RTP 패킷을 활용한 SIP 기반 INVITE Flooding 탐지 기법

Alternative Title
Lee. Sung-min
Alternative Author(s)
Lee. Sung-min
일반대학원 지식정보보안학과
The Graduate School, Ajou University
Publication Year
인터넷이 발전함에 따라 기존의 PSTN(Public Switch Telephone Network)망이 감소하고 VoIP 서비스가 증가하고 있다. VoIP 서비스는 기존의 인터넷을 기반으로 음성, 영상, 메시지들 다양한 멀티미디어 서비스가 제공된다. 최근에는 구현이 쉽고 확장이 용이한 SIP(Session Initiation Protocol)을 이용해 VoIP 서비스를 제공하고 있다. 하지만 SIP는 기존의 인터넷을 사용하여 제공되고 있기 때문에 인터넷상에서 발생할 수 있는 보안위협에 노출 되었다. DDoS(Distributed Denial of Service), VoIP 스팸, 통화 변조 등 다양한 공격을 탐지할 수 있는 효율적인 탐지 방법이 연구 되고 있다. 하지만 기존의 연구들은 정상적인 네트워크 상태를 고려하여 공격을 탐지하였기 때문에 혼잡한 네트워크와 공격을 구분하는데 어려움이 존재한다. 또한 혼잡한 네트워크 상태에서 공격을 받을 경우 탐지가 어렵다. 따라서 본 연구에서는 VoIP상에서 서비스 거부를 발생시키는 SIP Flooding 공격에 대해 분석하고, 기존의 Flooding 탐지 알고리즘인 CUSUM 알고리즘을 연구하여 문제점을 파악하였다. 일반적인 상황뿐만 아니라 네트워크 혼잡시와 같은 상황에서도 Flooding 공격을 효과적으로 탐지할 수 있도록 RTP 패킷을 이용하는 개선된 공격 탐지 기법을 제안한다. 제안한 기법을 MATLAB을 이용하여 각 네트워크 상황별로 INVITE Flooding 공격에 대해 시뮬레이션을 진행하였다. 제안 기법은 정상적인 네트워크 상황 외에 혼잡한 네트워크 상황에서도 별도로 임계치 설정을 조정하지 않고 RTP Packet의 정보를 이용하여 공격을 탐지할 수 있었다.
Alternative Abstract
Voice over Internet Protocol (VoIP) service is on the rise as the Internet develops further. The existing Public Switch Telephone Network service, however, is decreasing. The VoIP service delivers various multi-media services such as voice, images, and messages over the existing Internet. Lately, the VoIP service is being provided over the Session Initiation Protocol (SIP) for easier implementation and extension. The SIP, however, is being exposed to security risks as it uses the existing Internet. Researches are being conducted to develop effective methods to detect various attacks such as the Distributed Denial of Service (DDoS), VoIP spam, and telephonic modulation. However, the old researches had difficulties in sorting out between busy-network and attacks as they tried to detect the attacks in consideration of maintaining normal traffic network conditions. They also had difficulties detecting the attacks when in busy networking states. This research, therefore, aims to analyze the SIP Flooding attack causing service rejection on VoIP, and to grasp the problems by studying up on CUSUM as an existing Flooding detection algorithm. The research will propose improved detection methods using RTP packets in order to detect the Flooding attacks effectively not only in normal network conditions but also in crowded traffic states. The simulations are designed to operate against INVITE Flooding attacks in various network conditions by applying the proposed methods in the matrix laboratory (MATLAB). The proposed methods were successful in detecting the attacks by using information in RTP packets without separate adjustment of critical mass figures in both normal network conditions and congested traffic.

Appears in Collections:
Graduate School of Ajou University > Department of Knowledge Information Engineering > 3. Theses(Master)
Files in This Item:
There are no files associated with this item.
RIS (EndNote)
XLS (Excel)

Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.