公开(公告)号：KR101071506B1

公开(公告)日：2011-10-10

申请号：KR1020090133816

申请日：2009-12-30

Applicant: 아주대학교산학협력단

Inventor： 노병희 ,  류제택

IPC: H04L12/22 ,  H04W12/12

Abstract: SIP CANCEL 플러딩공격탐지방법및 장치가개시된다. 본발명의실시예에따른 SIP CANCEL 플러딩공격탐지방법은, 현재단위시간에서진행중인 SIP 세션 INVITE 요청수를이용하여현재단위시간에서발생가능한 CANCEL 메시지수를도출하는단계; 설정시간내에 SIP 세션 INVITE 요청에대한응답을받지못해 SIP 세션요청을재전송하는비율과상기도출된 CANCEL 메시지수를이용하여현재단위시간에서발생가능한 CANCEL 메시지수의임계치값을구하는단계; 상기도출된 CANCEL 메시지의수와현재단위시간의이전단위시간에서의가중평균 CANCEL 메시지수를이용하여현재단위시간에서의가중평균 CANCEL 메시지수를구하는단계; 및상기현재단위시간의가중평균 CANCEL 메시지수와현재단위시간에서 CANCEL 메시지수의임계치값을비교하여, 현재단위시간에서의 CANCEL 메시지플로딩공격여부를결정하는단계를포함한다.

公开(公告)号：KR1020110077291A

公开(公告)日：2011-07-07

申请号：KR1020090133816

申请日：2009-12-30

Applicant: 아주대학교산학협력단

Inventor： 노병희 ,  류제택

IPC: H04L12/22 ,  H04W12/12

CPC classification number: H04L63/1416 ,  H04L43/16 ,  H04L65/1006

Abstract: PURPOSE: A SIP(Session Initiation Protocol) cancel flooding attack detection method and an apparatus thereof are provided to performing SIP(Session Initiation Protocol) cancel flooding attack detection that reflects a network situation in real time. CONSTITUTION: A threshold value generating unit(10) obtains a possible threshold value of a cancel message number at a present unit time. A weighted average generating unit(11) obtains a weighted cancel message number at the present unit time using a number of weight average cancel messages before the present unit time. An attack decision unit(12) compares the threshold value of the cancel message number to weighted cancel message number at the present unit time. The attack decision unit determines cancel message flooding at the present unit time.

Abstract translation: 目的：提供SIP（会话发起协议）消除洪泛攻击检测方法及其装置，以实时反映网络情况的SIP（会话发起协议）取消洪泛攻击检测。 构成：阈值生成单元（10）在当前单位时间获取取消消息号码的可能阈值。 加权平均生成单元（11）使用当前单位时间之前的重量平均取消消息的数量，在当前单位时间获取加权取消消息号码。 攻击判定单元（12）将取消消息号的阈值与当前单位时间的加权取消消息号进行比较。 攻击判定单元在当前单位时间确定取消消息洪泛。

公开(公告)号：KR101381614B1

公开(公告)日：2014-04-10

申请号：KR1020120118408

申请日：2012-10-24

Applicant: 아주대학교산학협력단

Inventor： 김주완 ,  류제택 ,  류기열 ,  노병희

IPC: H04L12/26 ,  H04L12/22 ,  H04L29/06

CPC classification number: H04L63/1458 ,  H04L63/1416 ,  H04L65/1006

Abstract: Disclosed are an apparatus and a method for counteracting against SIP service denial attack using a bloom filter. An apparatus for counteracting against SIP service denial attack according to an embodiment of the present invention comprises a whitelist management unit for forming a whitelist by recording session information of a corresponding session in a bloom filter when the session is normally constructed using a session initiation protocol (SIP) server; an attack detection unit for detecting the occurrence of the SIP service denial attack based on how many times the whitelist does not include the session information included in each of SIP messages loaded into the SIP server from a network in a unit time period; and a filtering unit for filtering the SIP message loaded into the SIP server after the attack is occurred according to the existence of the session information in the SIP message loaded into the SIP server after the SIP service denial attack is occurred in the whitelist. [Reference numerals] (10) SIP service denial attack counteracting device; (11) White list management unit; (12) White list configuration unit; (13) White list; (14) Attack detection unit; (15) Calculation unit; (16) Attack determination unit; (17) Selecting operation control unit; (18) Selecting unit; (19) White list request unit; (20) Attack message determination unit; (21) Selection control unit; (30) SIP server; (AA) SIP message

Abstract translation: 公开了一种用于使用bloom过滤器来抵消针对SIP服务拒绝攻击的装置和方法。 根据本发明的实施例的用于抵消SIP服务拒绝攻击的装置包括：白名单管理单元，用于通过在会话正常使用会话发起协议构建会话时通过在布隆过滤器中记录相应会话的会话信息来形成白名单（whitelist） SIP）服务器; 攻击检测单元，用于基于白名单在单位时间段内不包括从网络加载到SIP服务器的每个SIP消息中包括的会话信息的多少次来检测SIP服务拒绝攻击的发生; 以及过滤单元，用于在发起攻击之后，根据在白名单中发生SIP服务拒绝攻击之后加载到SIP服务器中的SIP消息中的会话信息的存在来过滤加载到SIP服务器中的SIP消息。 （附图标记）（10）SIP服务拒绝攻击对抗装置; （11）白名单管理单位; （12）白名单配置单位; （13）白名单; （14）攻击检测单元; （15）计算单位; （16）攻击判定单元; （17）选择运行控制单元; （18）选择单位; （19）白名单要求单位; （20）攻击消息确定​​单元; （21）选择控制单元; （30）SIP服务器; （AA）SIP消息

