1 |
1
MME(Mobile Management Entity)에서 홈 네트워크의 HSS(Home Subscriber Server)로 송신되는 다이어미터 S6a 프로토콜의 패킷으로부터 정상 IMSI(International Mobile Subscriber Identity)를 얻는 단계;상기 정상 IMSI를 포함하는 레코드를 세션 테이블에 추가하는 단계;다이어미터 S6a 프로토콜의 IDR(Insert Subscriber Data Request) 메시지를 얻는 단계;상기 IDR 메시지에 포함된 IMSI가 상기 세션 테이블에서 조회되지 않는 경우, 상기 IDR 메시지를 비정상 IDR 메시지로 판정하는 단계; 및상기 IDR 메시지에 포함된 IDR-Flags의 'EPS User State Request'를 가리키는 비트(bit 2), 'EPS Location Information Request'를 가리키는 비트(bit 3) 및 'Current Location Request'를 가리키는 비트(bit 4) 중 일부가 '1'의 값을 갖는 경우, 상기 IDR 메시지를 위험 등급의 IDR 메시지로 판정하는 단계를 포함하는,다이어미터 스푸핑 공격 탐지 방법
|
2 |
2
제1 항에 있어서,상기 정상 IMSI를 얻는 단계는, MME에서 홈 네트워크의 HSS로 송신되는 다이어미터 S6a 프로토콜의 AIR(Authentication Information Request) 메시지에 포함된 상기 정상 IMSI를 얻는 단계를 포함하는, 다이어미터 스푸핑 공격 탐지 방법
|
3 |
3
제2 항에 있어서,상기 정상 IMSI를 얻는 단계는, MME에서 홈 네트워크의 HSS로 송신되는 다이어미터 S6a 프로토콜의 CLR(Cancel Location Request) 메시지에 포함된 삭제 대상 IMSI를 얻는 단계를 포함하고,상기 정상 IMSI를 포함하는 레코드를 세션 테이블에 추가하는 단계는, 상기 삭제 대상 IMSI를 이용하여 상기 CLR 메시지와 관련된 레코드를 상기 세션 테이블에서 조회하는 단계; 및 상기 조회된 레코드를 상기 세션 테이블에서 삭제하는 단계를 포함하는, 다이어미터 스푸핑 공격 탐지 방법
|
4 |
4
제1 항에 있어서,상기 IDR 메시지를 비정상 IDR 메시지로 판정하는 단계는, 상기 IDR 메시지에 포함된 Origin-Host AVP 및 Origin-Realm AVP가 기 설정된 정상 호스트 명칭 리스트에 포함되지 않은 경우, 상기 IDR 메시지를 비정상 IDR 메시지로 판정하는 단계를 포함하는, 다이어미터 스푸핑 공격 탐지 방법
|
5 |
5
삭제
|
6 |
6
제1 항에 있어서,상기 IDR 메시지에 포함된 IDR-Flags의 'EPS User State Request'를 가리키는 비트(bit 2), 'EPS Location Information Request'를 가리키는 비트(bit 3) 및 'Current Location Request'를 가리키는 비트(bit 4)가 모두 '1'의 값을 갖는 경우, 상기 IDR 메시지를 비정상 IDR 메시지로 판정하는 단계를 더 포함하는, 다이어미터 스푸핑 공격 탐지 방법
|
7 |
7
제1 항에 있어서,상기 MME는 방문 네트워크에 위치한 것인,다이어미터 스푸핑 공격 탐지 방법
|
8 |
8
MME에 의해 생성된 GTP-C 프로토콜의 Create Session Request 메시지로부터 정상 IMSI를 얻는 단계;상기 Create Session Request 메시지에 대한 Create Session Response 메시지로부터 터널 ID(TEID)를 얻는 단계;상기 터널 ID 및 상기 정상 IMSI를 포함하는 레코드를 세션 테이블에 추가하는 단계;다이어미터 S6a 프로토콜의 IDR(Insert Subscriber Data Request) 메시지를 얻는 단계; 상기 IDR 메시지에 포함된 IMSI가 상기 세션 테이블에서 조회되지 않는 경우, 상기 IDR 메시지를 비정상 IDR 메시지로 판정하는 단계; 및 상기 IDR 메시지에 포함된 IDR-Flags의 'EPS User State Request'를 가리키는 비트(bit 2), 'EPS Location Information Request'를 가리키는 비트(bit 3) 및 'Current Location Request'를 가리키는 비트(bit 4) 중 일부가 '1'의 값을 갖는 경우, 상기 IDR 메시지를 위험 등급의 IDR 메시지로 판정하는 단계를 포함하되,상기 터널 ID(TEID)는, S11 SGW GTP-C TEID인,다이어미터 스푸핑 공격 탐지 방법
|
9 |
9
제8 항에 있어서,상기 터널 ID(TEID)를 얻는 단계는,상기 Create Session Request 메시지로부터 EPS Bearer ID(EBI)를 더 얻는 단계를 포함하고,상기 세션 테이블에 추가되는 레코드는, 상기 정상 IMSI 및 상기 EPS Bearer ID(EBI)가 연결(concatenation) 된 결과 생성된 값(IMSI+EBI)을, 상기 레코드의 필드로서 포함하는 것인, 다이어미터 스푸핑 공격 탐지 방법
