<323220C0CCC7FCBFEC2DB0F8B1E220C1A4BAB8B8A620C0CCBFEBC7D120BAF1C1A4BBF C6D0C5B620B0F8B0DDC5BDC1F620B1E2B9FD2E687770>

Size: px

Start display at page:

Download "<323220C0CCC7FCBFEC2DB0F8B1E220C1A4BAB8B8A620C0CCBFEBC7D120BAF1C1A4BBF C6D0C5B620B0F8B0DDC5BDC1F620B1E2B9FD2E687770>"

정남 비
6 years ago
Views:

1 한국산학기술학회논문지 Vol. 11, No. 1, pp , 2010 공기정보를이용한비정상 SIP 패킷공격탐지기법 김득용 1, 이형우 2* 1 한신대학교컴퓨터공학부 Abnormal SIP Packet Detection Mechanism using Co-occurrence Information Deuk-Young Kim 1 and Hyung-Woo Lee 2* 1 School of Computer Engineering, Hanshin University 요약 SIP(Session Initiation Protocol) 는 IP 기반의 VoIP(Voice over IP) 서비스를실현하기위한시그널링프로토콜이다. 그러나 SIP 프로토콜은기존의 IP 망을활용하기때문에많은보안취약점이존재한다. 특히 SIP 헤더의정보를변경하여전송하는 SIP Malformed 메시지공격같은경우 VoIP 서비스의오작동을유발하거나, 악성코드를삽입하여 SIP 클라이언트시스템내개인정보를유출하는등심각한문제점을보이고있어이에대한대체방안이제시되어야한다. 이에본논문에서는 SIP Malformed 메시지공격탐지에대한기존의연구를분석하고, 언어처리에서단어의연관성을분석하는기법으로사용되는공기정보 (Co-occurrence Information) 와네트워크에서발생하는실제 SIP 세션상태정보를반영하여 SIP 연관규칙패턴을생성하는기법을제안하였다. 본논문에서제안한공기정보기반 SIP 연관규칙패턴을이용하여 SIP 비정상메시지공격을탐지한결과평균 87% 의탐지율을보였다. Abstract SIP (Session Initiation Protocol) is a signaling protocol to provide IP-based VoIP (Voice over IP) service. However, many security vulnerabilities exist as the SIP protocol utilizes the existing IP based network. The SIP Malformed message attacks may cause malfunction on VoIP services by changing the transmitted SIP header information. Additionally, there are several threats such that an attacker can extract personal information on SIP client system by inserting malicious code into SIP header. Therefore, the alternative measures should be required. In this study, we analyzed the existing research on the SIP anomaly message detection mechanism against SIP attack. And then, we proposed a Co-occurrence based SIP packet analysis mechanism, which has been used on language processing techniques. We proposed a association rule generation and an attack detection technique by using the actual SIP session state. Experimental results showed that the average detection rate was 87% on SIP attacks in case of using the proposed technique. Key Words : SIP, Attack Detection, Co-Occurrence, Association Rule, Malformed Message 1. 서론 SIP 프로토콜 (Session Initiation Protocol)[1] 은초고속통신망과인터넷응용기술의발전으로일반화되어가고있는 IP 기반의 Voice over IP(VoIP) 서비스를실현하는프로토콜기술이며, 상용전화서비스를위해제시된 H.323 표준기술을대체할목적으로 IETF(Internet Engineering Task Force) 에서개발된시그널링프로토콜이다. 그러나 VoIP 서비스를실현하기위한통신기술인 SIP 프로토콜은기존의 IP망을그대로활용하기때문에개방형인터넷에서발생할수있는보안취약성뿐만아니라세션설정을위한시그널링으로인하여 SIP 프로토콜작동단계에서다양한형태의공격이가능하다. SIP 프로토 본논문은지식경제부및정보통신산업진흥원의대학 IT 연구센터지원사업의연구결과로수행되었음 (NIPA-2009-(C ) * 교신저자 : 이형우 (hwlee@hs.ac.kr) 접수일 09 년 11 월 11 일수정일 (1 차 09 년 12 월 14 일, 2 차 10 년 01 월 07 일 ) 게재확정일 10 년 01 월 20 일 130

공기정보를이용한비정상 SIP 패킷공격탐지기법 콜에서발생하는공격형태는크게 Malformed 메시지전송공격, SIP Flooding 공격같은서비스거부공격 (Denial of Service) 과세션 Hijacking, 통화방해공격및 Spam 전송과같은서비스오용공격등으로나눌수있어이에대한대응기술이요구된다.

