[go: up one dir, main page]

KR101218253B1 - Fraud security detection system and method - Google Patents

Fraud security detection system and method Download PDF

Info

Publication number
KR101218253B1
KR101218253B1 KR1020110069921A KR20110069921A KR101218253B1 KR 101218253 B1 KR101218253 B1 KR 101218253B1 KR 1020110069921 A KR1020110069921 A KR 1020110069921A KR 20110069921 A KR20110069921 A KR 20110069921A KR 101218253 B1 KR101218253 B1 KR 101218253B1
Authority
KR
South Korea
Prior art keywords
call
detection
sip
illegal
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
KR1020110069921A
Other languages
Korean (ko)
Inventor
이대형
박재신
장인원
Original Assignee
델피콤주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 델피콤주식회사 filed Critical 델피콤주식회사
Priority to KR1020110069921A priority Critical patent/KR101218253B1/en
Application granted granted Critical
Publication of KR101218253B1 publication Critical patent/KR101218253B1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Telephonic Communication Services (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 침입 검출, 서비스 거부 공격 또는 분산 서비스 거부 공격 검출, 스팸 검출, 비정상 통화 검출 등을 위한 다양한 보안 및 불법호 검출 기능을 내장하고 기타 검출 서비스 정합이 용이한 구조를 가지는 보안 및 불법호 검출 시스템과 그 방법에 관한 것으로, 보안 및 불법호 검출 시스템은, VoIP 망에 연결된 적어도 하나의 제1 단말과 적어도 하나의 제2 단말 사이에서 SIP 포트 및 RTP 포트 중 적어도 어느 하나를 필터링하여 SIP 시그널 또는 RTP 시그널을 캡처하는 인터페이스부와, 인터페이스부로부터 전달된 SIP 시그널 또는 RTP 시그널을 파싱하고 파싱에 의해 생성된 SIP 메시지에 대하여 호(Call)를 만들기 위한 CDR(Call Detail Record)을 생성하고 SIP 메시지 또는 호를 1차 분석함으로써 침입을 검출하는 시큐리티 검출부와, 시큐리티 검출부로부터 전달되는 SIP 메시지, CDR, 1차 분석 결과, 또는 이들의 조합을 2차 분석하여 불법호를 검출하는 프라우드 검출부를 포함한다.The present invention has various security and illegal call detection functions for intrusion detection, denial of service attack or distributed denial of service attack detection, spam detection, abnormal call detection, and the like. A system and a method thereof, and a security and illegal call detection system, by filtering at least one of a SIP port and an RTP port between at least one first terminal and at least one second terminal connected to a VoIP network, An interface unit for capturing an RTP signal, a call detail record (CDR) for parsing a SIP signal or an RTP signal delivered from the interface unit, and making a call to a SIP message generated by parsing, and generating a SIP message or The security detection unit which detects an intrusion by performing primary analysis of the call, and the security detection unit Proud detection unit for detecting illegal calls by secondary analysis of the SIP message, CDR, primary analysis results, or a combination thereof.

Description

보안 및 불법호 검출 시스템 및 방법{FRAUD SECURITY DETECTION SYSTEM AND METHOD}Security and illegal call detection system and method {FRAUD SECURITY DETECTION SYSTEM AND METHOD}

본 발명은 VoIP(Voice over Internet Protocol) 음성패킷망 보안 검출 기술에 관한 것으로, 보다 상세하게는, 침입 검출, DoS(Denial of Service, 서비스거부공격) 또는 DDoS(Distributed Denial of Service, 분산서비스거부공격) 검출, 스팸 검출, 비정상 통화 검출 등을 위한 다양한 보안 및 불법호 검출 기능을 내장하고 기타 검출 서비스 정합이 용이한 구조를 가지는 보안 및 불법호 검출 시스템과 그 방법에 관한 것이다.
The present invention relates to voice over internet protocol (VoIP) voice packet network security detection technology, and more particularly, to detect intrusion, denial of service (DoS) or distributed denial of service (DDoS). The present invention relates to a security and illegal call detection system and a method thereof, which have various built-in security and illegal call detection functions for detection, spam detection, abnormal call detection, and the like, and easy to match other detection services.

현재 통신 환경은 IP(Internet Protocol) 망 중심으로 다양한 액세스(Access) 망이 통합되는 올아이피(All IP) 기반의 차세대 통신환경으로 급속히 진화해 가고 있다. 대표적인 차세대 통신환경인 IMS(IP Multimedia Subsystem)나 광대역 통합망(BcN: Broadband Convergence Networks)에서는 어떠한 프로토콜 스택에 메이지 않고 HTTP(HyperText Transfer Protocol)과 같은 텍스트 기반으로 정의되어 확장이 용이하며 쉽게 사용할 수 있는 SIP(Session Initiation Protocol)를 핵심 기술로 채택하고 있다.The current communication environment is rapidly evolving to the next generation communication environment based on All IP, in which various access networks are integrated around the IP (Internet Protocol) network. In the representative next-generation communication environment, IMS (IP Multimedia Subsystem) or Broadband Convergence Networks (BcN), it is defined on a text-based basis such as HTTP (HyperText Transfer Protocol) without any protocol stack. Session Initiation Protocol (SIP) is adopted as a core technology.

이러한 IP 기반의 네트워크 환경의 발전에 힘입어 VoIP(Voice over Internet Protocol) 기술은 성능 향상, 지원 기능 증가, 비용 감소 등의 환경하에서 서비스 사업자, 장비 업체, 최종 사용자에게 유망한 기술로 부상하고 있다.With the development of this IP-based network environment, Voice over Internet Protocol (VoIP) technology has emerged as a promising technology for service providers, equipment companies, and end users in an environment of improved performance, increased support, and reduced costs.

하지만, 이러한 VoIP 망을 이용한 서비스는 패킷 데이터 전송을 기반으로 하는 IP 망의 특성으로 인해 공중회선망(PSTN: Public Switched Telephone Network)보다 보안 위협에 훨씬 취약하다. 더욱이, SIP 기반 해킹 공격 탐지 분석 도구의 미비로 인하여 해킹 여부를 판단하기 어렵고, IPS(Intrusion Prevention System, 침입방지시스템), 어플리케이션 방화벽(App F/W) 등의 기존 네트워크 보안 장비로 SIP/RTP(Real Time Protocol) 기반 응용계층에서 공격을 탐지하거나 방비하는 것이 어렵다. 이와 같이, 현재의 VoIP 망은 프라이버시 침해, 서비스 품질 저하를 야기시키는 공격, 불법 서비스 사용 등의 불법 행위에 실질적으로 효과적으로 대비하고 있지 못하다.However, the service using the VoIP network is much more vulnerable to security threats than the Public Switched Telephone Network (PSTN) due to the characteristics of the IP network based on packet data transmission. In addition, due to the lack of SIP-based hacking attack analysis tools, it is difficult to determine whether to hack. Also, SIP / RTP (Intrusion Prevention System (IPS), Application Firewall (App F / W), etc. It is difficult to detect or defend against attacks in the application layer based on Real Time Protocol. As such, the current VoIP network does not effectively prepare for illegal activities such as invasion of privacy, attacks that cause deterioration of service quality, and use of illegal services.

일례로써, 어떤 악성 사용자는 네트워크 데이터베이스나 IP 주소를 액세스하여 부정한 방법으로 서비스 권한을 취득하고, 그것을 통해 비용을 지불하지 않고 해당 서비스를 이용하거나 다른 사용자에게 그 비용이 청구되도록 할 수 있다. 그리고, 네트워크 해커는 네트워크 장비를 액세스하고 데이터베이스를 변경하고 장비를 복제함으로써, 장비 장애나 서비스 장애를 발생시킬 수 있다.As an example, a malicious user may access a network database or IP address to obtain a service right in an unauthorized manner, and use it without paying for it, or to be billed to another user. In addition, network hackers can cause equipment failures or service disruptions by accessing network equipment, changing databases, and duplicating equipment.

또한, 어떤 악성 사용자는 VoIP 망에서 패킷을 액세스하고 프로토콜 정보를 변경하거나 패킷 목적지를 변경하거나 통화연결을 변경하여 SIP, H.323, MGCP(Media Gateway Control Protocol) 등의 패킷 네트워크 프로토콜을 임의로 조작할 수 있다. 또한, 해커가 음성 베어러(Bearer) 채널을 도청하거나 통화 셋업 정보를 액세스하여 통화 상세 정보를 빼내갈 수 있다. 그리고, 가입자 정보, 행적 등을 추출함으로써, 개인 정보를 도용하여 복제 전화 등과 같은 불법 행위를 할 수 있다.In addition, some malicious users can arbitrarily manipulate packet network protocols such as SIP, H.323, and Media Gateway Control Protocol (MGCP) by accessing packets, changing protocol information, changing packet destinations, or changing call connections in a VoIP network. Can be. In addition, hackers can eavesdrop on call details by eavesdropping on voice bearer channels or accessing call setup information. By extracting subscriber information, tracks, and the like, it is possible to steal personal information and perform illegal activities such as a copy telephone.

이를 방지하기 위하여 공개특허공보 제2010-0069410호의 "에스아이피(SIP) 기반 서비스의 보호를 위한 SIP 침임 탐지 및 대응 구조"에서는 관리시스템을 통해 SIP 인식 IPS, 비정상 SIP 트래픽 탐지시스템 및 기타 SIP 서버를 일관 되게 운용 및 관리하여 DDoS(Distributed Denial of Service) 공격을 탐지하고, 네트워크의 좁은 지점에 설치된 트래픽 감지 센서를 통하여 SIP 인식 IPS에 큰 부담을 주지 않고 트래픽 분석을 수행할 수 있는 기술을 개시한다.In order to prevent this, "SIP Intrusion Detection and Response Structure for Protection of SIP-based Services" of Korean Patent Publication No. 2010-0069410 discloses a SIP-aware IPS, an abnormal SIP traffic detection system, and other SIP servers through a management system. It operates a consistent operation and management to detect DDoS (Distributed Denial of Service) attack, and through the traffic detection sensor installed in a narrow point of the network to disclose the traffic analysis without burdening SIP-aware IPS.

그러나, 전술한 기존 기술은 특정 공격 형태만을 탐지하도록 구성되므로 다양한 형태의 불법 행위를 검출하기 어렵다. 다시 말해서, 전술한 기존 기술은 DDoS 공격을 검출할 수는 있지만, 보이스 피싱 검출, 가입자 불법호(Fraud) 검출, PPS(Personal Public Service) 불법호 검출, PRS(Premium Rate Service) 불법호 검출, 특정국가로부터의 불법호 검출 등의 프라우드 검출 서비스를 제공할 수 없고, 그러한 불법호 검출 서비스를 제공하기 위해서는 보안 검출 시스템과는 별도로 불법호 검출 시스템을 구축해야만 한다. 따라서, 보안 검출 기능과 불법호 검출 기능을 함께 제공하기 위해서는 보안 검출 시스템과 별도로 불법호 검출 시스템을 구축하고 그것을 별도로 또는 통합하여 관리해야 하므로 시스템 구축이 쉽지 않고, 유지관리가 어려우며, 유지관리에 많은 비용이 소요되는 단점이 있다.However, the above-described existing technology is configured to detect only a specific attack type, so it is difficult to detect various types of illegal activities. In other words, while the above-described existing techniques can detect DDoS attacks, voice phishing detection, subscriber fraud detection, personal public service (PPS) illegal call detection, premium rate service (PRS) illegal call detection, and specific detection Proud detection services such as illegal call detection from the state cannot be provided, and in order to provide such illegal call detection services, an illegal call detection system must be established separately from the security detection system. Therefore, in order to provide both a security detection function and an illegal call detection function, an illegal call detection system must be built separately from the security detection system and managed separately or integratedly, so that the system is not easy to construct, difficult to maintain, and is difficult to maintain. There is a drawback of cost.

대한민국 공개특허공보 제10-2010-0069410호(2010.06.24)Republic of Korea Patent Publication No. 10-2010-0069410 (2010.06.24)

본 발명은 VoIP(Voice over Internet Protocol) 망의 보안 검출 기술에 있어서, 보안(Security) 검출 기능과 함께 다양한 불법호(Fraud) 검출 기능을 내장함으로써, 침입 검출, DoS(Denial of Service, 서비스거부공격) 또는 DDoS(Distributed Denial of Service, 분산서비스거부공격) 검출, 스팸 검출, 비정상 통화 검출, 가입자 불법호 검출, PPS 불법호 검출, PRS 불법호 검출 등의 다양한 보안 및 불법호 검출 서비스의 정합이 용이한 구조를 가지는 보안 및 불법호 검출 시스템을 제공하는 데에 주된 목적이 있다.The present invention is a security detection technology of Voice over Internet Protocol (VoIP) network, by incorporating a variety of illegal detection (Fraud) detection function with security (Security) function, intrusion detection, Denial of Service (DoS) denial of service attack ) Or various security and illegal call detection services such as DDoS (Distributed Denial of Service) detection, spam detection, abnormal call detection, illegal subscriber detection, illegal PPS detection, PRS illegal call detection, etc. The main purpose is to provide a security and illegal call detection system having a structure.