|
10 |
10
제9 항에 있어서,상기 IDR 메시지에 포함된 IMSI가 상기 세션 테이블에서 조회되지 않는 경우, 상기 IDR 메시지를 비정상 IDR 메시지로 판정하는 단계는,상기 세션 테이블의 각 레코드의 IMSI+EBI 필드에서 상위 34비트를 추출하여 IMSI를 추출하는 단계; 및 상기 IDR 메시지에 포함된 IMSI가 상기 추출된 IMSI 중에 존재하지 않는 경우, 상기 IDR 메시지를 비정상 IDR 메시지로 판정하는 단계를 포함하는,다이어미터 스푸핑 공격 탐지 방법
|
11 |
11
제8 항에 있어서,상기 터널 ID(TEID)를 얻는 단계는, 상기 MME에 의해 생성된 GTP-C 프로토콜의 Delete Session Request 메시지에 포함된 터널 ID(TEID)를 얻는 단계를 포함하고,상기 터널 ID 및 상기 정상 IMSI를 포함하는 레코드를 세션 테이블에 추가하는 단계는,상기 Delete Session Request 메시지에 포함된 터널 ID를 포함하는 레코드를 상기 세션 테이블에서 조회하는 단계; 및 상기 조회된 레코드를 상기 세션 테이블에서 삭제하는 단계를 포함하는, 다이어미터 스푸핑 공격 탐지 방법
|
12 |
12
삭제
|
13 |
13
5G 코어망으로부터 얻은 패킷을 수신하는 네트워크 인터페이스; 상기 수신된 패킷을 분석하고 비정상 패킷을 탐지하는 컴퓨터 프로그램을 로드하는 메모리; 및 상기 로드된 컴퓨티 프로그램을 실행하는 프로세서를 포함하되,상기 컴퓨터 프로그램은, MME에서 홈 네트워크의 HSS로 송신되는 다이어미터 S6a 프로토콜의 패킷으로부터 정상 IMSI를 얻는 인스트럭션;상기 정상 IMSI를 포함하는 레코드를 제1 세션 테이블에 추가하는 인스트럭션;MME에 의해 생성된 GTP-C 프로토콜의 Create Session Request 메시지로부터 정상 IMSI를 얻는 인스트럭션;상기 정상 IMSI를 포함하는 레코드를 제2 세션 테이블에 추가하는 인스트럭션;다이어미터 S6a 프로토콜의 IDR 메시지를 얻는 인스트럭션; 상기 IDR 메시지에 포함된 IMSI가 상기 제1 세션 테이블 및 상기 제2 세션 테이블에서 모두 조회되지 않는 경우, 상기 IDR 메시지를 비정상 IDR 메시지로 판정하는 인스트럭션;상기 IDR 메시지에 포함된 IMSI가 상기 제1 세션 테이블 및 상기 제2 세션 테이블 중 어느 하나의 세션 테이블에서만 조회되지 않는 경우, 상기 IDR 메시지를 위험 등급의 IDR 메시지로 판정하는 인스트럭션; 및상기 IDR 메시지에 포함된 IDR-Flags의 'EPS User State Request'를 가리키는 비트(bit 2), 'EPS Location Information Request'를 가리키는 비트(bit 3) 및 'Current Location Request'를 가리키는 비트(bit 4) 중 일부가 '1'의 값을 갖는 경우, 상기 IDR 메시지를 위험 등급의 IDR 메시지로 판정하는 인스트럭션을 포함하는,다이어미터 스푸핑 공격 탐지 장치
|
14 |
14
삭제
|
15 |
15
가상 스위치 내의 패킷 태퍼(tapper)를 포함하는 5G 코어망; 및 상기 패킷 태퍼를 통해 얻은 패킷을 분석하는 비정상 패킷 탐지 시스템을 포함하되,상기 비정상 패킷 탐지 시스템은, MME에서 홈 네트워크의 HSS로 송신되는 다이어미터 S6a 프로토콜의 패킷으로부터 정상 IMSI를 얻고 상기 정상 IMSI를 포함하는 레코드를 제1 세션 테이블에 추가하거나, MME에 의해 생성된 GTP-C 프로토콜의 Create Session Request 메시지로부터 정상 IMSI를 얻고 상기 정상 IMSI를 포함하는 레코드를 제2 세션 테이블에 추가하고, 상기 패킷 태퍼를 통해 얻은 패킷에 다이어미터 S6a 프로토콜의 IDR 메시지가 포함된 경우, 상기 IDR 메시지에 포함된 IMSI가 상기 제1 세션 테이블 및 상기 제2 세션 테이블에서 모두 조회되지 않는 경우 상기 IDR 메시지를 비정상 IDR 메시지로 판정하고, 상기 IDR 메시지에 포함된 IMSI가 상기 제1 세션 테이블 및 상기 제2 세션 테이블 중 어느 하나의 세션 테이블에서만 조회되지 않는 경우 상기 IDR 메시지를 위험 등급의 IDR 메시지로 판정하며,상기 IDR 메시지에 포함된 IDR-Flags의 'EPS User State Request'를 가리키는 비트(bit 2), 'EPS Location Information Request'를 가리키는 비트(bit 3) 및 'Current Location Request'를 가리키는 비트(bit 4) 중 일부가 '1'의 값을 갖는 경우, 상기 IDR 메시지를 위험 등급의 IDR 메시지로 판정하는,5G 이동 통신 시스템
|