A SIP INVITE Flooding Detection algorithm Considering Upperbound of Possible Number of SIP Messages

발생 메시지의 상한값을 고려한 SIP INVITE 플러딩 공격 탐지 기법연구

  • 류제택 (아주대학교 정보통신전문대학원 정보통신공학과) ;
  • 류기열 (아주대학교 정보통신전문대학원 정보통신공학과) ;
  • 노병희 (아주대학교 정보통신전문대학원 정보통신공학과)
  • Published : 2009.08.31

Abstract

Recently, SIP(Session Initiation Protocol) is used to set up and manage sessions for multimedia applications such as VoIP(Voice over IP) and IMS(IP Multimedia Subsystem). However, because SIP operates over the Internet, it is exposed to pre-existed internet security threats such as service degradation or service disruptions. Multimedia applications which are delay sensitive even suffers more from the threats mentioned above. The proposed methods so far to detect SIP INVITE flooding are CUSUM(Cumulative Sum), Hellinger distance and adaptive threshold, but among methods only take normal state into consideration. So, it is not capable of adapting the condition of the network congestion which are dynamically changing. In this paper, SIP INVITE flooding detection algorithm considering network congestion which enables efficient detections of such attacks is proposed. The proposed algorithm is expected to detect other types of attacks such as BYE and CANCEL more precisely compared to other methods.

최근 VoIP(Voice over IP)나 IMS(IP Multimedia Subsystem)와 같은 멀티미디어를 기반으로 하는 응용에서는 시그널링과 세션 관리를 위해 SIP(Session Initiation Protocol)를 주로 이용하고 있다. 하지만 SIP는 인터넷을 기반으로 하기 때문에 기존 인터넷에서 발생할 보안 위협에 노출되어 있어 특히 멸티미디어와 같은 지연에 민감한 응용들에 서비스 거부 및 서비스 단절과 같은 문제를 야기하는 플러딩 공격에 영향을 받을 수 있다. 하지만 현재 제안된 탐지 기법인 CUSUM(Cumulative Sum), 헬링거 거리, 가변 임계치와 같은 방안들은 정상상태만을 고려하여 탐지하고 있어 지속적으로 변하는 네트워크 상황을 반영하지 못하고 있다. 그러므로 본 논문에서는 이러한 점을 고려하여 SIP INVITE 플러딩 공격 탐지에서 네트워크 상황을 반영 하여 보다 효과적인 플러딩 공격 탐지 방안을 제안한다. 본 방안은 SIP 기반의 INVITE 플러딩 뿐만이 아닌 BYE, CANCEL과 같은 다른 유형의 플러딩 공격 탐지에 적용이 가능하며 기존의 방안들 보다 정밀한 탐지가 가능하다.

Keywords

References

  1. A. Bremler-Barr, R. Halachmi-Bekel, 'Unregister attacks in SIP', NPSEC 2006, Nov. 2006.
  2. Fengjiao Wang et al., 'A New Provably Secure Authentication and Key Agreement Mechnism for SIP Using Certificateless Pubilic-Key Cryptography', ICCIS 2007 Dec. 2007. https://doi.org/10.1109/CIS.2007.113
  3. Geneiatakis, D et al., 'A lightweight protection mechanism against signaling attacks in a SIPbased VoIP environment', Telecommunication system 1018-4864, Dec. 2007. https://doi.org/10.1007/s11235-008-9065-5
  4. Yacine Rebahi et al., 'Detecting Flooding Attack against IP Multimedia Subsystem(IMS) Network', AICCSA April 2008. https://doi.org/10.1109/AICCSA.2008.4493627
  5. Hemant Sengar et al., 'Detecting VoIP Floods Using the Hellinger Distance', IEEE Transaction on Parallel and Distributed Systems, vol. 19, no. 6, June 2008. https://doi.org/10.1109/TPDS.2007.70786
  6. V. Siris and F. Papagalou, "Application of Anomaly Detection Algorithms for Detecting SYN Flooding Attacks," Computer Communications, vol. 29, no. 9, pp. 1433-1442, 2006. https://doi.org/10.1016/j.comcom.2005.09.008
  7. Akbar, M.A.; Tariq, Z.; Farooq, M. 'A comparative study of anomaly detection algorithms for detection of SIP flooding in IMS', IMSAA 2008, 10-12 Dec. 2008
  8. J.Rosenberg et al 'SIP : Session Initiation Protocol', RFC 3261, June 2002. system 1018- 4864, Dec. 2007.