또한, 본 발명은 보안 검출 모듈에서의 분석 결과를 불법호 검출 모듈에서 이용함으로써 보안과 불법호 검출을 효과적으로 수행할 수 있는 보안 및 불법호 검출 방법을 제공하는 데에 또 다른 목적이 있다.
Another object of the present invention is to provide a security and illegal call detection method capable of effectively performing security and illegal call detection by using the analysis result of the security detection module in an illegal call detection module.

전술한 과제를 해결하기 위하여 본 발명의 일 측면에 따른 보안 및 불법호 검출 시스템은, VoIP(Voice over Internet Protocol) 망에 연결되어 불법호 및 침입을 검출하는 보안 및 불법호 검출 시스템으로, VoIP 망에 연결된 적어도 하나의 제1 단말과 적어도 하나의 제2 단말 사이에서 SIP(Session Initiation Protocol) 포트 및 RTP(Real Time Protocol) 포트 중 적어도 어느 하나를 필터링하여 SIP 시그널 또는 RTP 시그널을 캡처하는 인터페이스부; 인터페이스부로부터 전달된 SIP 시그널 또는 RTP 시그널을 파싱하고, 파싱에 의해 생성된 SIP 메시지에 대하여 호(Call)를 만들기 위한 CDR(Call Detail Record)을 생성하고, SIP 메시지 또는 호를 1차 분석함으로써 침입을 검출하는 시큐리티 검출부; 및 시큐리티 검출부로부터 전달되는 SIP 메시지, CDR, 1차 분석 결과, 또는 이들의 조합을 2차 분석하여 불법호를 검출하는 프라우드 검출부를 포함한다.Security and illegal call detection system according to an aspect of the present invention in order to solve the above problems, is a security and illegal call detection system connected to a Voice over Internet Protocol (VoIP) network to detect illegal calls and intrusions, VoIP network An interface unit configured to filter at least one of a Session Initiation Protocol (SIP) port and a Real Time Protocol (RTP) port between at least one first terminal and at least one second terminal connected to each other to capture a SIP signal or an RTP signal; Intrusion by parsing a SIP signal or an RTP signal delivered from an interface unit, generating a call detail record (CDR) for making a call to a SIP message generated by the parsing, and analyzing the SIP message or the call first. A security detection unit detecting a; And a proud detector detecting the illegal call by performing secondary analysis on a SIP message, a CDR, a primary analysis result, or a combination thereof delivered from the security detector.

일 실시예에서, 시큐리티 검출부는, 인터페이스부로부터 전달된 SIP 시그널 또는 입력 스트림을 처리하여 SIP 메시지를 구성하는 SIP 파서; SIP 파서로부터의 SIP 메시지에 대한 호(Call)를 생성하기 위하여 SIP 메시지에 기초하여 CDR을 생성하고 생성된 CDR를 토대로 호를 분석하는 호 분석부; 및 SIP 메시지의 기본 헤더들을 분석하여 SIP 메시지가 정상적인 메시지인지 비정상적인 메시지인지를 검출하는 비정상 분석부 또는 비정상 메시지 분석부를 포함한다.In one embodiment, the security detection unit comprises: a SIP parser for processing a SIP signal or an input stream delivered from the interface unit to form a SIP message; A call analyzer for generating a CDR based on the SIP message and analyzing the call based on the generated CDRs to generate a call for the SIP message from the SIP parser; And an abnormal analyzer or abnormal message analyzer for analyzing whether the SIP message is a normal message or an abnormal message by analyzing basic headers of the SIP message.

일 실시예에서, 시큐리티 검출부는, 침입에 대한 임계치 및 블랙리스트 또는 스팸 항목을 관리하는 규칙 관리부; 운용 클라이언트의 사용자 인터페이스에서의 시스템 노드, 블랙리스트 및 스팸, 임계치 관리에 대한 설정 변경시 변경 사항을 확인하여 시큐리티 검출부에게 알려주는 환경 설정부; 및 장비별 트래픽량 및 패킷량을 감시하며 미리 설정된 임계치 이상이면 경보를 발생시키는 트래픽 분석부 중 적어도 어느 하나를 더 포함한다.In one embodiment, the security detection unit, the rule management unit for managing the threshold for intrusion and blacklist or spam items; An environment setting unit for checking a change in setting of system node, blacklist, spam, and threshold management in a user interface of an operation client and informing the security detection unit; And at least one of a traffic analyzer configured to monitor a traffic amount and a packet amount of each device and generate an alarm when the amount of traffic is greater than a preset threshold.

일 실시예에서, 시큐리티 검출부는, 시스템의 메시지 진입점에 위치하고, 알려진 비정상 메시지가 시스템에 유입되지 못하도록 걸러내는 필터; 필터를 통과하는 SIP 메시지에 기초하여 비정상 트래픽 또는 공격 징후를 검출하는 공격징후 검출부; 및 공격징후 검출부로부터 전달된 의심 메시지의 공격 패턴을 분석하여 규칙을 생성하는 공격 분석부를 더 포함한다. 여기에서, 공격 분석부는 생성한 규칙으로 필터를 업데이트하고, 필터는 업데이트된 규칙에 따라 의심 메시지를 필터링한다.In one embodiment, the security detection unit, the filter is located at the message entry point of the system, the filter for filtering a known abnormal message does not enter the system; An attack symptom detector for detecting abnormal traffic or an attack indication based on the SIP message passing through the filter; And an attack analysis unit for generating a rule by analyzing the attack pattern of the suspicious message transmitted from the attack symptom detection unit. Here, the attack analysis unit updates the filter with the created rule, and the filter filters the suspicious message according to the updated rule.

일 실시예에서, 프라우드 검출부는, 특정시간에 대량의 호 발생 및 특정 발신번호에 대한 대량의 호 발생을 검출하는 보이스 피싱 검출부; 가입자 그룹별 CDR 정보를 분석하고 임계치와 비교하여 불법호를 검출하는 가입자 불법호 검출부; PPS(Personal Public Service) 가입자가 선불금액의 삭감없이 호를 사용하여 수익의 누수를 발생시키는 불법호를 검출하는 PPS 불법호 검출부; 특정 국가로 지정된 국가로부터 또는 상기 국가로 다량 호를 발생시키는 불법호를 검출하는 특정국가 불법호 검출부; 최대통화시간(Long Duration)을 유무선 대체 상품(FMS: Fixed Mobile Substitution)의 패턴으로 설정하여 임계치 이상의 통화시간(Duration) 발생시 해당 호를 불법호로 검출하는 최대통화시간 불법호 검출부; 및 특정 PABX(Private Automatic Branch eXchange) 시스템을 이용한 호 전달(Call Forwarding) 서비스를 통해 정상 과금 이하의 과금을 발생시켜 수익의 누수를 발생시키는 불법호를 검출하는 리필링(Refiling) 불법호 검출부 중 적어도 어느 하나를 포함한다.In one embodiment, the loudspeaker detection unit, voice phishing detection unit for detecting a large number of call generation and a large number of call generation for a specific call number at a specific time; A subscriber illegal call detection unit that analyzes CDR information for each subscriber group and detects illegal calls by comparing with a threshold; A PPS illegal call detection unit that detects an illegal call that causes a leak of revenue by using a call without a reduction in a prepaid amount of money by a PPS subscriber; A specific country illegal call detection unit for detecting an illegal call generating a large number of calls from or to a country designated as a specific country; A maximum call time illegal call detection unit configured to set a long duration as a pattern of fixed mobile substitution (FMS) to detect a corresponding call as an illegal call when a duration of talk time exceeding a threshold occurs; And a refilling illegal call detection unit that detects an illegal call generating a leak of profit by generating a charge below a normal charge through a call forwarding service using a specific Private Automatic Branch eXchange (PABX) system. It includes either.

본 발명의 또 다른 측면에 따른 보안 및 불법호 검출 방법은, VoIP(Voice over Internet Protocol) 망에 연결된 시스템을 통해 불법호 및 침입을 검출하는 보안 및 불법호 검출 방법으로, VoIP 망에 연결된 적어도 하나의 제1 단말과 적어도 하나의 제2 단말 사이에서 SIP(Session Initiation Protocol) 포트 및 RTP(Real Time Protocol) 포트 중 적어도 어느 하나를 필터링하여 SIP 시그널 또는 RTP 시그널을 획득하는 제1 단계; 획득한 SIP 시그널 또는 RTP 시그널을 파싱하는 제2 단계; 파싱에 의해 생성된 SIP 메시지에 대하여 호(Call)를 만들기 위한 CDR(Call Detail Record)을 생성하는 제3 단계; 생성된 CDR에 의해 구성되는 호 또는 SIP 메시지를 1차 분석하여 침입을 검출하는 제4 단계; 및 SIP 메시지, CDR, 1차 분석 결과, 또는 이들의 조합을 2차 분석하여 불법호를 검출하는 제5 단계를 포함한다.Security and illegal call detection method according to another aspect of the present invention is a security and illegal call detection method for detecting illegal calls and intrusion through a system connected to a Voice over Internet Protocol (VoIP) network, at least one connected to the VoIP network A first step of filtering at least one of a Session Initiation Protocol (SIP) port and a Real Time Protocol (RTP) port between a first terminal and at least one second terminal of the second terminal to obtain a SIP signal or an RTP signal; Parsing the obtained SIP signal or RTP signal; Generating a call detail record (CDR) for making a call to the SIP message generated by parsing; A fourth step of primaryly analyzing the call or SIP message composed by the generated CDRs to detect the intrusion; And a fifth step of secondarily analyzing the SIP message, the CDR, the primary analysis result, or a combination thereof to detect the illegal call.

일 실시예에서, 보안 및 불법호 검출 방법은, 침입에 대한 임계치 및 블랙리스트 또는 스팸 항목을 소정 저장부에 저장하고 관리하는 단계; 운용 클라이언트의 사용자 인터페이스에서의 시스템 노드, 블랙리스트 및 스팸, 임계치 관리에 대한 설정 변경시 변경 사항을 확인하여 시스템에 알려주는 단계; 및 장비별 트래픽량 및 패킷량을 감시하며 미리 설정된 임계치 이상이면 경보를 발생시키는 단계 중 적어도 어느 하나를 더 포함한다.In one embodiment, a security and illegal call detection method includes storing and managing a threshold for intrusion and a blacklist or spam item in a predetermined storage; Checking a change in setting of a system node, a blacklist and spam, and a threshold management in a user interface of the operation client, and notifying the system of the change; And monitoring at least one traffic amount and a packet amount of each device, and generating an alarm when the amount of traffic is greater than a preset threshold.

일 실시예에서, 제4 단계는, SIP 메시지의 기본 헤더들을 분석하여 정상적인 메시지인지 비정상적인 메시지인지를 판단하는 단계를 포함한다.In one embodiment, the fourth step includes analyzing basic headers of the SIP message to determine whether it is a normal message or an abnormal message.

일 실시예에서, 제4 단계는, SIP 포트 및 RTP 랜덤 포트에 대한 침입 검출, SIP 헤더필드에 포함된 URI(Uniform Resource Identifier) 주소 기반의 침입 검출, 및 SIP와 RTP의 연관성 분석에 의한 비정상 RTP 미디어 트래픽 검출 중 적어도 어느 하나를 수행하는 단계를 포함한다.In one embodiment, the fourth step includes detecting an intrusion for a SIP port and an RTP random port, an intrusion detection based on a Uniform Resource Identifier (URI) address included in a SIP header field, and an abnormal RTP by analyzing an association of SIP and RTP. Performing at least one of media traffic detection.

일 실시예에서, 제4 단계는, SIP 메시지의 플러딩 공격에 대한 공격 징후를 미리 설정된 임계치에 따라 검출하는 단계; 공격 징후의 검출에 기초하여 공격 패턴을 분석하고 분석한 정보로부터 규칙을 생성하는 단계; 및 생성한 규칙에 의하여 비정상 메시지, 블랙리스트, 스팸, 플러딩, 또는 이들의 조합 형태의 침입을 검출하고 검출한 침입에 상응하는 SIP 메시지를 필터링하는 단계를 포함한다.In one embodiment, the fourth step comprises: detecting an attack indication for a flooding attack of the SIP message according to a preset threshold; Analyzing the attack pattern based on the detection of the attack indication and generating a rule from the analyzed information; And detecting an intrusion in the form of an abnormal message, a blacklist, spam, flooding, or a combination thereof according to the generated rule and filtering the SIP message corresponding to the detected intrusion.

