 규칙에 일치하는 SIP 메시지를 Drop하거나, 정상적인 SIP 메시지를 SIP 서버 또는 단말로 전달하는 1개의 네가티브 규칙 기반 패킷 필티링부; 로 구성됨을 특징으로 하는 SIP 변종 제어 메시지 공격을 탐지하는 장치
|
| 6 |
6
SIP 변종 제어 메시지 공격을 탐지하는 방법에 있어서,
SIP 변종 제어 메시지 공격 탐지 모듈을 통해 탐지하는 과정은 SIP 제어 메시지 헤더 파서 모듈로부터 정보를 포지티브 규칙 기반 체크부에서 수신 받아 SIP 패킷이 포지티브 허용 규칙에 매치되는 경우, 네가티브 탐지 규칙의 매치 확인을 위해 네가티브 규칙 기반 체크부로 전송하고, SIP 패킷이 포지티브 허용 규칙에 매치되지 않는 경우, 패킷을 Drop하는 단계와;
상기 포지티브 규칙 기반 체크부에서 체크하여 SIP 패킷이 포지티브 허용 규칙에 매치되는 정보를 네가티브 규칙 기반 체크부에서 수신 받아 SIP 패킷이 네가티브 탐지 규칙에 매치되는 경우, 패킷을 Drop하고, SIP 패킷이 네가티브 탐지 규칙에 매치되지 않는 경우, 정상 SIP 제어메시지를 전송하는 단계; 를 포함함을 특징으로 하는 SIP 변종 제어 메시지 공격을 탐지하는 방법
|
