DOI QR코드

DOI QR Code

Abnormal SIP Packet Detection Mechanism using Co-occurrence Information

공기 정보를 이용한 비정상 SIP 패킷 공격탐지 기법

  • 김득용 (한신대학교 컴퓨터공학부) ;
  • 이형우 (한신대학교 컴퓨터공학부)
  • Published : 2010.01.31

Abstract

SIP (Session Initiation Protocol) is a signaling protocol to provide IP-based VoIP (Voice over IP) service. However, many security vulnerabilities exist as the SIP protocol utilizes the existing IP based network. The SIP Malformed message attacks may cause malfunction on VoIP services by changing the transmitted SIP header information. Additionally, there are several threats such that an attacker can extract personal information on SIP client system by inserting malicious code into SIP header. Therefore, the alternative measures should be required. In this study, we analyzed the existing research on the SIP anomaly message detection mechanism against SIP attack. And then, we proposed a Co-occurrence based SIP packet analysis mechanism, which has been used on language processing techniques. We proposed a association rule generation and an attack detection technique by using the actual SIP session state. Experimental results showed that the average detection rate was 87% on SIP attacks in case of using the proposed technique.

SIP(Session Initiation Protocol)는 IP 기반의 VoIP(Voice over IP) 서비스를 실현하기 위한 시그널링 프로토콜이다. 그러나 SIP 프로토콜은 기존의 IP 망을 활용하기 때문에 많은 보안 취약점이 존재한다. 특히 SIP 헤더의 정보를 변경하여 전송하는 SIP Malformed 메시지 공격 같은 경우 VoIP 서비스의 오작동을 유발하거나, 악성코드를 삽입하여 SIP 클라이언트 시스템내 개인정보를 유출하는 등 심각한 문제점을 보이고 있어 이에 대한 대체 방안이 제시되어야 한다. 이에 본 논문에서는 SIP Malformed 메시지 공격탐지에 대한 기존의 연구를 분석하고, 언어 처리에서 단어의 연관성을 분석하는 기법으로 사용되는 공기 정보(Co-occurrence Information)와 네트워크에서 발생하는 실제 SIP 세션 상태 정보를 반영하여 SIP 연관규칙 패턴을 생성하는 기법을 제안하였다. 본 논문에서 제안한 공기정보 기반 SIP 연관규칙 패턴을 이용하여 SIP 비정상메시지 공격을 탐지한 결과 평균 87%의 탐지율을 보였다.

Keywords

References

  1. M. Handley, H. Schulzrine, E. Schooler, J. Rosenberg, "SIP : Session Initiation Protocol", RFC 3261, IETF, 2002.
  2. Fengjiao Wang et al., "A New Provably Secure Authentication and Key Agreement Mechnism for SIP Using Certificateless Pubilic-Key", 한국통신학회 논문지, Vol. 34, No. 8804, ICCIS 2007.
  3. Geneiatakis D. et al., "A lightweight protection mechanism against signaling attacks in a SIP based VoIP environment", Telecommunication system, pp. 1018-4864, 2007.
  4. 이형우, "SIP 프로토콜 상태정보 기반 공격 탐지 기 능을 제공하는 가상 프록시 서버 설계 및 구현", 한국인터넷정보학회 논문지, Vol.9, No.6, 2008.
  5. 류제택, 류기열, 노병희, "발생메시지의 상한값을 고려한 SIP INVITE 플러딩 공격탐지 기법 연구", 한국통신학회 논문지, Vol. 34 NO. 8, 2009.
  6. 국정원, 정보통신부, "2006 국가정보보호백서", 2006.
  7. 원유재, "Security Issues for SIP Aware Services", 한국정보보호진흥원, 2009.
  8. 안형근, 이원희, "유해어의 공기정보를 활용한 유해웹문서 필터링", 한국정보과학회 논문지, Vol.33, No. 2, 2006.
  9. 송원문, 김영진, 김은주, 김명원, "단어 빈도수와 공기 정보를 이용한 효율적인 핵심어 추출 기법 개발", Preceedings of KIIS Fall Conference 2008, Vol. 18, No. 2, 2008.
  10. 이승우, 이근배, "국소 문맥과 공기 정보를 이용한 비교사 학습 방식의 명사 의미 중의성 해소", 한국정보과학회 논문지 소프트웨어 및 응용, Vol. 27, No. 7, 2000.
  11. 김승우, 박상현, 원정임, "사이트의 접속 정보 유출이 없는 네트워크 트래픽 데이터에 대한 순차 패턴마이닝", 한국정보과학회 논문지 데이터베이스, Vol. 33, No. 7, 2006.
  12. 정경용, 김종훈, 강운구, 임기욱, 이정현, "스마트 홈에서 마이닝을 이용한 행동 순차 패턴 발견", 한국콘텐츠학회 논문지, Vol.8, No.9, 2008. https://doi.org/10.5392/JKCA.2008.8.9.019
  13. Huang. Y, Huang. S, Lin. T, Tasi. C, "Web application security assessment by fault injection and behavior monitoring", In Proceedings of the 12th international Conference on World Wide Web, pp. 148-159, 2003.
  14. http://www.boannews.com
  15. 한국정보보호진흥원, "VoIP 정보보호가이드", 2005.
  16. 이영민, 노영섭, 조용갑, 오삼권, 황희융, "SIP 프록시 서버의 부하 최소화를 위한 분산 처리," 한국산학기술학회 논문지, Vol. 9, No.4, pp. 929-935, 2008. https://doi.org/10.5762/KAIS.2008.9.4.929
  17. 김태욱, 성경상, 오해석, "효율적 키 관리 방식 적용을 통한 전자문서 암호화에 관한 연구," 한국산학기술학회논문지, Vol.10, No.5, pp.1000-1008, 2009. 5. https://doi.org/10.5762/KAIS.2009.10.5.1000
  18. 정민경; 신승수; 한군희; 오상영, "스마트카드를 이용한 원격 시스템 사용자 인증 프로토콜," 한국산학기술학회논문지, Vol.10, No.3, pp.572-578, 2009. 3. https://doi.org/10.5762/KAIS.2009.10.3.572