일 실시예에서, 제4 단계는, SIP 메소드 또는 상태코드에 따라 검출 규칙을 구성하고, 구성된 검출 규칙에 따라 블랙리스트를 등록하고, 등록된 블랙리스트에 상응하는 침입을 검출하는 단계를 포함한다.In one embodiment, the fourth step includes configuring a detection rule according to the SIP method or status code, registering a blacklist according to the configured detection rule, and detecting an intrusion corresponding to the registered blacklist.

일 실시예에서, 제4 단계는, 특정 서비스 또는 패턴을 가진 패킷이 단위시간 동안 일정 데이터량을 초과하는 것을 검출하는 단계; 및 소스 및 대상 주소, 단위 데이터 흐름의 바이트 수 및 패킷 수, 트래픽 유입 인터페이스, 업스트림 피어 정보 중 적어도 하나를 모니터링하여 침입을 검출하는 단계 중 적어도 어느 하나를 포함한다.In one embodiment, the fourth step includes detecting that a packet with a specific service or pattern exceeds a certain amount of data for a unit time; And detecting an intrusion by monitoring at least one of a source and destination address, a byte number and a packet number of a unit data flow, a traffic inflow interface, and upstream peer information.

일 실시예에서, 제4 단계는, 발신량 또는 수신량을 포함한 단위시간당 통화요청 횟수 또는 호 발생 인터벌을 검출하여 스팸 여부를 판단하는 단계를 포함한다.In an embodiment, the fourth step may include determining whether to spam by detecting a number of call requests or a call occurrence interval per unit time including a transmission amount or a reception amount.

일 실시예에서, 제5 단계는, 보이스 피싱 검출, 가입자 불법호 검출, PPS(Personal Protection Specialist) 불법호 검출, 특정국가 불법호 검출, 최대통화시간(Long Duration) 불법호 검출, 리필링(Refiling) 불법호 검출, 패턴분석 불법호 검출, 예외패턴 검출, 패턴 분석, 블랙리스트 검출, 임계치 검출, 또는 이들의 조합을 수행하는 단계를 포함한다.In one embodiment, the fifth step is voice phishing detection, subscriber illegal call detection, personal protection specialist (PPS) illegal call detection, specific country illegal call detection, long duration illegal call detection, refiling ) Performing illegal call detection, pattern analysis illegal call detection, exception pattern detection, pattern analysis, blacklist detection, threshold detection, or a combination thereof.

일 실시예에서, 제5 단계는, SIP 메시지, CDR 및 1차 분석 결과 중 적어도 어느 하나와, 미리 저장된 사용자 프로파일이나 고객 데이터 및 빌링 데이터 중 적어도 어느 하나를 포함한 필요 데이터의 필드를 분석하고 요구사항을 정의하는 단계; 요구사항에 기초하여 분석 알고리즘을 선정하는 단계; 선정한 분석 알고리즘에 따라 조건별 데이터를 추출하는 단계; 추출한 조건별 데이터를 변환하며 파생 변수를 생성하는 단계; 변환에 의한 데이터 분석 결과에 따라 파생 변수 중 유의미한 변수를 선정하는 단계; 선정한 유의미한 변수를 사용하여 모델 규칙을 생성하는 단계; 및 생성한 모델 규칙에 기초하여 미리 설정된 모델 중 최적 모델을 선택하고 선택한 최적 모델을 이용하여 2차 분석 결과를 산출하는 단계를 포함한다.
In one embodiment, the fifth step is to analyze the requirements and requirements of at least one of the SIP message, the CDR and the primary analysis result and the required data including at least one of a pre-stored user profile or customer data and billing data. Defining; Selecting an analysis algorithm based on the requirement; Extracting data for each condition according to the selected analysis algorithm; Converting the extracted data for each condition and generating a derived variable; Selecting a significant variable among the derived variables according to the data analysis result by the transformation; Generating a model rule using the selected significant variable; And selecting an optimal model among preset models based on the generated model rule and calculating a second analysis result using the selected optimal model.

본 발명에 의하면, 보안(Security) 검출 기능과 함께 다양한 불법호(Fraud) 검출 기능을 내장한 보안 및 불법호 검출 시스템을 제공할 수 있다.According to the present invention, it is possible to provide a security and illegal call detection system incorporating various illegal call detection functions together with a security detection function.

단일 시스템 구조를 가지는 보안 및 불법호 검출 시스템을 통해 보안 검출 기능과 불법호 검출 기능의 정합이 용이한 개선된 구조를 제공할 수 있다. 또한, 보안 검출 서비스와 불법호 검출 서비스를 위해 별도의 장비를 구축할 필요가 없으므로, 시스템 구축 및 유지관리 비용을 절감할 수 있다.Through a security and illegal call detection system having a single system structure, it is possible to provide an improved structure for easily matching the security detection function with the illegal call detection function. In addition, since it is not necessary to build a separate equipment for the security detection service and illegal call detection service, it is possible to reduce the system construction and maintenance costs.

더욱이, 보안 검출 모듈에서의 분석 결과를 불법호 검출 모듈에서 활용하도록 구성함으로써, 보안 검출과 불법호 검출에 있어서 시스템의 효율과 성능을 크게 향상시킬 수 있다.
Furthermore, by configuring the illegal call detection module to use the analysis result in the security detection module, it is possible to greatly improve the efficiency and performance of the system in security detection and illegal call detection.

도 1은 본 발명의 일 실시예에 따른 보안 및 불법호 검출 시스템이 채용된 VoIP 음성패킷망의 개략적인 구성도이다.
도 2는 도 1의 시스템에 채용가능한 보안 및 불법호 검출 과정을 개략적으로 나타낸 흐름도이다.
도 3은 도 1의 보안 및 불법호 검출 시스템에 채용가능한 구체적 구성의 일 실시예에 대한 블록도이다.
도 4는 도 3의 시스템에 채용가능한 보안 및 불법호 검출 방법의 일 실시예를 나타낸 블록도이다.
도 5는 도 3의 시스템에 채용가능한 보안 및 불법호 검출 방법의 불법호 검출 과정을 설명하기 위한 개략적인 흐름도이다.
도 6은 본 발명의 일 실시예에 따른 보안 및 불법호 검출 방법의 침입 검출 기능을 도식적으로 나타낸 도면이다.
도 7은 본 발명의 일 실시예에 따른 보안 및 불법호 검출 방법의 DoS/DDoS 탐지 기능을 도식적으로 나타낸 도면이다.
도 8은 본 발명의 실시예에 따른 보안 및 불법호 검출 방법의 스팸 탐지 기능을 도식적으로 나타낸 도면이다.1 is a schematic configuration diagram of a VoIP voice packet network employing a security and illegal call detection system according to an embodiment of the present invention.
2 is a flowchart schematically illustrating a security and illegal call detection process that may be employed in the system of FIG. 1.
3 is a block diagram of an embodiment of a specific configuration that may be employed in the security and illegal call detection system of FIG.
4 is a block diagram illustrating an embodiment of a security and illegal call detection method employable in the system of FIG. 3.
5 is a schematic flowchart illustrating an illegal call detection process of a security and illegal call detection method employable in the system of FIG. 3.
6 is a diagram illustrating an intrusion detection function of the security and illegal call detection method according to an embodiment of the present invention.
7 is a diagram schematically illustrating a DoS / DDoS detection function of a security and illegal call detection method according to an embodiment of the present invention.
8 is a diagram schematically illustrating a spam detection function of a security and illegal call detection method according to an embodiment of the present invention.

이하, 첨부 도면을 참조하여 본 발명에 의한 바람직한 실시예를 상세하게 설명하기로 한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 일 실시예에 따른 보안 및 불법호 검출 시스템이 채용된 VoIP 음성패킷망의 개략적인 구성도이다.1 is a schematic configuration diagram of a VoIP voice packet network employing a security and illegal call detection system according to an embodiment of the present invention.

도 1을 참조하면, 보안 및 불법호 검출 시스템(100)은 VoIP(Voice over Internet Protocol) 망에 연결되어 SIP(Session Initiation Protocol) 호 설정 및 RTP(Real Time Protocol) 미디어 전송 기반의 서비스에 대한 침입을 검출하여 보안(Security)을 유지하고 불법호(Fraud)를 검출하여 서비스의 안정성 및 신뢰성을 향상시킨다.Referring to FIG. 1, the security and illegal call detection system 100 is connected to a Voice over Internet Protocol (VoIP) network to invade a service based on Session Initiation Protocol (SIP) call establishment and Real Time Protocol (RTP) media transmission. Security can be detected to maintain security, and Fraud can be detected to improve the stability and reliability of the service.

보안 및 불법호 검출 시스템(100)은 인터페이스부(110), 시큐리티 검출부(120) 및 프라우드 검출부(130)를 구비한다. 또한, 보안 및 불법호 검출 시스템(100; 이하, "FSDS"라 한다)은 데이터베이스(140), 저장부(Storage, 150), 및 스위치 허브(SW Hub, 160)를 구비할 수 있다.The security and illegal call detection system 100 includes an interface unit 110, a security detector 120, and a proud detector 130. In addition, the security and illegal call detection system 100 (hereinafter, referred to as “FSDS”) may include a database 140, a storage 150, and a switch hub 160.

인터페이스부(110)는 트래픽 모니터링을 위한 네트워크 장비와 FSDS(100)를 연결하고 네트워크 장비로부터의 패킷을 처리하거나 네트워크 장비에 연결된 포트를 필터링한다. 본 실시예에서 인터페이스부(110)는 VoIP 망의 여러 곳에 설치된 네트워크 탭(TAP, 10)을 통해 VoIP 망에서 송수신되는 패킷을 수집할 수 있다. 복수의 네트워크 탭(10)으로부터 입력되는 신호는 집합자(Aggregator, 20)를 통해 인터페이스부(110)에 입력될 수 있다.The interface unit 110 connects the network device for traffic monitoring with the FSDS 100 and processes a packet from the network device or filters a port connected to the network device. In this embodiment, the interface unit 110 may collect packets transmitted and received in the VoIP network through network taps (TAP) 10 installed in various places of the VoIP network. Signals input from the plurality of network taps 10 may be input to the interface unit 110 through an aggregator 20.

시큐리티 검출부(120)는 인터페이스부(110)로부터의 SIP 신호 또는 RTP 신호 내의 특정한 입력 메시지를 미리 지정된 규칙 또는 일련의 토큰(Token)들이 정의된 문법에 따라 분석하는 메시지 파싱(Parsing) 기능을 구비한다. 또한, 시큐리티 검출부(120)는 시큐리티 검출 시스템(Security Detection System: SDS)의 기능을 수행하는 수단 또는 구성부로서, VoIP망 기반의 통신 서비스에 대한 외부의 침입이나 공격을 검출하여 서비스의 보안을 유지한다.The security detector 120 has a message parsing function for analyzing a specific input message in the SIP signal or the RTP signal from the interface unit 110 according to a predetermined rule or a grammar in which a set of tokens are defined. . In addition, the security detection unit 120 is a means or component that performs a function of a security detection system (SDS), and detects an external intrusion or attack on the VoIP network-based communication service to maintain the security of the service. do.

프라우드 검출부(130)는 프라우드 검출 시스템(Fraud Detection System: FDS)의 기능을 수행하는 수단 또는 구성부로서, 인터페이스부(110)로부터의 메시지와 시큐리티 검출부(120)로부터의 1차 분석 결과 등을 토대로 VoIP망 기반의 통신 서비스에 대한 불법호를 검출하여 서비스의 안정성과 신뢰성을 확보한다. 본 실시예에서 프라우드 검출부(130)는 시큐리티 검출부(120)에서 생성된 CDR(Call Detail Record), 가입자 또는 고객 데이터(Customer Data), 과금 데이터(Billing Data) 등의 정보 데이터에 기초하여 불법호를 검출한다. 예를 들면, 프라우드 검출부(130)는 사용자 이벤트 발생시 또는 관리자 요구에 따른 일정한 시기에 패킷 데이터 서비스 제공자로부터 관련 사용자의 트랜잭션 데이터를 수집한 후 가입자 프로파일을 생성하고 이를 토대로 프라우드 분석을 수행한다. 이때, 분석 초기에는 경험적 규칙(Rule) 기반으로 프라우드 이벤트 분석을 진행하고, 추후 신경망 알고리즘 등을 이용하여 누적된 가입자 프로파일에 대한 학습을 통해 개별적 통화 패턴 규칙 및 모형을 생성하여 프라우드 이벤트에 대한 스코어링 분석을 진행할 수 있다.The proud detector 130 is a means or component that performs a function of a proud detection system (FDS), and includes a message from the interface 110 and a primary analysis result from the security detector 120. On the basis of this, we detect the illegal call for the communication service based on VoIP network and secure the stability and reliability of the service. In the present exemplary embodiment, the probing detector 130 may generate an illegal call based on information data such as a call detail record (CDR), a subscriber or customer data, billing data, and the like generated by the security detector 120. Detect. For example, the loudspeaker detector 130 collects transaction data of a related user from a packet data service provider at a time when a user event occurs or according to an administrator's request, generates a subscriber profile, and performs proud analysis based on the subscriber profile. At the beginning of the analysis, Proud event analysis is performed based on empirical rules, and individual call pattern rules and models are generated through learning about accumulated subscriber profiles using neural network algorithms, etc. Scoring analysis can proceed.