2 공기정보를이용한비정상 SIP 패킷공격탐지기법 콜에서발생하는공격형태는크게 Malformed 메시지전송공격, SIP Flooding 공격같은서비스거부공격 (Denial of Service) 과세션 Hijacking, 통화방해공격및 Spam 전송과같은서비스오용공격등으로나눌수있어이에대한대응기술이요구된다. 현재 SIP 서비스거부공격에대한대응기법으로는 SIP 프로토콜자체에암호화방식을접목한연구 [2,3] 가진행되었으며, SIP Flooding 공격의경우상태전이모델 (State Transition Model)[4] 를이용하거나, 발생메시지의상한값을고려한 SIP INVITE 기반의 SIP Flooding 공격탐지방법 [5] 등의연구가수행되었다. 하지만 SIP는텍스트기반의시그널링프로토콜이기때문에악의적공격자에의해 SIP 메시지헤더부분에다른문자들을삽입하거나변조및삭제등과같은 SIP 헤더정보를변경하여전송하는 SIP Malformed 메시지공격에취약하다. 이경우 SIP 프락시서버는수신된 SIP 패킷에서삭제, 삽입, 변조된 SIP 헤더부분을식별및판단하기어려워이에대한연구가필요하다. 이를해결하기위한방법으로 RFC 3261에서규정한 250여개의 ABNF(Augmented Backus-Naur Form) 규칙을이용하여송 수신되는 SIP 패킷에대하여정규표현식을체크한후이를바탕으로 SIP Malformed 메시지공격유 무를판단하는방법 [6] 만이제안되었다. 하지만, 이러한방식은네트워크에서발생하는실제 SIP 트래픽데이터의상태를반영하지않았을뿐만아니라 SIP 메시지에서나타나는토큰들의형식만을정규표현식으로나타내었기때문에 SIP 헤더의정보를변경하여전송하는 SIP Malformed 메시지공격에능동적으로대응할수없다는문제점이있다. 언어정보처리분야에서공기정보 (Co-occurrence Information) 를이용하여문서내핵심어를추출하거나, 유사한단어를추출하는데사용하는기법 [7,8,9] 이제시되었다. 이기법을사용할경우효율적으로문서정보내핵심정보를추출할수있으며, 문서내에포함된단어간연관규칙정보를획득할수있다. 따라서이와같은단어의연관성을분석하는공기정보기반분석기법을 SIP 패킷에적용할경우비정상행위및공격판단에적용가능하다. 본논문에서는 SIP 프락시에송 수신되는 SIP 패킷중에서 Malformed 메시지를보다효율적이면서도정확하게탐지하기위해공기정보를이용하였다. 현재의네트워크에서발생하는 SIP 헤더메시지에있는토큰들사이의연관성을분석하고, 이를기반으로 SIP 연관규칙패턴을생성하여 SIP Malformed 패킷을분류및공격을탐지하는방법을제안하였다. 본논문의구성은다음과같다. 2장에서는 SIP 프로토콜의취약점과공기정보기반분석기법을제시하고, 3장에서는공기정보를이용하여 SIP 연관규칙패턴을생성하는기법과이를이용하여공격을탐지하는기법을제시한다. 그리고 4장에서는제안한탐지기법에대한실험및성능평가를하였으며마지막으로결론및향후연구를제시하였다. 2. 관련연구 2.1 SIP 프로토콜분석 SIP[1] 는텍스트기반의응용프로그램계층신호및호출제어를하는시그널링프로토콜로서, 구현이용이하며인터넷에서사용되는다른많은프로토콜과결합하여다양한서비스들을제공할수있는유연성과확장성을가진프로토콜이다. SIP는세션의생성, 수정, 종료를제어하는요청 / 응답의클라이언트 / 서버구조로서 TCP(Transmission Control Protocol) 와 UDP(User Datagram Protocol) 에모두사용할수있는프로토콜이다 [16]. SIP 포맷은헤더와바디로구성되며, 헤더와바디는 CRLF(Carriage Return Line Feed) 로구별된다. 아래의그림 1은 SIP 메시지의형식을나타낸다. [ 그림 1] SIP 메시지예시 SIP 프로토콜은 INVITE, ACK, CANCEL, BYE 등의메소드 (Method) 를사용하여세션제어를하며, 요청 / 응답메소드의종류는각각기본적으로 6가지의유형이존재한다. 아래의표 1은요청 / 응답메소드종류와그의미를나타낸다. 131