公开(公告)号：KR1020110077285A

公开(公告)日：2011-07-07

申请号：KR1020090133808

申请日：2009-12-30

Applicant: 아주대학교산학협력단

Inventor： 노병희 ,  류제택

IPC: H04L12/22 ,  H04W12/12

CPC classification number: H04L63/1416 ,  H04L43/16 ,  H04L65/1006

Abstract: PURPOSE: A SIP(Session Initiation Protocol) BYE flooding attack detection method and apparatus thereof are provided to perform SIP BYE flooding attack detection by reflecting a network situation in real time. CONSTITUTION: A threshold generating unit(10) obtains a possible threshold value of a BYE message number from a present unit time. A weighted average generating unit obtains the average BYE message numbers at the present unit time by using a weighted average BYE message number at a previous unit time of the present unit time and the number of deduced BYE messages. An attack decision unit(12) determines whether or not to compare the threshold value of the BYE message number to the following weighting average BYE message number at the present unit time. The attack decision unit determines a BYE message flooding attack at the present unit time.

Abstract translation: 目的：提供SIP（会话发起协议）BYE泛洪攻击检测方法及其装置，通过实时反映网络情况来执行SIP BYE泛洪攻击检测。 构成：阈值生成单元（10）从当前单位时间获取BYE消息号码的可能阈值。 加权平均生成单元通过使用当前单位时间的前一单位时间的加权平均BYE消息号和推断的BYE消息的数量，在当前单位时间获得平均BYE消息号。 攻击判定单元（12）确定是否将BYE消息号的阈值与当前单位时间的后续加权平均BYE消息号进行比较。 攻击判定单元在当前单位时间确定BYE消息洪泛攻击。

公开(公告)号：KR101069462B1

公开(公告)日：2011-09-30

申请号：KR1020090133808

申请日：2009-12-30

Applicant: 아주대학교산학협력단

Inventor： 노병희 ,  류제택

IPC: H04L12/22 ,  H04W12/12

Abstract: SIP BYE 플러딩 공격 탐지 방법 및 장치가 개시된다. 본 발명의 실시예에 따른 SIP BYE 플러딩 공격 탐지 방법은, 현재 단위시간에서 진행중인 SIP 세션 INVITE 요청 수를 이용하여 현재 단위시간에서 발생 가능한 BYE 메시지 수를 도출하는 단계; 설정 시간 내에 SIP 세션 INVITE 요청에 대한 응답을 받지 못해 SIP 세션 요청을 재전송하는 비율과 상기 도출된 BYE 메시지 수를 이용하여 현재 단위시간에서 발생 가능한 BYE 메시지 수의 임계치 값을 구하는 단계; 상기 도출된 BYE 메시지의 수와 현재 단위 시간의 이전 단위시간에서의 가중평균 BYE 메시지 수를 이용하여 현재 단위 시간에서의 가중 평균 BYE 메시지 수를 구하는 단계; 및 상기 현재 단위 시간의 가중 평균 BYE 메시지 수와 현재 단위시간에서 BYE 메시지 수의 임계치 값을 비교하여, 현재 단위시간에서의 BYE 메시지 플로딩 공격 여부를 결정하는 단계를 포함한다.
SIP BYE 플러딩 공격

公开(公告)号：KR1020110055768A

公开(公告)日：2011-05-26

申请号：KR1020090112315

申请日：2009-11-20

Applicant: 아주대학교산학협력단

Inventor： 노병희 ,  류제택

IPC: G06F21/55 ,  H04L12/22

CPC classification number: H04L63/1458 ,  H04L63/1425 ,  H04L63/168

Abstract: PURPOSE: A maximum value determination method of a generation message and SIP INVITE flooding attacks detection method are provided to accurately detect SIP INVITE flooding attack by using the maximum value of a generation message. CONSTITUTION: The number of weighted average basis messages is calculated by determined message maximum value(S20). The number of weighted average basis messages is compared with the maximum value of generable messages. A critical value which indicates an attack state is compared with threshold value which indicates an alarm state(S31, S32). A normal state, the attack state, and the alarm state are detected according to a comparison result.

Abstract translation: 目的：提供生成消息和SIP INVITE洪泛攻击检测方法的最大值确定方法，以通过使用生成消息的最大值来准确地检测SIP INVITE洪泛攻击。 构成：通过确定的消息最大值计算加权平均基础消息的数量（S20）。 将加权平均基础消息的数量与可生成消息的最大值进行比较。 将表示攻击状态的临界值与指示报警状态的阈值进行比较（S31，S32）。 根据比较结果检测正常状态，攻击状态和报警状态。