데이터베이스(140)는 SIP 파싱에 필요한 문법 규칙과 시스템의 운용에 요구되는 환경 설정 정보를 저장한다. 또한, 데이터베이스(140)는 CDR, 고객 데이터, 과금 데이터 등의 정보 데이터를 저장한다.The database 140 stores grammar rules required for SIP parsing and configuration information required for operating the system. In addition, the database 140 stores information data such as CDR, customer data, billing data, and the like.

저장부(Storage, 150)는 인터페이스부(110)에서 나오는 SIP 스트림 및 RTP 스트림으로부터 캡처한 정보, 시큐리티 검출부(120)로부터의 SIP 메시지와 1차 분석 결과를 저장한다. 또한, 저장부(150)는 SIP 메시지의 필드 분석 및 정의에 대한 정보, 기존 분석 알고리즘 정보 등을 저장한다.The storage unit 150 stores information captured from the SIP stream and the RTP stream from the interface unit 110, the SIP message from the security detector 120, and the primary analysis result. In addition, the storage unit 150 stores information on field analysis and definition of SIP messages, information on existing analysis algorithms, and the like.

스위치 허브(SW Hub, 160)는 본 시스템(100)과 외부의 운용 클라이언트(170)를 연결한다. 운용 클라이언트(170)는 시큐리티 검출부(120)에서 제공하는 사용자 인터페이스를 통해 시스템의 환경설정을 변경할 수 있도록 동작한다.
The switch hub (SW Hub) 160 connects the system 100 to an external operation client 170. The operation client 170 operates to change the environment setting of the system through the user interface provided by the security detector 120.

도 2는 도 1의 시스템에 채용가능한 보안 및 불법호 검출 과정을 개략적으로 나타낸 흐름도이다.2 is a flowchart schematically illustrating a security and illegal call detection process that may be employed in the system of FIG. 1.

도 2를 참조하면, 우선 VoIP망에 연결된 네트워크 탭으로부터의 가공되지 않은 데이터(Raw Data)가 인터페이스부(110)에서 캡처되면, 인터페이스부(110)는 캡처되는 신호를 분석하고 분석한 SIP 신호와 RTP 신호를 시큐리티 검출부(120)로 전달한다(S210).Referring to FIG. 2, first, raw data from a network tap connected to a VoIP network is captured by the interface unit 110, the interface unit 110 analyzes the captured signal and analyzes the captured SIP signal. The RTP signal is transmitted to the security detector 120 (S210).

시큐리티 검출부(120)는 기탑재된 SIP 파서(Parser)를 통해 인터페이스부(110)로부터 입력되는 SIP 스트림 또는 RTP 스트림를 처리하여 적절한 SIP 메시지를 구성한다(S220). 예컨대, 입력되는 메시지 내의 헤더들은 SIP 메시지를 구성하도록 SIP 파서에 의해 다듬어진다. 이때, SIP 파서는 입력 스트림이 저장된 소정의 버퍼로부터 데이터를 독출하거나 입력 스트림으로부터 직접 데이터를 독출할 수 있다. SIP 파서에서 구성된 SIP 메시지는 추가적인 처리를 위하여 시큐리티 검출부(120) 내의 시큐리티 검출 기능부와 프라우드 검출부(130)로 전달된다.The security detector 120 processes an SIP stream or an RTP stream input from the interface unit 110 through a built-in SIP parser to configure an appropriate SIP message (S220). For example, the headers in the incoming message are trimmed by the SIP parser to construct the SIP message. In this case, the SIP parser may read data from a predetermined buffer in which the input stream is stored or directly read data from the input stream. The SIP message configured in the SIP parser is transmitted to the security detection function unit and the loudness detection unit 130 in the security detector 120 for further processing.

시큐리티 검출부(120)는 기탑재된 시큐리티 검출 기능부를 통해 SIP 메시지를 분석하여 외부의 침입이나 공격을 1차 검출한다(S230). 1차 검출되는 외부의 침입이나 공격은 블랙리스트(Black List) 사용자의 원하지 않는 침입; 비정상 메시지나 호 또는 미디어 폭주를 발생시켜 통화 불능, 처리 지연, 서비스 장애, 장비 장애 등을 유발시키는 DoS/DDoS 공격; 원하지 않거나 상업적 또는 비상업적 관계를 갖지 않은 사람이 보내는 통신을 지칭하는 스팸(Spam); 스니핑(Snooping)이나 도청; 및 과금 우회 등의 서비스 오용 공격 등을 포함한다.The security detector 120 analyzes the SIP message through the security detection module installed on the device, and primarily detects an external intrusion or attack (S230). Externally detected intrusions or attacks are primarily unwanted from Black List users; DoS / DDoS attacks that cause anomalous messages, calls or media congestion resulting in outages, processing delays, service disruptions, equipment failures, etc .; Spam, which refers to communication sent by a person who does not want or has no commercial or non-commercial relationship; Snooping or tapping; And service misuse attacks, such as billing bypass.

프라우드 검출부(130)는 시큐리티 검출부(120)로부터의 SIP 메시지와 1차 분석 결과에 기초하여 불법호를 2차 검출한다(S240). 2차 검출되는 불법호는 보이스 피싱(Voice Phishing), 가입자를 가장하는 가입자 불법호(Fraud) 검출, PPS(Personal Public Service) 불법호 검출, 특정국가 불법호, 최대통화시간 불법호, PRS(Premium Rate Service) 또는 리필링(Refiling) 불법호 등을 포함한다.The proud detector 130 secondly detects the illegal call based on the SIP message and the primary analysis result from the security detector 120 (S240). The second detected illegal call is Voice Phishing, Fraud Detection to disguise subscriber, Personal Public Service (PPS) illegal call detection, Specific country illegal call, Maximum call duration illegal call, PRS (Premium) Rate Service) or Refilling Illegal Calls.

시큐리티 검출부(120)에서의 1차 분석 결과와 프라우드 검출부(130)에서의 2차 분석 결과는 운용 클라이언트의 모니터에 출력된다(S250). 또한, 1차 분석 결과와 2차 분석 결과에 따라 시스템의 보안이 업데이트되고 불법호를 차단하는 조치가 취해질 수 있다.
The primary analysis result in the security detector 120 and the secondary analysis result in the proud detector 130 are output to the monitor of the operation client (S250). In addition, according to the results of the first analysis and the second analysis, the security of the system may be updated and measures to block illegal calls may be taken.

도 3은 도 1의 보안 및 불법호 검출 시스템에 채용가능한 구체적 구성의 일 실시예에 대한 블록도이다.3 is a block diagram of an embodiment of a specific configuration that may be employed in the security and illegal call detection system of FIG.

도 3을 참조하면, 보안 및 불법호 검출 시스템(300)은 캡처 보드(302), 시그널 인터페이스 모듈(310), 시큐리티 검출 모듈(320) 및 프라우드 검출 모듈(330)을 구비한다.Referring to FIG. 3, the security and illegal call detection system 300 includes a capture board 302, a signal interface module 310, a security detection module 320, and a proud detection module 330.

본 실시예의 FSDS(300)에 있어서 캡처 보드(302) 및 시그널 인터페이스 모듈(310)은 도 1의 인터페이스부(110)에, 시큐리티 검출 모듈(320)은 시큐리티 검출부(120)에, 그리고 프라우드 검출 모듈(330)은 프라우드 검출부(130)에 각각 대응될 수 있다.In the FSDS 300 of the present embodiment, the capture board 302 and the signal interface module 310 are connected to the interface unit 110 of FIG. 1, the security detection module 320 is connected to the security detector 120, and the loudness detection. The module 330 may correspond to the proud detector 130, respectively.

캡처 보드(302)는 이더넷 캡처 인터페이스 모듈을 구비하고, VoIP 네트워크상의 네트워크 탭 또는 집합자 탭(Aggregator TAP)과 시그널 인터페이스 모듈(310)의 SIP 및 RTP 포트를 물리적으로 연결한다.The capture board 302 includes an Ethernet capture interface module and physically connects a network tap or aggregator tap on the VoIP network with the SIP and RTP ports of the signal interface module 310.

시그널 인터페이스 모듈(310)은 패킷 프로세싱 및 포트 필터링 엔진과 프로토콜 프로세스를 구비하며, SIP 및 RTP 포트를 필터링하여 상기 포트에 입력되는 스트림 또는 패킷 내의 해당 프로토콜 시그널을 캡처한다.The signal interface module 310 includes a packet processing and port filtering engine and a protocol process, and filters SIP and RTP ports to capture corresponding protocol signals in streams or packets input to the ports.

시큐리티 검출 모듈(320)은 SIP 파서(Parser), 규칙 관리부(Rule Manager), 호 분석부(Call Analyzer), 환경설정부(Config Set), 공격 필터(Attack Filter), 공격징후 검출부(Attack Symptom Detect, ASD), 공격 분석부(Attack Analyzer), 비정상 분석부(Malformed Analyzer) 및 트래픽 분석부(Traffic Analyzer)를 구비한다.The security detection module 320 may include a SIP parser, a rule manager, a call analyzer, a config set, an attack filter, and an attack symptom detection unit. , ASD), an attack analyzer, a malformed analyzer, and a traffic analyzer.

시큐리티 검출 모듈(320)은 SIP 파서를 통해 시그널 인터페이스 모듈(310)로부터의 SIP 입력 스트림과 RTP 입력 스트림을 기설정된 문법 규칙에 따라 파싱하고, 파싱된 SIP 메시지로부터 하나의 호를 만들어 분석하기 위한 CDR을 호 분석부를 통해 생성한다. SIP 파서는 TCP(Transmission Control Protocol)용 파서와 UDP(User Datagram Protocol)용 파서를 포함할 수 있다.The security detection module 320 parses the SIP input stream and the RTP input stream from the signal interface module 310 through the SIP parser according to a predetermined grammar rule, and creates a CDR from the parsed SIP message to analyze the call. Is generated through the call analysis unit. The SIP parser may include a parser for Transmission Control Protocol (TCP) and a parser for User Datagram Protocol (UDP).

시큐리티 검출 모듈(320)에 있어서, 트래픽 분석부는 장비별 트래픽량 및 패킷량을 감시하며 일정 임계치 이상이면 경보를 발생시킨다. 비정상 분석부는 파싱된 SIP 메시지의 기본 헤더들을 분석하여 해당 메시지가 정상적인 메시지인지 비정상적인 메시지인지를 파악한다. 규칙 관리부는 검출에 대한 임계치, 블랙리스트 및 스팸 항목 중 적어도 하나를 관리한다. 공격징후 검출부는 INVITE, BYE, CANCEL, 또는 이들의 조합 메시지의 플러딩(Flooding) 공격 징후를 판단하고, 임계치에 따라 경보를 발생시킨다. 공격 분석부는 공격징후 검출부(ASD)에서 보낸 메시지의 공격 패턴을 분석하여 규칙(Rule)을 생성하고, 생성된 규칙을 공격 필터로 보낸다. 공격 필터는 비정상 메시지, 블랙리스트, 스팸, 플러딩 규칙에 의하여 공격이라 판단되면, 해당 메시지를 필터링하고, 임계치 또는 미리 정해진 설정에 따라 경보를 발생시킨다. 환경설정부는 운용 클라이언트에 그래픽 사용자 인터페이스(Graphic User Interface, GUI)를 제공하고, GUI에서 시스템 노드, 블랙리스트 및 스팸, 임계치 관리에 대한 설정 변경시 해당 변경 사항을 시큐리티 검출 모듈(320)에 전달한다.In the security detection module 320, the traffic analysis unit monitors the traffic amount and the packet amount for each device, and generates an alarm when it exceeds a predetermined threshold. The anomaly analyzer analyzes basic headers of parsed SIP messages to determine whether the message is a normal message or an abnormal message. The rule manager manages at least one of a threshold for detection, a blacklist, and a spam item. The attack symptom detection unit determines a flood attack indication of INVITE, BYE, CANCEL, or a combination message thereof, and generates an alarm according to a threshold. The attack analysis unit analyzes the attack pattern of the message sent by the attack symptom detection unit (ASD) to generate a rule, and sends the generated rule to the attack filter. When the attack filter is determined to be an attack based on an abnormal message, a blacklist, spam, or a flooding rule, the attack filter filters the message and generates an alarm according to a threshold or a predetermined setting. The configuration unit provides a graphical user interface (GUI) to the operation client, and transmits the change to the security detection module 320 when the GUI changes the configuration of the system node, blacklist, spam, and threshold management. .