3 한국산학기술학회논문지제 11 권제 1 호, 2010 [ 표 1] 요청 / 응답메소드 Request Response 의미 Method Method 의미 INVITE 콜요청 1xx Informational ACK INVITE에대한최종응답 2xx Success BYE 콜종료 3xx Redirection CANCEL 미결정콜해지 4xx Client Error OPTION Capability 정보요청 5xx Server Error REGISTER 위치정보등록및삭제수정 6xx Global Failure 2.2 SIP 프로토콜의취약점분석최근까지알려진 SIP 보안취약점은표 2와같이요약할수있다 [15]. 표 2와같은 SIP 보안취약점중 VoIP 서비스를제공하는사업자에게가장치명적인공격은서비스거부공격이다. 서비스거부공격은 VoIP 시스템을악의적으로공격하여해당시스템의리소스를독점하거나, 시스템의자원을고갈시켜 VoIP 사업자로하여금정상적인서비스를제공하지못하게한다. 이러한서비스거부공격으로는 SIP Flooding 공격, Malformed 공격들이존재한다. SIP Malformed 메시지공격은 SIP의헤더와바디내용이텍스트기반으로되어있다는점을이용하여 SIP 헤더내에임의적으로문자들을삽입, 변조혹은삭제하는것이다. 예를들면엄청난수의공백문자를넣어오버플로우예외를발생시킨다거나특수문자 ( 한자어나 non-ascii) 를넣어이에대응하지못하게하여 VoIP 서비스의오동작을유발한다. 공격자가세션에직접개입하여불법 Session Hijacking 정보를발생시킬수있는능동적공격시도 VoIP 스팸및불특정다수에게보내지는음성광고메음성메일시지로인해음성사서함이무용화되는폭탄공격시도나공격양단간전화통화에개입하여악의적인악의적인호발생패킷을통화중에삽입하여통신을방공격해하는행위인증받지않은불법 VoIP 단말이나시비인가장치스템이망에접속하여정상적인시스템으로위장 IP Server 같은주요시스템에대한자서비스거부공격원을고갈시키거나독점및파괴하여 (DOS 공격 ) 해당시스템이서비스를제공하지못하도록무력화하는공격그림 2는 SIP 정상메시지와 Malformed 메시지를보여주며, 정상적인 SIP 메시지헤더내에서 INVITE 메소드앞에임의적으로일반문자 (aaaaaaaaaaaa) 와 From 헤더와 To 헤더사이에악성코드 (<\x58\x58\x58\x58 >) 를삽입한 SIP Malformed 메시지전송형태이다. [ 표 2] SIP 프로토콜의취약점최근까지알려진 SIP 프로토콜취약점스니핑음성트래픽을불법으로스니핑하여미 (Sniffing) 디어로재생, 정보를수집하려는시도 TCP/IP 프로토콜의약점을악용하여스푸핑발신주소를조작, 정상적인사용자로 (Spoofing) 위장전자서명과같은암호화된데이터를주재사용공격고받을때권한없는공격자가이를복 (Replay Protection) 사해두었다가나중에그대로사용하여합법적이용자로가장하려는시도불법적인제 3자가양단간통신에개입중간자공격할수있는권한을획득하여정당한통신주체로참여하려는시도 [ 그림 2] SIP 헤더메시지변조이와같은패킷이 SIP 프락시서버에전송될경우 VoIP 서비스의오동작을유발하여사용자로하여금정상적인서비스를제공받지못하게한다. 또한 SIP 메시지내에악성코드를삽입하여 SIP 패킷을전송할경우악성코드로인해개인정보의유출뿐만아니라침해당한 PC의다운등 2차, 3차의위협이발생한다 [7]. 132

