The Journal of Korean Institute of Communications and Information Sciences (한국통신학회논문지)

The Korean Institute of Commucations and Information Sciences (한국통신학회)
권호 표지
DOI QR코드

DOI QR Code

A Countermeasure Scheme Based on Whitelist using Bloom Filter against SIP DDoS Attacks

블룸필터를 사용한 화이트리스트 기반의 SIP 서버스 거부 공격 대응 기법

  • 김주완 (아주대학교 정보컴퓨터공학부) ;
  • 류제택 (한국특허정보원) ;
  • 류기열 (아주대학교 정보컴퓨터공학부) ;
  • 노병희 (아주대학교 정보통신전문대학원/정보컴퓨터공학부)
  • Received : 2011.10.28
  • Published : 2011.11.30
Download PDF
⟨ Previous Next ⟩

Abstract

SIP(Session Initiation Protocol) has some security vulnerability because it works on the Internet. Therefore, the proxy server can be affected by the flooding attack such as DoS and service interruption. However, traditional schemes to corresponding Denial of Service attacks have some limitation. These schemes have high complexity and cannot protect to the variety of Denial of Service attack. In this paper, we newly define the normal user who makes a normal session observed by verifier module. Our method provides continuous service to the normal users in the various situations of Denial of Service attack as constructing a whitelist using normal user information. Various types of attack/normal traffic are modeled by using OPNET simulator to verify our scheme. The simulation results show that our proposed scheme can prevent DoS attack and achieve a low false rate and fast searching time.

SIP는 인터넷을 기반으로 하기에 기존 인터넷에서 발생하는 보안 위협에 노출되어 있어 서비스 거부 및 서비스 단절과 같은 문제를 야기하는 플러딩 공격에 영향을 받을 수 있다. 하지만 현재 제안된 서비스 거부 공격 대응 기법은 제안 기법의 복잡도와 다양한 서비스 거부 공격에 대응하지 못한다는 한계점이 있다. 그러므로 본 논문에서는 이러한 점을 고려하여 SIP 세션 설정 과정을 관찰하고 정상적인 세션을 맺은 사용자를 정상 사용자로 정의하여 이것을 이용한 화이트리스트를 구성함으로써 다양한 서비스 거부 공격 상황에서 정상 사용자에게 지속적인 서비스를 제공하고자 하는 방안을 제시한다. 본 방안은 다양한 공격 방법들을 네트워크 시뮬레이터인 OPNET을 이용하여 모델링하였고 서비스 거부 공격 시에도 지속적인 서비스 제공, 낮은 오탐율, 빠른 검색 시간을 달성코자 한다.

Keywords

References

  1. P. Lawecki, "VoIP Security in Public Networks," Alcatel Lucent, Feb., 2007 .
  2. A. Bremler-Barr, R. Halachmi-Bekel, "Unregister attacks in SIP," NPSEC 2006, Nov., 2006.
  3. D. Geneiatakis, et al., "A lightweight protection mechanism against signaling attacks in a SIP based VoIP environment", Telecommunication System, Vol.36, No.4, pp.153-159, Dec., 2007. https://doi.org/10.1007/s11235-008-9065-5
  4. Y. Rebahi et aI., "Detecting Flooding Attack against IP Multimedia Subsystem(lMS) Network," AICCSA Apr., 2008 .
  5. H. Sengar et al., "Detecting VoIP Floods Using the Hellinger Distance", IEEE Tr.Parallel and Distributed Systems, Vo1.19, No.6, June, 2008.
  6. V. Siris and F. Papagalou, "Application of Anomaly Detection Algorithms for Detecting SYN Flooding Attacks," Computer Communications, Vol.29, No.9, pp.1433-1442, 2006. https://doi.org/10.1016/j.comcom.2005.09.008
  7. F. Huici, S. Niccolini, N. d'Heureuse, "Protecting SIP against Very Large Flooding DoS Attacks," IEEE GLOBECOM 2009. Dec., 2009
  8. C. Zhou, C. Leckie, K. Ramamohanarao, "Protecting SIP server from CPU-based DoS attacks using history-based IP filtering," IEEE Communications Letters, Vol.13, No. 10, pp.800-802, Oct., 2009 https://doi.org/10.1109/LCOMM.2009.090840
  9. J.Rosenberg et al "SIP : Session Initiation Protocol", IETF RFC 3261, June, 2002
  10. M. Luo, T. Peng, C. Leckie, "CPU-based DoS attacks against SIP servers," IEEE NOMS 2008
  11. J. Ryu, K. Ryu, B. Roh, "Detection of SIP Flooding Attacks based on the Upper Bound of the Possible Number of SIP Messages" KSII Transactions on Internet and Information Systems Vol.3 No.5, pp.507-526 Oct., 2009 https://doi.org/10.3837/tiis.2009.05.006
  12. E.Y. Chen, M. Itoh, "A whitelist approach to protect SIP servers from flooding attacks," IEEE CQR 2010, June, 2010.
  13. D. Guo, J. Wu, H. Chen, Y. Yuan, X. Luo, "The Dynamic Bloom Filters," IEEE Tr. Knowledge and Data Engineering, Vol.22, No.1, pp.120- 133, Jan., 2010. https://doi.org/10.1109/TKDE.2009.57
  14. X. Deng, M. Shore, "Advanced Flooding Attack on a SIP Server," IEEE ARES 2009, Mar., 2009.
  15. R. Gayraud, O. Jacques, "SIPP" , available at http://sipp.sourceforge.net
  16. VOIPSA, Packet Creation and Flooding Tools, http://voipsa.org/Resources/tools.php#VoIPOP NET, http://www.opnet.com