요약 |
본 발명은 응용계층 URL 주소정보기반의 SIP 플루딩 공격을 탐지하는 방법에 관한 것으로서, 특히 더욱 상세하게는 3~4계층의 IP 주소체계인 5-투풀(Tuple)과 SIP 주소정보(To, From) 정보를 조합하여 DoS 패턴을 분류하고 탐지할 수 있고, 송신자로부터 수신자까지의 SIP 트래픽 전달 과정을 송신자와 서버 구간, 서버 간 구간, 서버와 수신자 구간으로 나누어 각각의 사용자 별 또는 단말이나 서버 별로 SIP 호 프로파일링 테이블을 생성하고 임계치를 넘을 시 DoS 또는 SCAN 공격으로 판단하고 탐지하며, SIP 프록시 서버 사용에 따른 송신 IP 및 목적지 IP 주소 변경 특성에 따라 탐지 구간을 나누고, 탐지 구간별로 IP 정보와 SIP 메시지의 메소드(Method), URI, Call-ID 등과 같은 정보를 고려하여 탐지를 수행함으로써, INVITE 플루딩, REGISTRATION 플루딩과 같은 SIP 서비스 거부 공격 및 SCAN 공격이 탐지가 가능하고, IP 정보 이외에 SIP 헤더 정보, 단말과 SIP 서버 간의 특성을 이용하여 SIP 서비스 거부 공격 및 SIP SCAN 공격을 탐지할 수 있는 효과가 있다. 5-투풀, SIP 헤더정보, 단말과 SIP 서버간 특성, 송신 IP주소, 목적지 IP주소, SIP SCAN 공격탐지, SIP DoS 공격탐지, SIP DDoS 공격탐지, 서버/단말별 공격탐지.
|