공기정보를이용한비정상 SIP 패킷공격탐지기법 [ 그림 3] SIP Malformed 메시지공격결국이러한 SIP 보안취약성들로부터안정적인 VoIP 서비스제공을위해서이에대응할수있는메커니즘이제시되어야하며, 특히 SIP 헤더정보를변경하여전송하는 SIP Malformed 메시지공격인경우이를즉각적으로탐지하고, 능동적으로대처할수있는기법이제시되어야한다. 2.

4 공기정보를이용한비정상 SIP 패킷공격탐지기법 [ 그림 3] SIP Malformed 메시지공격결국이러한 SIP 보안취약성들로부터안정적인 VoIP 서비스제공을위해서이에대응할수있는메커니즘이제시되어야하며, 특히 SIP 헤더정보를변경하여전송하는 SIP Malformed 메시지공격인경우이를즉각적으로탐지하고, 능동적으로대처할수있는기법이제시되어야한다. 2.3 단어의공기정보기반분석기법언어의기본적인통계적성질중단어간의연관성을이용하여텍스트문서를표현하기위해단어의공기정보 (Term Co-occurrence) 를이용하는방법 [8-10] 이제시되었다. 공기정보란두단어가동일문서, 문장, 구등에같이발생하는현상을말하며, 더자주발생할수록밀접한관계를가지고있다는전제에기반하고있다. 표 3은단어간의공기정보를나타낸테이블이다. 연관성규칙 : 어떤단어의존재가다른단어의존재를암시하는것을의미 ( 단어 A) ( 단어 B) (if A then B : 만일 A가일어난다면 B가일어난다.) [ 표 3] 단어간공기정보 단어단어 : 단어의개수 ( ) : 번째단어 ( ) : 번째단어와 번째단어가동시에나타난빈도수 일반적으로공기정보는언어처리분야에서문서내의핵심어를추출하거나, 명사의의미구분, 유해어의필터링, 문서의요약, 단어의유사성, 연관성및의미관계를나타내기위하여다양한연구에서사용되고있는통계적인기법이다. 또한데이터마이닝 (Data Mining) 분야 [11,12] 에서사건속에포함된항목간의연관관계를발견하고자할때사용된다. 따라서본논문에서는이와같은공기정보의특성을이용하여 SIP 패킷내의토큰들에대한연관성을분석하고, 이를이용하여 SIP Malformed 메시지를탐지하고자한다. 2.4 기존 SIP Malformed 공격탐지기법의문제점및해결방안기존 SIP Malformed 메시지공격탐지기법인 Secure SIP[6] 은 RFC 3261에서규정한 250여가지의 ABNF 규칙을이용하여정규표현식을안전성있게구성하고이를바탕으로 SIP 메시지의형태를체크한후 SIP Malformed 메시지공격유 무를결정한다. 예를들면 RFC 3261을보면포트번호를규정하는 port=1*digit라는 SIP 규칙이존재한다. 이는포트번호가 1자리이상의숫자로구성되어야함을의미하여, 다르게정의하면 같은 1자리이상의모든숫자는포트번호에적합하다는것을나타낸다. 그러나포트번호는 범위내에서존재해야하며이를해결하기위하여 Secure SIP 에서는 port=1*digit라는 SIP 규칙을 port=/d{1,5} 와같이변경하여포트번호는 1 5자리숫자사이에있어야한다는정규표현식을생성하여 SIP 규칙을체크하게된다. 하지만 SIP Malformed 메시지탐지를위한 Secure SIP 의경우 RFC 3261에존재하는 ABNF 규칙들을정규표현식으로안정성있게구성한다고해도 SIP 메시지의형식만을체크하기때문에 port=99999도정상적인포트번호로판단하게되며, 네트워크에서발생하는실제 SIP 메시지내의고유토큰에대한상태를반영하지않아서 SIP Malformed 메시지공격에대한탐지율이높지않다. [ 표 4] Secure SIP 규칙예 Secure RFC 3261 regular expressions user: (#alphanum# _ -){1,12} callid: (#ASCII w.*){1,32})?) SIP_Version: ((SIP / d. d){7,9}) extension_method: (#ASCII_NAME#{1,20}) protocol_version: ( d{1,2}. d{1,2}) 133