시큐리티 검출 모듈(320)의 주요 기능을 요약하면 아래의 표 1과 같다.A summary of the main functions of the security detection module 320 is shown in Table 1 below.

Figure 112011054206441-pat00001
Figure 112011054206441-pat00001

프라우드 검출 모듈(330)은 프라우드 검출 엔진 및 프라우드 분석부를 포함한다. 프라우드 검출 엔진은 보이스피싱 검출부, 가입자 불법호 검출부, PPS(Personal Public Service) 불법호 검출부, 특정국가 불법호(National Fraud) 검출부, 최대통화시간 불법호(Long Duration Fraud) 검출부, 리필링(Refiling) 또는 PRS(Premium Rate Service) 불법호 검출부, 및 통화패턴 분석(Pattern Analysis) 불법호 검출부를 구비하고, 보이스피싱이나 각종 불법호 처리를 수행한다. 또한, 프라우드 분석부는 예외패턴 검출부(Anomaly Detection), 통화패턴 분석부(Pattern Analysis), 블랙리스트 검출부(Blacklist Detect), 임계치 검출부(Threshold Detect), 트래픽 모니터(Traffic Monitor) 기능부, 상태/통계(Status/Statistics) 기능부, 및 경보 제어(Alert Control) 기능부를 구비하고, 패턴 분석, 블랙리스트 상의 악성 사용자 검출, 임계치 검출, 지역 검출, 및 각종 통계 처리를 수행한다.The proud detection module 330 includes a proud detection engine and a proud analysis unit. Proud detection engine includes voice phishing detection unit, illegal subscriber detection unit, personal public service (PPS) illegal call detection unit, specific national illegal call detection unit, long duration fraud detection unit, refilling Or PRS (Premium Rate Service) illegal call detection unit, and Pattern Analysis (Pattern Analysis) illegal call detection unit, and perform voice phishing or various illegal call processing. In addition, the Proud Analysis unit is an exception pattern detection unit (Anomaly Detection), call pattern analysis unit (Pattern Analysis), blacklist detection unit (Blacklist Detect), threshold detection unit (Threshold Detect), traffic monitor function unit, status / statistics (Status / Statistics) function unit and Alert Control function unit, and performs pattern analysis, malicious user detection on a blacklist, threshold detection, area detection, and various statistical processes.

프라우드 검출 모듈(330)의 주요 기능을 요약하면 아래의 표 2와 같다.A summary of the main functions of the proud detection module 330 is shown in Table 2 below.

Figure 112011054206441-pat00002
Figure 112011054206441-pat00002

부언하면, 가입자 불법호(Fraud)는 타인의 인적사항을 도용하여 가입을 한 뒤 주로 제3자에게 호(Call)를 판매하거나 PRS 서비스를 받아 통신사업자에게 청구하는 형태로, 연속하여 새로운 인적사항을 사용하여 재가입을 하는 형태로 나타날 수 있다. 본 실시예의 프라우드 검출 모듈(330)에서는 예컨대 도 5의 절차에 따라 동작하는 분석 엔진을 이용하여 이전의 불법 사용자의 통신 패턴 예컨대, CDR, 통화시간, 접속번호, 통화형태 등을 분석하여 가입자 불법호를 검출함으로써 피해를 최소화한다.In addition, the subscriber fraud is a form of new personal information continuously, in the form of stealing the other's personal information and signing up, and then selling the call to a third party or receiving PRS service and billing the service provider. It can appear in the form of resubscribing using. Proud detection module 330 of the present embodiment analyzes a communication pattern of a previous illegal user, for example, CDR, call time, access number, call type, etc. using an analysis engine operating according to the procedure of FIG. Minimize damage by detecting calls.

PPS 불법호는 재사용과 재판매를 위하여 불법 재충전, 선불카드 복제, 내부자에 의한 불법 충전된 선불 카드, 시스템의 해킹에 의한 불법사용 등으로 나타나며, 본 실시예의 프라우드 검출 모듈(330)에서는 선불 플랫폼, CDR, 과금, 가입자 정보 등을 수집하여 패턴을 인식하고, 인식한 패턴에 기초하여 프라우드 규칙을 생성하고, 생성한 규칙에 기초하여 해당 불법호를 검출한다. 이때, 본 시스템(300)은 선불카드 충전시 날짜, 시간, 가입자 번호 또는 발신자 번호, 충전량, 거래형태, 선불카드번호 등을 구비한 규칙 기반 엔진(Rule-Based Engine)을 통하여 불법 사용을 검출할 수 있다.PPS illegal calls are represented as illegal recharge, prepaid card duplication, illegally charged prepaid cards by insiders, illegal use by hacking of the system for reuse and resale, and in the proud detection module 330 of the present embodiment, a prepaid platform, Patterns are recognized by collecting CDR, billing, subscriber information, etc., Proud rules are generated based on the recognized patterns, and the illegal call is detected based on the generated rules. At this time, the system 300 may detect illegal use through a rule-based engine having a date, time, subscriber number or caller number, charge amount, transaction type, prepaid card number, etc. when the prepaid card is charged. Can be.

리필링(Refiling) 또는 PRS 불법호는 국외 또는 국내에서 PRS 회사를 설립하고 허위로 등록된 단말기나 자동 전화기(Auto Dialer)를 통해 위장서비스를 받아 통신사업자에게 정산을 받아가는 형태, 가입자가 국내 PRS 서비스를 제공하는 사이트에 접속시 가입자도 모르게 국제 PRS 서비스 업체를 경유하여 국제전화 요금을 물린 후 국제 PRS 서비스 비용을 가로채는 형태 등으로 나타난다. 본 시스템(300)에서는 규칙 기반 엔진을 이용하여 CDR, PRS 사업자의 호 분석, 통화패턴 검출, 통화량 검출, 통화시간 검출 등을 통하여 해당 불법호를 검출한다.
Refiling or illegal PRS is a form in which a PRS company is established outside or in Korea, and faked through a registered terminal or auto dialer to receive payment from a telecommunications provider. When accessing the site that provides the service, the subscriber does not know about the international call through the international PRS service provider, and then intercepts the cost of the international PRS service. In the system 300, the rule-based engine is used to detect the illegal call through CDR, PRS operator call analysis, call pattern detection, call amount detection, call time detection, and the like.

도 4는 도 3의 시스템에 채용가능한 보안 및 불법호 검출 방법의 구체적인 일 실시예를 나타낸 블록도이다.4 is a block diagram illustrating a specific embodiment of a security and illegal call detection method employable in the system of FIG. 3.

본 실시예는 보안 검출 기능의 일례이다. 도 4를 참조하면, 우선 SIP 메시지가 필터(410)를 통해 SIP 프록시 서버(Proxy Server)로 전달될 때, 공격징후 검출부(420)는 SIP 메시지를 분석하여 비정상 트래픽을 탐지하거나 비정상 트래픽 징후를 감지하고, 탐지 또는 감지한 의심 메시지를 분석부(430)로 전달한다. 여기에서, 필터(410)는 시큐리티 검출 모듈(320)의 메시지 진입점에 위치하며 도 3의 공격 필터에 대응하고, 분석부(430)는 도 3의 호 분석부, 트래픽 분석부, 비정상 분석부, 공격 분석부, 또는 이들의 조합에 대응할 수 있다.This embodiment is an example of a security detection function. Referring to FIG. 4, first, when a SIP message is delivered to a SIP proxy server through a filter 410, the attack symptom detection unit 420 analyzes the SIP message to detect abnormal traffic or detect abnormal traffic signs. Then, the detected or detected suspicious message is transmitted to the analyzer 430. Here, the filter 410 is located at the message entry point of the security detection module 320 and corresponds to the attack filter of FIG. 3, and the analyzer 430 is the call analyzer, the traffic analyzer, the abnormal analyzer of FIG. 3. , Attack analysis unit, or a combination thereof.

분석부(430)는 공격으로 의심되는 메시지를 분석하고, 공격으로 판단될 시 필터(410)가 추후의 공격을 걸러낼 수 있도록 규칙을 추출하고, 추출한 규칙을 필터(410)에 전달하여 필터를 갱신시킨다. 업데이트된 필터(410)는 미리 정해진 규칙에 따라 이미 알려진 공격 메시지가 SIP 프록시 서버 등의 시스템에 유입되지 못하도록 작동한다.The analysis unit 430 analyzes the message suspected of an attack, extracts a rule so that the filter 410 can filter a future attack when it is determined to be an attack, and passes the extracted rule to the filter 410 to filter the filter. Update The updated filter 410 operates to prevent known attack messages from entering a system such as a SIP proxy server according to a predetermined rule.

필터(410)와 SIP 프록시 서버 사이에는 다수의 메시지가 SIP 프록시 서버로 일시에 전달되는 것을 예방하기 위하여 SMRED(SIP Message Random Early Drop) 등과 같은 트래픽량 관리부가 구비될 수 있다.A traffic volume manager such as SIP Message Random Early Drop (SMRED) may be provided between the filter 410 and the SIP proxy server to prevent a plurality of messages from being temporarily delivered to the SIP proxy server.

본 실시예에서 공격징후 검출부(420)와 분석부(430)에는 SIP 프록시 서버로부터의 호 정보(Call Information)가 제공될 수 있다.
In the present embodiment, call information from the SIP proxy server may be provided to the attack symptom detector 420 and the analyzer 430.

도 5는 도 3의 시스템에 채용가능한 보안 및 불법호 검출 방법의 불법호 검출 과정을 설명하기 위한 개략적인 흐름도이다.5 is a schematic flowchart illustrating an illegal call detection process of a security and illegal call detection method employable in the system of FIG. 3.

본 실시예는 도 3의 다양한 불법호들 중 적어도 어느 하나의 불법호를 검출 하는 절차에 대한 일례이다.This embodiment is an example of a procedure for detecting at least one illegal call among various illegal calls in FIG. 3.

도 5를 참조하면, CDR, 고객 데이터(Customer Data), 과금 데이터(Billing Data) 등이 입력되면(S510), 프라우드 검출 모듈(330)은 우선 필드 분석 및 정의를 수행한다(S520). 본 단계(S520)에서는 불법호 검출에 대한 요구사항을 정의하고 분석 시나리오를 작성함으로써 분석 및 방향을 설정한다.Referring to FIG. 5, when a CDR, customer data, billing data, and the like are input (S510), the proud detection module 330 first performs field analysis and definition (S520). In this step (S520), the requirements for illegal call detection are defined and analysis and direction are set by creating an analysis scenario.

다음, 정의된 요구사항이나 설정된 분석 시나리오에 기초하여 분석 알고리즘을 선정한다(S530). 본 단계(S530)에서는 의사결정트리(Decision Tree), 신경망(Neural Network), 이상탐지(Anomaly Detection) 등의 기존의 분석 알고리즘 중 적합한 분석 기법을 선정한다.Next, an analysis algorithm is selected based on the defined requirements or the set analysis scenario (S530). In the step S530, a suitable analysis technique is selected from existing analysis algorithms such as a decision tree, a neural network, and anomaly detection.

다음, 선정한 분석 알고리즘에 기초하여 조건별 데이터를 추출한다(S540). 본 단계에서는 필요 데이터를 확인하고 원천 데이터를 추출한다. 이때, 기간계 데이터를 확인하고 추출할 수 있다.Next, data for each condition is extracted based on the selected analysis algorithm (S540). In this step, the required data is checked and the source data is extracted. At this time, the period data can be checked and extracted.

다음, 추출한 조건별 데이터를 변환한다(S550). 본 단계에서는 데이터를 변환함으로써 분석용 데이터를 생성한다. 또한, 데이터를 변환할 때, 파생 변수를 생성할 수 있다.Next, the extracted data for each condition is converted (S550). In this step, data for analysis is generated by converting the data. You can also create derived variables when converting data.

