1 |
1
네트워크 상의 SIP 트래픽 정보를 수신하는 수신 모듈;상기 수신 모듈로부터 상기 SIP 트래픽 정보를 제공받아 이를 디코딩하는 디코딩 모듈;상기 디코딩 모듈로부터 상기 디코딩된 SIP 트래픽 정보를 제공받아 이를 저장하는 트래픽 정보 DB;상기 트래픽 정보 DB에 저장된 정보를 일정 주기 동안 수집하여 이를 분석 트래픽 정보로 저장하는 분석 트래픽 정보 DB;기준 트래픽 정보를 저장하는 기준 트래픽 정보 DB; 및상기 분석 트래픽 정보와 상기 기준 트래픽 정보를 비교하여 상기 분석 트래픽이 공격 트래픽인지 여부를 탐지하는 공격 탐지 모듈을 포함하되,상기 공격 탐지 모듈은 상기 분석 트래픽이 SIP DDoS 공격 트래픽인지 여부를 탐지하는 SIP DDos 탐지 모듈을 포함하고,상기 SIP DDoS 탐지 모듈은 상기 분석 트래픽의 SIP 트래픽 볼륨, 메소드 비율 및 URI 비율 중 적어도 어느 하나가 상기 기준 트래픽의 임계값보다 크면 상기 분석 트래픽을 잠재적 상기 SIP DDoS 공격 트래픽으로 탐지하고,상기 잠재적 SIP DDoS 공격 트래픽으로 탐지된 상기 분석 트래픽에 ACK 메소드가 없거나, 응답 메소드와 요청 메소드의 비율이 N:1 (여기서, N≥4, N은 자연수)이면 상기 분석 트래픽을 상기 SIP DDoS 공격 트래픽으로 탐지하는 비정상 트래픽 탐지 시스템
|
2 |
2
제 1항에 있어서,상기 네트워크는 VoIP 네트워크를 포함하고,상기 수신 모듈이 수신하는 상기 SIP 트래픽 정보는 넷플로우 기반의 SIP 트래픽 플로우 정보를 포함하는 비정상 트래픽 탐지 시스템
|
3 |
3
제 1항에 있어서,상기 일정 주기는 1분을 포함하는 비정상 트래픽 탐지 시스템
|
4 |
4
제 1항에 있어서,상기 공격 탐지 모듈은 상기 분석 트래픽이 SIP SCAN 공격 트래픽인지 여부를 탐지하는 SIP SCAN 탐지 모듈과, 상기 분석 트래픽이 RTP DDoS 공격 트래픽인지 여부를 탐지하는 RTP DDoS 탐지 모듈을 더 포함하는 비정상 트래픽 탐지 시스템
|
5 |
5
제 4항에 있어서,상기 N은 4인 비정상 트래픽 탐지 시스템
|
6 |
6
제 4항에 있어서,상기 SIP SCAN 탐지 모듈은 상기 분석 트래픽의 SIP 트래픽 볼륨, 메소드 비율 및 URI 비율 중 적어도 어느 하나가 상기 기준 트래픽의 임계값 보다 크면 상기 분석 트래픽을 상기 SIP SCAN 공격 트래픽으로 탐지하는 비정상 트래픽 탐지 시스템
|
7 |
7
제 4항에 있어서,상기 RTP DDoS 탐지 모듈은 상기 분석 트래픽의 RTP 트래픽 볼륨 또는 RTP 트래픽 품질값(MOS) 중 적어도 어느 하나가 상기 기준 트래픽의 임계값보다 크면 상기 분석 트래픽을 상기 RTP DDoS 공격 트래픽으로 탐지하는 비정상 트래픽 탐지 시스템
|
8 |
8
제 1항에 있어서,상기 공격 탐지 모듈이 상기 분석 트래픽을 비공격 트래픽으로 탐지하면 상기 트래픽 정보 DB에 저장된 상기 SIP 트래픽 정보로 상기 기준 트래픽 정보 DB에 저장된 상기 기준 트래픽 정보를 갱신하는 기준 트래픽 정보 생성 모듈을 더 포함하는 비정상 트래픽 탐지 시스템
|
9 |
9
네트워크로부터 SIP 트래픽 정보를 수신하고,상기 수신된 SIP 트래픽 정보를 디코딩하고,상기 디코딩딘 SIP 트래픽 정보를 일정 주기 동안 수집하여 분석 트래픽 정보를 생성하고,상기 분석 트래픽 정보를 기준 트래픽 정보와 비교하여 상기 분석 트래픽이 SIP DDoS 공격 트래픽, SIP SCAN 공격 트래픽 및 RTP DDoS 공격 트래픽 중 적어도 어느 하나인지 탐지하고,상기 탐지 결과, 상기 분석 트래픽이 상기 공격 트래픽이면 사용자에게 경고하는 것을 포함하되,상기 분석 트래픽이 상기 SIP DDoS 공격 트래픽인지 탐지하는 것은, 상기 분석 트래픽의 SIP 트래픽 볼륨, 메소드 비율 및 URI 비율 중 적어도 어느 하나가 상기 기준 트래픽의 임계값보다 크면 상기 분석 트래픽을 잠재적 상기 SIP DDoS 공격 트래픽으로 탐지하고, 상기 잠재적 SIP DDoS 공격 트래픽으로 탐지된 상기 분석 트래픽에 ACK 메소드가 없거나, 응답 메소드와 요청 메소드의 비율이 N:1 (여기서, N≥4, N은 자연수)이면 상기 분석 트래픽을 상기 SIP DDoS 공격 트래픽으로 탐지하는 비정상 트래픽 탐지 방법
|
10 |
10
제 9항에 있어서,상기 네트워크는 VoIP 네트워크를 포함하고,상기 네트워크로부터 수신된 상기 SIP 트래픽 정보는 넷플로우 기반의 SIP 트래픽 플로우 정보를 포함하는 비정상 트래픽 탐지 방법
|
11 |
11
제 9항에 있어서,상기 일정 주기는 1분을 포함하는 비정상 트래픽 탐지 방법
|
12 |
12
제 9항에 있어서,상기 N은 4인 비정상 트래픽 탐지 방법
|
13 |
13
제 9항에 있어서,상기 분석 트래픽이 상기 SIP SCAN 공격 트래픽인지 탐지하는 것은 상기 분석 트래픽의 SIP 트래픽 볼륨, 메소드 비율 및 URI 비율 중 적어도 어느 하나가 상기 기준 트래픽의 임계값보다 크면 상기 분석 트래픽을 상기 SIP SCAN 공격 트래픽으로 탐지하는것을 포함하는 비정상 트래픽 탐지 방법
|
14 |
14
제 9항에 있어서,상기 분석 트래픽이 상기 RTP DDoS 공격 트래픽인지 탐지하는 것은 상기 분석 트래픽의 RTP 트래픽 볼륨 또는 RTP 트래픽 품질값(MOS) 중 적어도 어느 하나가 상기 기준 트래픽의 임계값보다 크면 상기 분석 트래픽을 상기 RTP DDoS 공격 트래픽으로 탐지하는 것을 포함하는 비정상 트래픽 탐지 방법
|
15 |
15
제 9항에 있어서,상기 탐지 결과, 상기 분석 트래픽이 비공격 트래픽이면 상기 분석 트래픽 정보로 상기 기준 트래픽 정보를 갱신하는 것을 더 포함하는 비정상 트래픽 탐지 방법
|