5 한국산학기술학회논문지제 11 권제 1 호, 2010 본논문에서는이러한문제점을해결하기위하여언어의통계적성질을나타내는공기정보를이용하였다. 언어의특징으로보면문서는하나의긴문자열로볼수있으며 SIP 메시지또한하나의긴문자열로취급할수있다. 만일 SIP 패킷내후보토큰과그위치정보를획득할수있다면 SIP 메시지내의토큰들간의구조를정형화할수있으며, 또한고유토큰들간의순차패턴을생성할수있다. 공기정보를이용하면 SIP 메시지내에임의의고유토큰이있을경우, 그토큰이후에나타날수있는후보토큰의연관성정보와적합도를판단하는과정에적용할수있다. 따라서본논문에서는유무선네트워크상에서의정상적인 SIP 메시지를이용해 SIP 고유토큰의공기정보와고유토큰이나타난위치정보를이용해연관성정보를분석하여 SIP 패킷내메시지의연관규칙패턴을생성하고이를기반으로 SIP Malformed 메시지공격을탐지하는기법을제안하였다. - 1단계 : SIP 패킷이유입되면세션테이블을구성한다. - 2단계 : 유입된패킷이세션테이블에등록이되어있지않은상태로수신된등록요청메시지라면 SIP 패킷을세션테이블에등록하고, 그렇지않다면 SIP 메시지를차단한다. - 3단계 : 2단계를거친패킷은전처리단계에서 SIP 메시지를고유토큰으로변환한다. - 4단계 : 3단계를거친패킷은 SIP Malformed 메시지공격탐지모듈에서 SIP 패킷에대한공격여부를결정한다. 아래그림 4는 SIP 메시지내의공기정보를이용하여 Malformed 메시지공격을탐지하는시스템의전체구성도이다. 3. 제안하는기법 3.1 SIP Malformed 메시지공격탐지시스템구조본논문에서개발하는공기정보기반 SIP Malformed 메시지공격탐지시스템은다음과같이설계하였다. 첫째, SIP 메시지를구성하는고유토큰을생성하기위하여 RFC 3261 규약에의존하여 SIP 메시지를파싱하는 SIP Parser를구현하였다. 둘째, 파싱된 SIP 메시지를구성하는고유토큰의위치정보를이용하여 SIP 메시지고유토큰들사이의연관성을나타내어순차패턴을생성하였으며, 마지막으로 SIP 메시지내에서선행토큰이존재할때반드시존재해야하는후행토큰을구하기위하여언어의대표적인통계정보중하나인 SIP 토큰기반공기정보를이용하였다. 제안하는 SIP Malformed 메시지공격탐지기법은세션정보를관리하는세션테이블, SIP 메시지를파싱하고, 데이터를가공하는전처리모듈, SIP 메시지에존재하는연관정보와공기정보를이용하여 SIP 메시지의연관규칙패턴정보를찾는학습모듈과 SIP Malformed 메시지공격을탐지하는부분으로구성이된다. 본논문에서제안하는기법은아래와같은단계를수행한다. [ 그림 4] 제안하는시스템전체구성도본논문에서는위와같은흐름을통하여 SIP Malformed 메시지공격에대한탐지를수행한다. 3.2 세션테이블구성단계세션테이블은 SIP 클라이언트의등록현황을파악하고새로운클라이언트에대해세션등록과정을수행한다. 또한 SIP 요청메시지가아니면서세션테이블에등록이되어있지않을경우현재의메시지를공격으로판단하게된다. 세션테이블의식별자로는이메일주소를식별자로사용하였으며아래그림 5는세션테이블구성도이다. 134