다음, 분석용 데이터에 기초하여 변수를 선정한다(S560). 본 단계에서는 데이터 분석 결과로 얻어진 변수들 중 유의미한 변수를 선정한다.Next, a variable is selected based on the analysis data (S560). In this step, we select meaningful variables from the variables obtained as a result of data analysis.

다음, 선정된 변수들을 사용하여 모델 규칙을 작성한다(S570). 본 단계에서는 선정된 변수들을 사용하여 모델 규칙을 작성함으로써 평가(Scoring)를 위한 모델(Model)을 개발한다.Next, a model rule is created using the selected variables (S570). In this step, we develop a model for scoring by creating model rules using selected variables.

다음으로, 개발된 모델 중 최적 모델을 선택하고 선택한 모델을 이용하여 검출 결과를 산출한다(S580). 본 단계에서는 최적 모델을 이용하여 이상 또는 예외패턴 검출, 패턴 분석, 불법호 검출 등에 대한 분석 결과를 산출한다.
Next, the optimal model is selected from the developed models and the detection result is calculated using the selected model (S580). In this step, an analysis result for abnormal or exception pattern detection, pattern analysis, illegal call detection, etc. is calculated using an optimal model.

도 6은 본 발명의 일 실시예에 따른 보안 및 불법호 검출 방법의 침입 검출 기능을 도식적으로 나타낸 도면이다.6 is a diagram illustrating an intrusion detection function of the security and illegal call detection method according to an embodiment of the present invention.

도 6을 참조하면, 본 시스템(300)은 IPS 또는 방화벽(610)과 SIP 서버들과의 사이에 배치되어, SIP 포트 및 RTP 포트에 대한 침입을 검출한다. SIP 포트는 5060 포트일 수 있고, RTP 포트는 임의의(Random) 포트일 수 있다. 본 시스템(300)은 SIP 헤더필드 예컨대 To, From, Via 등에 내포된 URI(Unified Resource Indentify) 주소를 기반으로 침입을 검출할 수 있다. 그리고, 본 시스템(300)은 SIP 및 RTP 간의 연관성을 통해 RTP 스트림 또는 미디어 트래픽을 분석함으로써 침입을 검출할 수 있다. 여기에서, 본 시스템(300)은 SIP 메시지에 실린 SDP(Session Description Protocol)를 분석하여 RTP 포트를 분석한다.Referring to FIG. 6, the system 300 is disposed between an IPS or firewall 610 and SIP servers to detect an intrusion into a SIP port and an RTP port. The SIP port may be a 5060 port and the RTP port may be a random port. The system 300 may detect an intrusion based on a Unified Resource Indentify (URI) address contained in a SIP header field such as To, From, Via, or the like. In addition, the system 300 may detect the intrusion by analyzing the RTP stream or the media traffic through the association between the SIP and the RTP. Here, the system 300 analyzes the RDP port by analyzing the Session Description Protocol (SDP) carried in the SIP message.

또한, 본 시스템(300)은 SIP 메소드, 상태 코드 등에 따라 다양한 검출 규칙을 구성하고, 검출 규칙에 따라 자동으로 블랙리스트에 등록하고 해당 블랙리스트에 상응하는 불법행위 또는 불법행위자를 검출한다. 이때, 본 시스템(300)은 블랙리스트를 조회하고 삭제할 수 있다.
In addition, the system 300 configures various detection rules according to SIP methods, status codes, and the like, automatically registers a blacklist according to the detection rule, and detects illegal or illegal actors corresponding to the blacklist. At this time, the system 300 may query and delete the blacklist.

도 7은 본 발명의 일 실시예에 따른 보안 및 불법호 검출 방법의 DoS/DDoS 탐지 기능을 도식적으로 나타낸 도면이다.7 is a diagram schematically illustrating a DoS / DDoS detection function of a security and illegal call detection method according to an embodiment of the present invention.

도 7을 참조하면, 본 시스템(300)은 앞서 설명한 도 6의 침입 검출 기능에 더하여 대역폭 검출 기능을 통해 DoS/DDoS 공격을 탐지한다. 대역폭 검출 기능은 특정 서비스 또는 패턴을 가진 패킷이 단위시간 동안 일정량 이상을 초과한 경우를 검출하도록 구성될 수 있다.Referring to FIG. 7, the system 300 detects a DoS / DDoS attack through a bandwidth detection function in addition to the intrusion detection function of FIG. 6 described above. The bandwidth detection function may be configured to detect when a packet having a specific service or pattern has exceeded a certain amount or more during a unit time.

본 시스템(300)은 트래픽 흐름 분석(Traffic Flow Analysis)으로 소스 주소 및 대상 주소, 각 흐름의 바이트 수 및 패킷 수, 트래픽 유입 인터페이스 및 업스트림 피어 정보 등을 모니터링함으로써 해당 공격을 탐지할 수 있다. 이때, 본 시스템(300)은 네트워크 상에서 VoIP 관련 트래픽을 구분하고, VoIP 트래픽에 대한 흐름을 모니터링할 수 있다.The system 300 may detect a corresponding attack by monitoring a source address and a destination address, a byte number and a packet number of each flow, a traffic inflow interface, and an upstream peer information through traffic flow analysis. In this case, the system 300 may classify VoIP-related traffic on the network and monitor the flow of VoIP traffic.

전술한 DoS/DDoS 공격의 유형으로는 다음의 도스, 도스 플러딩, 도스 퍼징, 스팸 등의 형태가 있다. 도스(DoS: Denial of Service)는 좀비 PC(Personal Computers)와 같이 악성 사용자에 의해 도용되는 통신 단말을 통해 특정 목적지로 비정상 메시지를 전송하거나 SID 플로딩 또는 RTP 플로딩을 발생시킴으로써, 교환장비의 자원(예컨대, 중앙처리장치나 메모리 등) 고갈, 회선자원 고갈(예컨대, 품질 저하), 단말 또는 교환장비의 오작동(예컨대, 장비 장애), 처리 지연, 서비스 불능(예컨대, 통화 불능) 등의 문제를 야기시킨다. 도스 플러딩(DoS-Flooding)은 해커 등의 악성 사용자가 특정 목적지로 다량의 메시지를 전송함으로써 소음 유발, 통화 중 상태, 전화 요금 증가, 통화 종료, 통화 품질 저하, 신뢰성 저하 등의 문제를 야기시킨다. 도스 퍼징(DoS-Fuzzing)은 해커 등의 악성 사용자가 비정상적인 호 요청(INVITE) 메시지를 전송함으로써, VoIP 솔루션 장비의 장애를 발생시키고, 그에 의해 VoIP 솔루션들이 SIP 파싱 과정에서 버퍼 오버플로우가 발생하도록 하거나 단말이나 교환장비의 오작동 또는 서비스 불능 등의 문제를 야기시킨다.
The aforementioned types of DoS / DDoS attacks include the following types of DOS, DOS flooding, DOS purging, spam, and the like. Denial of Service (DoS) is a resource of exchange equipment by sending an abnormal message to a specific destination or generating SID or RTP floating through a communication terminal stealed by a malicious user such as a zombie PC (Personal Computers). It causes problems such as exhaustion (e.g. central processing unit or memory), line resource depletion (e.g. degradation of quality), malfunction of the terminal or exchange equipment (e.g. equipment failure), processing delays, out of service (e.g. outage). Let's do it. DoS-Flooding causes malicious users, such as hackers, to send large amounts of messages to specific destinations, causing problems such as noise generation, busy status, increased call charges, call termination, poor call quality, and poor reliability. DoS-Fuzzing allows malicious users such as hackers to send abnormal call request (INVITE) messages, causing VoIP solution equipment to fail, causing VoIP solutions to have buffer overflows during SIP parsing. It may cause problems such as malfunction of terminal or exchange equipment or out of service.

도 8은 본 발명의 실시예에 따른 보안 및 불법호 검출 방법의 스팸 탐지 기능을 도식적으로 나타낸 도면이다.8 is a diagram schematically illustrating a spam detection function of a security and illegal call detection method according to an embodiment of the present invention.

도 8을 참조하면, 본 시스템(300)은 악의적인 스팸(Spam)을 탐지하여 해당 스팸을 차단하거나 걸러낼 수 있다. 여기에서, 스팸은 자동화된 도구를 이용하여 무작위적 대량 방송되는 전자우편으로, 호 설정시에 미디어 세션으로 전달되는 광고나 홍보 미디어를 포함하는 호(Call) 스팸, SIP 메시지에 텍스트 형식의 광고 문구를 기재하여 호가 연결되지 않아도 자동으로 광고 문구를 보여주는 인스턴트 메시지(Instant Message) 스팸, 위치정보 제공 메시지를 통해 광고 문구를 삽입하여 광고를 발송하는 위치(Presence) 스팸 등의 형태를 나타내고, 사생활 침해, 금전 갈취 등의 사회문제를 유발시키는 불법호를 지칭한다.Referring to FIG. 8, the system 300 may detect malicious spam and block or filter the spam. Here, spam is an automated, tool-based, mass-broadcast email, call spam containing advertisements or promotional media delivered to media sessions at call setup, and promotional textual text in SIP messages. To indicate the form of instant message spam that automatically displays the ad text even if the call is not connected, and the location spam that inserts the ad text through the location information providing message, and sends the ad. It refers to illegal issues that cause social problems such as extortion of money.

본 실시예의 시스템(300)은 단위시간당 통화요청 횟수가 일정량을 초과하는 경우, 발신(Outbound) 또는 수신(Inbound) 통화요청량 검출이나 발신/수신 통화 패턴 분석, 또는 INVITE/SUBSCRIBE 메시지 필드 검사에 기초하여 호 스팸(Call Spam)을 검출한다. 예컨대, 본 시스템(300)은 INVITE 메시지 또는 SUBSCRIBE 메시지에 광고 분구가 포함되어 있는지 특정 필드(예컨대, From, Subject 등)에 대한 키워드 기반 콘텐츠 필터핑을 적용하여 스팸을 탐지할 수 있다.When the number of call requests per unit time exceeds a certain amount, the system 300 of the present embodiment is based on detection of outbound or inbound call requests, analysis of outgoing / received call patterns, or inspection of INVITE / SUBSCRIBE message fields. Call Spam is detected. For example, the system 300 may detect spam by applying keyword-based content filtering on a specific field (eg, From, Subject, etc.) whether an advertisement segment is included in an INVITE message or a SUBSCRIBE message.

또한, 본 시스템(300)은 단말기와 연동을 통한 스팸 신호 접속 또는 등록과 블랙리스트 적용 등으로 스팸 대응 정책을 적용한다. 여기에서, 관리자는 악성 사용자와 관련한 블랙리스트 또는 정상 사용자와 관련한 화이트리스트를 관리하고 스팸 신고를 수신할 수 있다.
In addition, the system 300 applies a spam response policy by accessing or registering a spam signal or applying a blacklist through interworking with the terminal. Here, the administrator can manage the blacklists associated with malicious users or the whitelists associated with normal users and receive spam reports.

이상에서, 바람직한 실시예들을 참조하여 본 발명을 설명하였으나, 본 발명은 상기의 실시예들에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능할 것이다. 따라서 본 발명은 첨부한 특허청구범위 및 도면 등의 전체적인 기재를 참조하여 해석되어야 할 것이며, 이의 균등 또는 등가적 변형 모두는 본 발명 사상의 범주에 속한다고 할 것이다.
In the above, the present invention has been described with reference to preferred embodiments, but the present invention is not limited to the above embodiments, and those skilled in the art to which the present invention pertains have various modifications and variations from this description. It will be possible. Therefore, the present invention should be construed with reference to the overall description of the appended claims and drawings, and all equivalent or equivalent modifications thereof will belong to the scope of the present invention.

100: 보안 및 불법호 검출 시스템
110: 인터페이스부
120: 시큐리티 검출부
130: 프라우드 검출부100: security and illegal call detection system
110:
120: security detector
130: Proud detector

Claims (15)

VoIP(Voice over Internet Protocol) 망에 연결되어 불법호 및 침입을 검출하는 보안 및 불법호 검출 시스템에 있어서,
상기 VoIP 망에 연결된 적어도 하나의 제1 단말과 적어도 하나의 제2 단말 사이에서 SIP(Session Initiation Protocol) 포트 및 RTP(Real Time Protocol) 포트 중 적어도 어느 하나를 필터링하여 SIP 시그널 또는 RTP 시그널을 캡처하는 인터페이스부;
상기 인터페이스부로부터 전달된 SIP 시그널 또는 RTP 시그널을 파싱하고, 파싱에 의해 생성된 SIP 메시지에 대하여 호(Call)를 만들기 위한 CDR(Call Detail Record)을 생성하고, 상기 SIP 메시지 또는 상기 호를 1차 분석함으로써 침입을 검출하는 시큐리티 검출부; 및
상기 시큐리티 검출부로부터 전달되는 SIP 메시지, CDR, 1차 분석 결과, 또는 이들의 조합을 2차 분석하여 불법호를 검출하는 프라우드 검출부
를 포함하되,
상기 시큐리티 검출부는,
상기 인터페이스부로부터 전달된 SIP 시그널 또는 입력 스트림을 처리하여 SIP 메시지를 구성하는 SIP 파서; 상기 SIP 파서로부터 받은 SIP 메시지에 대한 호(Call)를 생성하기 위하여 상기 SIP 메시지에 기초하여 CDR을 생성하고 생성된 CDR를 토대로 호를 분석하는 호 분석부; 및 상기 SIP 메시지의 기본 헤더들을 분석하여 상기 SIP 메시지가 정상적인 메시지인지 비정상적인 메시지인지를 검출하는 비정상 메시지 분석부를 포함하고,
상기 시큐리티 검출부는,
상기 침입에 대한 임계치 및 블랙리스트 또는 스팸 항목을 관리하는 규칙 관리부; 운용 클라이언트의 사용자 인터페이스에서의 시스템 노드, 블랙리스트 및 스팸, 임계치 관리에 대한 설정 변경시 변경 사항을 확인하여 시큐리티 검출부에게 알려주는 환경 설정부; 및 장비별 트래픽량 및 패킷량을 감시하며 미리 설정된 임계치 이상이면 경보를 발생시키는 트래픽 분석부 중 적어도 어느 하나를 더 포함하는 보안 및 불법호 검출 시스템.
In the security and illegal call detection system connected to the VoIP (Voice over Internet Protocol) network to detect illegal calls and intrusions,
Capturing at least one of a Session Initiation Protocol (SIP) port and a Real Time Protocol (RTP) port between at least one first terminal and at least one second terminal connected to the VoIP network to capture a SIP signal or an RTP signal An interface unit;
Parse the SIP signal or the RTP signal delivered from the interface unit, generate a call detail record (CDR) for making a call (Call) to the SIP message generated by parsing, and the SIP message or the call is primary A security detector for detecting an intrusion by analyzing; And
Proud detection unit for detecting illegal calls by secondary analysis of the SIP message, CDR, primary analysis result, or a combination thereof delivered from the security detection unit
Including but not limited to:
The security detector,
A SIP parser for processing a SIP signal or an input stream delivered from the interface unit to construct a SIP message; A call analyzer for generating a CDR based on the SIP message and analyzing a call based on the generated CDRs to generate a call for a SIP message received from the SIP parser; And an abnormal message analyzer for analyzing whether the SIP message is a normal message or an abnormal message by analyzing basic headers of the SIP message.
The security detector,
A rule manager which manages a threshold for the intrusion and a blacklist or spam item; An environment setting unit for checking a change in setting of system node, blacklist, spam, and threshold management in a user interface of an operation client and informing the security detection unit; And at least one of a traffic analyzer configured to monitor a traffic amount and a packet amount of each device, and generate an alarm when the amount of traffic and the packet amount are preset.
삭제delete 삭제delete 제1항에 있어서,
상기 시큐리티 검출부는,
상기 시스템의 메시지 진입점에 위치하고, 알려진 비정상 메시지가 시스템에 유입되지 못하도록 걸러내는 필터;
상기 필터를 통과하는 SIP 메시지에 기초하여 비정상 트래픽 또는 공격 징후를 검출하는 공격징후 검출부; 및
상기 공격징후 검출부로부터 전달된 의심 메시지의 공격 패턴을 분석하여 규칙을 생성하는 공격 분석부
를 더 포함하고,
상기 공격 분석부는 상기 생성한 규칙으로 상기 필터를 업데이트하고, 상기 필터는 상기 규칙에 따라 상기 의심 메시지를 필터링하는 것을 특징으로 하는 보안 및 불법호 검출 시스템.
The method of claim 1,
The security detector,
A filter located at a message entry point of the system and filtering out known abnormal messages from entering the system;
An attack symptom detection unit for detecting abnormal traffic or an attack indication based on the SIP message passing through the filter; And
Attack analysis unit for generating a rule by analyzing the attack pattern of the suspicious message transmitted from the attack symptom detection unit
Further comprising:
The attack analysis unit updates the filter with the generated rule, and the filter filters the suspicious message according to the rule.
제1항에 있어서,
상기 프라우드 검출부는, 특정시간에 대량의 호 발생 및 특정 발신번호에 대한 대량의 호 발생을 검출하는 보이스 피싱 검출부; 가입자 그룹별 CDR 정보를 분석하고 임계치와 비교하여 불법호를 검출하는 가입자 불법호 검출부; PPS(Personal Public Service) 가입자가 선불금액의 삭감없이 호를 사용하여 수익의 누수를 발생시키는 불법호를 검출하는 PPS 불법호 검출부; 특정 국가로 지정된 국가로부터 또는 상기 국가로 다량 호를 발생시키는 불법호를 검출하는 특정국가 불법호 검출부; 최대통화시간(Long Duration)을 유무선 대체 상품(FMS: Fixed Mobile Substitution)의 패턴으로 설정하여 임계치 이상의 통화시간(Duration) 발생시 해당 호를 불법호로 검출하는 최대통화시간 불법호 검출부; 및 특정 PABX(Private Automatic Branch eXchange) 시스템을 이용한 호 전달(Call Forwarding) 서비스를 통해 정상 과금 이하의 과금을 발생시켜 수익의 누수를 발생시키는 불법호를 검출하는 리필링(Refiling) 불법호 검출부 중 적어도 어느 하나를 포함하는 보안 및 불법호 검출 시스템.
The method of claim 1,
The proud detection unit may include: a voice phishing detection unit detecting a large number of call occurrences and a large number of call generations for a specific calling number at a specific time; A subscriber illegal call detection unit that analyzes CDR information for each subscriber group and detects illegal calls by comparing with a threshold; A PPS illegal call detection unit that detects an illegal call that causes a leak of revenue by using a call without a reduction in a prepaid amount of money by a PPS subscriber; A specific country illegal call detection unit for detecting an illegal call generating a large number of calls from or to a country designated as a specific country; A maximum call time illegal call detection unit configured to set a long duration as a pattern of fixed mobile substitution (FMS) to detect a corresponding call as an illegal call when a duration of talk time exceeding a threshold occurs; And a refilling illegal call detection unit that detects an illegal call generating a leak of profit by generating a charge below a normal charge through a call forwarding service using a specific Private Automatic Branch eXchange (PABX) system. Security and illegal call detection system comprising any one.
VoIP(Voice over Internet Protocol) 망에 연결된 시스템을 통해 불법호 및 침입을 검출하는 보안 및 불법호 검출 방법에 있어서,
상기 VoIP 망에 연결된 적어도 하나의 제1 단말과 적어도 하나의 제2 단말 사이에서 SIP(Session Initiation Protocol) 포트 및 RTP(Real Time Protocol) 포트 중 적어도 어느 하나를 필터링하여 SIP 시그널 또는 RTP 시그널을 획득하는 제1 단계;
상기 획득한 SIP 시그널 또는 RTP 시그널을 파싱하는 제2 단계;
상기 파싱에 의해 생성된 SIP 메시지에 대하여 호(Call)를 만들기 위한 CDR(Call Detail Record)을 생성하는 제3 단계;
상기 생성된 CDR에 의해 구성되는 호 또는 상기 SIP 메시지를 1차 분석하여 침입을 검출하는 제4 단계; 및
상기 SIP 메시지, CDR, 1차 분석 결과, 또는 이들의 조합을 2차 분석하여 불법호를 검출하는 제5 단계
를 포함하되,
상기 침입에 대한 임계치 및 블랙리스트 또는 스팸 항목을 소정 저장부에 저장하고 관리하는 단계; 운용 클라이언트의 사용자 인터페이스에서의 시스템 노드, 블랙리스트 및 스팸, 임계치 관리에 대한 설정 변경시 변경 사항을 확인하여 시스템에 알려주는 단계; 및 장비별 트래픽량 및 패킷량을 감시하며 미리 설정된 임계치 이상이면 경보를 발생시키는 단계 중 적어도 어느 하나를 더 포함하는 보안 및 불법호 검출 방법.
A security and illegal call detection method for detecting illegal calls and intrusions through a system connected to a VoIP (Voice over Internet Protocol) network,
Obtaining a SIP signal or an RTP signal by filtering at least one of a Session Initiation Protocol (SIP) port and a Real Time Protocol (RTP) port between at least one first terminal and at least one second terminal connected to the VoIP network First step;
Parsing the obtained SIP signal or RTP signal;
A third step of generating a call detail record (CDR) for making a call to the SIP message generated by the parsing;
A fourth step of detecting an intrusion by first analyzing the call or the SIP message constituted by the generated CDR; And
A fifth step of detecting an illegal call by performing secondary analysis on the SIP message, CDR, primary analysis result, or a combination thereof
Including but not limited to:
Storing and managing a threshold for the intrusion and a blacklist or spam item in a predetermined storage unit; Checking a change in setting of a system node, a blacklist and spam, and a threshold management in a user interface of the operation client, and notifying the system of the change; And monitoring at least a traffic amount and a packet amount of each device, and generating an alarm when the amount of traffic is equal to or greater than a preset threshold.
삭제delete 제6항에 있어서,
상기 제4 단계는, 상기 SIP 메시지의 기본 헤더들을 분석하여 정상적인 메시지인지 비정상적인 메시지인지를 판단하는 단계를 포함하는 보안 및 불법호 검출 방법.
The method according to claim 6,
The fourth step may include analyzing basic headers of the SIP message to determine whether the message is a normal message or an abnormal message.
제6항에 있어서,
상기 제4 단계는, SIP 포트 및 RTP 랜덤 포트에 대한 침입 검출, SIP 헤더필드에 포함된 URI(Uniform Resource Identifier) 주소 기반의 침입 검출, 및 SIP와 RTP의 연관성 분석에 의한 비정상 RTP 미디어 트래픽 검출 중 적어도 어느 하나를 수행하는 단계를 포함하는 보안 및 불법호 검출 방법.
The method according to claim 6,
The fourth step includes detecting an intrusion on a SIP port and an RTP random port, detecting an intrusion based on a Uniform Resource Identifier (URI) address included in a SIP header field, and detecting abnormal RTP media traffic by analyzing an association between SIP and RTP. Security and illegal call detection method comprising the step of performing at least one.
제6항에 있어서,
상기 제4 단계는,
상기 SIP 메시지의 플러딩 공격에 대한 공격 징후를 미리 설정된 임계치에 따라 검출하는 단계;
상기 공격 징후의 검출에 기초하여 공격 패턴을 분석하고 분석한 정보로부터 규칙을 생성하는 단계; 및
상기 생성한 규칙에 의하여 비정상 메시지, 블랙리스트, 스팸, 플러딩, 또는 이들의 조합 형태의 침입을 검출하고 검출한 침입에 상응하는 SIP 메시지를 필터링하는 단계를 포함하는 보안 및 불법호 검출 방법.
The method according to claim 6,
In the fourth step,
Detecting an attack indication for a flooding attack of the SIP message according to a preset threshold;
Analyzing the attack pattern based on the detection of the attack indication and generating a rule from the analyzed information; And
Detecting an intrusion in the form of an abnormal message, a blacklist, spam, flooding, or a combination thereof according to the generated rule and filtering a SIP message corresponding to the detected intrusion.
제6항에 있어서,
상기 제4 단계는, SIP 메소드 또는 상태코드에 따라 검출 규칙을 구성하고, 구성된 검출 규칙에 따라 블랙리스트를 등록하고, 등록된 블랙리스트에 상응하는 침입을 검출하는 단계를 포함하는 보안 및 불법호 검출 방법.
The method according to claim 6,
The fourth step includes configuring a detection rule according to a SIP method or status code, registering a blacklist according to the configured detection rule, and detecting an intrusion corresponding to the registered blacklist. Way.
제6항에 있어서,
상기 제4 단계는, 특정 서비스 또는 패턴을 가진 패킷이 단위시간 동안 일정 데이터량을 초과하는 것을 검출하는 단계; 및 소스 및 대상 주소, 단위 데이터 흐름의 바이트 수 및 패킷 수, 트래픽 유입 인터페이스, 업스트림 피어 정보 중 적어도 하나를 모니터링하여 침입을 검출하는 단계 중 적어도 어느 하나를 포함하는 보안 및 불법호 검출 방법.
The method according to claim 6,
The fourth step may include detecting that a packet having a specific service or pattern exceeds a certain amount of data for a unit time; And detecting at least one of the source and destination addresses, the byte number and packet number of the unit data flow, the traffic inflow interface, and the upstream peer information to detect the intrusion.
제6항에 있어서,
상기 제4 단계는, 발신량 또는 수신량을 포함한 단위시간당 통화요청 횟수 또는 호 발생 인터벌을 검출하여 스팸 여부를 판단하는 단계를 포함하는 보안 및 불법호 검출 방법.
The method according to claim 6,
The fourth step may include detecting a spam or not by detecting a number of call requests or a call occurrence interval per unit time including a transmission amount or a reception amount.
제6항에 있어서,
상기 제5 단계는, 보이스 피싱 검출, 가입자 불법호 검출, PPS(Personal Protection Specialist) 불법호 검출, 특정국가 불법호 검출, 최대통화시간(Long Duration) 불법호 검출, 리필링(Refiling) 불법호 검출, 패턴분석 불법호 검출, 예외패턴 검출, 패턴 분석, 블랙리스트 검출, 임계치 검출, 또는 이들의 조합을 수행하는 단계를 포함하는 보안 및 불법호 검출 방법.
The method according to claim 6,
In the fifth step, voice phishing detection, illegal subscriber detection, personal protection specialist (PPS) illegal call detection, specific country illegal call detection, long duration illegal call detection, refilling illegal call detection And performing pattern analysis illegal call detection, exception pattern detection, pattern analysis, blacklist detection, threshold detection, or a combination thereof.
제6항에 있어서,
상기 제5 단계는,
상기 SIP 메시지, CDR 및 1차 분석 결과 중 적어도 어느 하나와 미리 저장된 사용자 프로파일이나 고객 데이터 및 빌링 데이터 중 적어도 어느 하나를 포함한 필요 데이터의 필드를 분석하고 요구사항을 정의하는 단계;
상기 요구사항에 기초하여 분석 알고리즘을 선정하는 단계;
상기 선정한 분석 알고리즘에 따라 조건별 데이터를 추출하는 단계;
상기 추출한 조건별 데이터를 변환하며 파생 변수를 생성하는 단계;
상기 변환에 의한 데이터 분석 결과에 따라 파생 변수 중 유의미한 변수를 선정하는 단계;
상기 선정한 유의미한 변수를 사용하여 모델 규칙을 생성하는 단계; 및
상기 생성한 모델 규칙에 기초하여 미리 설정된 모델 중 최적 모델을 선택하고 선택한 최적 모델을 이용하여 2차 분석 결과를 산출하는 단계
를 포함하는 보안 및 불법호 검출 방법.The method according to claim 6,
The fifth step,
Analyzing a field of necessary data including at least one of the SIP message, the CDR, and the primary analysis result and at least one of a pre-stored user profile or customer data and billing data;
Selecting an analysis algorithm based on the requirement;
Extracting data for each condition according to the selected analysis algorithm;
Converting the extracted conditional data and generating a derived variable;
Selecting a significant variable among the derived variables according to the data analysis result by the transformation;
Generating a model rule using the selected significant variable; And
Selecting an optimal model among preset models based on the generated model rule and calculating a second analysis result using the selected optimal model
Security and illegal call detection method comprising a.
KR1020110069921A 2011-07-14 2011-07-14 Fraud security detection system and method Active KR101218253B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110069921A KR101218253B1 (en) 2011-07-14 2011-07-14 Fraud security detection system and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110069921A KR101218253B1 (en) 2011-07-14 2011-07-14 Fraud security detection system and method

Publications (1)

Publication Number Publication Date
KR101218253B1 true KR101218253B1 (en) 2013-01-21

Family

ID=47841116

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110069921A Active KR101218253B1 (en) 2011-07-14 2011-07-14 Fraud security detection system and method

Country Status (1)

Country Link
KR (1) KR101218253B1 (en)

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101492733B1 (en) * 2013-10-02 2015-02-12 서울과학기술대학교 산학협력단 Method for detecting toll fraud attack in Voice over Internet Protocol service using novelty detection technique
KR101506982B1 (en) * 2013-12-11 2015-03-30 (주)엔컴 System and method for detecting and bclocking illegal call through data network
KR101535716B1 (en) * 2013-09-10 2015-07-09 이화여자대학교 산학협력단 Apparatus and method for detecting attacks using data mining
KR101554914B1 (en) * 2014-07-03 2015-09-25 주식회사 지니테크 Apparatus for detecting illegal call, control method thereof, and recording medium for recording program for executing the control method
WO2015163563A1 (en) * 2014-04-23 2015-10-29 주식회사 케이티 Illegal internet international outgoing call cut-off device and illegal internet international outgoing call cut-off method using pattern matching
KR101571100B1 (en) * 2014-09-04 2015-11-23 주식회사 케이티 Device and method for detecting illegal originating call by using pattern analysis
KR101618730B1 (en) * 2014-04-23 2016-05-09 주식회사 케이티 Device for blocking illegal internet international originating call and method for blocking illegal internet international originating call
KR101630838B1 (en) * 2014-12-31 2016-06-15 주식회사 크레블 Method of detecting toll bypass fraud
CN107070741A (en) * 2017-03-13 2017-08-18 中国人民解放军信息工程大学 A kind of voip network topology detection method analyzed based on gateway space time correlation
KR101787072B1 (en) 2014-09-05 2017-10-18 주식회사 케이티 System for detecting illegal internet international originating call using teminal double registration detection and method for detecting illegal internet international origination call
KR20180046759A (en) * 2016-10-28 2018-05-09 주식회사 케이티 Method for providing voice disconnect call location and radio quality by in-building site, and communication quality analysis system
KR20210023284A (en) * 2019-08-22 2021-03-04 주식회사 지니테크 System for detecting illegal call using machine learning and control method thereof
CN116016274A (en) * 2022-12-29 2023-04-25 南京融军建科技有限公司 Abnormal communication detection method and system

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100838811B1 (en) * 2007-02-15 2008-06-19 한국정보보호진흥원 Secure session control device for secure PIN service
KR20080065974A (en) * 2005-09-16 2008-07-15 아이볼네트워크 인코포레이티드 Method and system for preventing spam via Internet phone
KR101095861B1 (en) 2010-08-05 2011-12-21 주식회사 윈스테크넷 Internet telephone firewall device with phone number based call restriction technology and its control method

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080065974A (en) * 2005-09-16 2008-07-15 아이볼네트워크 인코포레이티드 Method and system for preventing spam via Internet phone
KR100838811B1 (en) * 2007-02-15 2008-06-19 한국정보보호진흥원 Secure session control device for secure PIN service
KR101095861B1 (en) 2010-08-05 2011-12-21 주식회사 윈스테크넷 Internet telephone firewall device with phone number based call restriction technology and its control method

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101535716B1 (en) * 2013-09-10 2015-07-09 이화여자대학교 산학협력단 Apparatus and method for detecting attacks using data mining
KR101492733B1 (en) * 2013-10-02 2015-02-12 서울과학기술대학교 산학협력단 Method for detecting toll fraud attack in Voice over Internet Protocol service using novelty detection technique
KR101506982B1 (en) * 2013-12-11 2015-03-30 (주)엔컴 System and method for detecting and bclocking illegal call through data network
WO2015163563A1 (en) * 2014-04-23 2015-10-29 주식회사 케이티 Illegal internet international outgoing call cut-off device and illegal internet international outgoing call cut-off method using pattern matching
KR101618730B1 (en) * 2014-04-23 2016-05-09 주식회사 케이티 Device for blocking illegal internet international originating call and method for blocking illegal internet international originating call
KR101554914B1 (en) * 2014-07-03 2015-09-25 주식회사 지니테크 Apparatus for detecting illegal call, control method thereof, and recording medium for recording program for executing the control method
KR101571100B1 (en) * 2014-09-04 2015-11-23 주식회사 케이티 Device and method for detecting illegal originating call by using pattern analysis
KR101787072B1 (en) 2014-09-05 2017-10-18 주식회사 케이티 System for detecting illegal internet international originating call using teminal double registration detection and method for detecting illegal internet international origination call
KR101630838B1 (en) * 2014-12-31 2016-06-15 주식회사 크레블 Method of detecting toll bypass fraud
KR102088425B1 (en) 2016-10-28 2020-03-12 주식회사 케이티 Method for providing voice disconnect call location and radio quality by in-building site, and communication quality analysis system
KR20180046759A (en) * 2016-10-28 2018-05-09 주식회사 케이티 Method for providing voice disconnect call location and radio quality by in-building site, and communication quality analysis system
CN107070741B (en) * 2017-03-13 2019-06-28 中国人民解放军信息工程大学 A kind of voip network topology detection method based on the analysis of gateway space time correlation
CN107070741A (en) * 2017-03-13 2017-08-18 中国人民解放军信息工程大学 A kind of voip network topology detection method analyzed based on gateway space time correlation
KR20210023284A (en) * 2019-08-22 2021-03-04 주식회사 지니테크 System for detecting illegal call using machine learning and control method thereof
KR102228021B1 (en) 2019-08-22 2021-03-16 주식회사 지니테크 System for detecting illegal call using machine learning and control method thereof
CN116016274A (en) * 2022-12-29 2023-04-25 南京融军建科技有限公司 Abnormal communication detection method and system
CN116016274B (en) * 2022-12-29 2023-11-24 天航长鹰(江苏)科技有限公司 Abnormal communication detection method and system

Similar Documents

Publication Publication Date Title
KR101218253B1 (en) Fraud security detection system and method
Tu et al. Sok: Everyone hates robocalls: A survey of techniques against telephone spam
Keromytis A comprehensive survey of voice over IP security research
US7197560B2 (en) Communications system with fraud monitoring
US8522344B2 (en) Theft of service architectural integrity validation tools for session initiation protocol (SIP)-based systems
KR101107742B1 (en) SIP intrusion detection and response system for the protection of SPI-based services
EP3577886B1 (en) Detection and prevention of unwanted calls in a telecommunications system
FR2909823A1 (en) METHOD AND SYSTEM FOR MANAGING MULTIMEDIA SESSIONS, FOR CONTROLLING THE ESTABLISHMENT OF COMMUNICATION CHANNELS
Song et al. iVisher: Real‐time detection of caller ID spoofing
CN109561051A (en) Content distributing network safety detection method and system
Keromytis A survey of voice over IP security research
Lee et al. VoIP-aware network attack detection based on statistics and behavior of SIP traffic
Gruber et al. Voice calls for free: How the black market establishes free phone calls—Trapped and uncovered by a VoIP honeynet
Hoffstadt et al. A comprehensive framework for detecting and preventing VoIP fraud and misuse
Aziz et al. A distributed infrastructure to analyse SIP attacks in the Internet
Keromytis Voice over IP Security: A Comprehensive Survey of Vulnerabilities and Academic Research
Srihari et al. Security aspects of SIP based VoIP networks: A survey
Ha et al. Design and implementation of SIP-aware DDoS attack detection system
KR101466895B1 (en) Method of detecting voip fraud, apparatus performing the same and storage media storing the same
WO2019190438A2 (en) Ott bypass fraud detection by using call detail record and voice quality analytics
Kapourniotis et al. Scam and fraud detection in VoIP Networks: Analysis and countermeasures using user profiling
Scata et al. Security analysis and countermeasures assessment against spit attacks on voip systems
KR101379779B1 (en) Caller Information Modulated Voice/Message Phishing Detecting and Blocking Method
Lema et al. Security Enhancement of SIP Protocol in VoIP Communication
WO2020212275A1 (en) System and method for detecting fraud in international telecommunication traffic

Legal Events

Date Code Title Description
A201 Request for examination
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20110714

PA0201 Request for examination
E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20120725

Patent event code: PE09021S01D

E701 Decision to grant or registration of patent right
PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20121221

GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20121227

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20121228

End annual number: 3

Start annual number: 1

PG1601 Publication of registration
FPAY Annual fee payment

Payment date: 20151012

Year of fee payment: 4

PR1001 Payment of annual fee

Payment date: 20151012

Start annual number: 4

End annual number: 4

FPAY Annual fee payment

Payment date: 20161017

Year of fee payment: 5

PR1001 Payment of annual fee

Payment date: 20161017

Start annual number: 5

End annual number: 5

FPAY Annual fee payment

Payment date: 20191010

Year of fee payment: 8

PR1001 Payment of annual fee

Payment date: 20191010

Start annual number: 8

End annual number: 8