공기정보를이용한비정상 SIP 패킷공격탐지기법 [ 그림 5] 세션테이블구성도위와같은과정을거친 SIP 패킷은 Malformed 메시지여부를판단하기위하여아래와같은전처리과정을거치게된다. 3.3 전처리단계전처리과정에서는 SIP 메시지를고유토큰으로변환하기위한데이터가공을수행한다.

6 공기정보를이용한비정상 SIP 패킷공격탐지기법 [ 그림 5] 세션테이블구성도위와같은과정을거친 SIP 패킷은 Malformed 메시지여부를판단하기위하여아래와같은전처리과정을거치게된다. 3.3 전처리단계전처리과정에서는 SIP 메시지를고유토큰으로변환하기위한데이터가공을수행한다. SIP 메시지를고유토큰으로변환하기위해서는우선 SIP 메시지를파싱해야되는데, 메시지파싱시 RFC 3261에서규정한 250여가지가넘는 ABNF 규칙들을적용하여 SIP 프로토콜을구성하는각각의필드를기준으로메시지를파싱한다. 본논문에서는인터넷에공개된 OpenSIPPaser 라이브러리를이용하여 SIP 메시지를파싱하였다. SIP 파서수행시 SIP 메시지를파싱하지못하면, ABNF의형식에일치하지않는것이므로현재파싱을수행하는 SIP 메시지에대해 Malformed 메시지로 1차판정한다. 그림 6은 SIP 메시지에서 Request-Line에속하는문자열 INVITE sip: user@test.ac.kr;transport=udp SIP/2.0을파싱한결과를보여준다. 그림에서 Method, SP, hostname, SIP-Version등은 Request-Line을구성하는필드를나타내며, INVITE, user, test.ac.kr등은각필드에서나타난필드값을의미한다. 위의과정을거쳐파싱된데이터중통계적인정보를가지지않는필드값이존재하는데이런값들을가지는 hostname, password, host, branch-tag 필드의통계정보를얻기위하여필드의이름을심벌값으로변환하는데이터가공과정을수행하여 SIP 메시지고유토큰을생성하였다. 또한 SIP 프로토콜을구성하는필드중 SP 필드는공백을나타내는데, 하나의공백이나다수의공백을모두동일한값으로인식하지만본논문에서는 SP 필드값의공백수를계산한후숫자로할당하여 SP1과같은고유토큰으로생성하였다. 3.4 SIP 연관규칙패턴모델링단계 SIP 연관규칙패턴모델링에서는 SIP Malformed 메시지를탐지하기위하여정상적인 SIP 메시지의연관규칙패턴을생성하여모델링한다. SIP 연관규칙패턴을생성하기위하여본논문에서는공기정보를이용하였다. 공기정보는단어간동시에발생할확률을나타낸다. 공기정보의평가척도로는신뢰도를사용하는데, 공기정보가얼마나믿을할만한지를나타낸다. 특히신뢰도가 100% 일경우두단어는반드시같이발생한다는것을의미한다. 이를이용하면정상적인 SIP 메시지의경우메시지에서발생하는고유토큰들사이에서동시에발생하는고유토큰들을구할수있으며, 이때신뢰도가 100% 일경우두토큰은반드시동시에발생하게된다. 또한 SIP 메시지를 2차원배열로보고각위치에따라발생하는고유토큰을구하면 SIP 메시지의순서규칙을얻을수있는데연관성규칙인 If A, then B" 의신뢰도는아래와같이나타낸다. 신뢰도 와 가동시에발생한빈도수 가발생한빈도수 [ 그림 6] SIP 메시지파싱결과 SIP 메시지의순서규칙을생성하기위하여고유토큰이발생한위치와고유토큰간의매핑테이블을구성한다. 위치정보는 4자리의숫자로구성이되며, 앞의두자리숫자는고유토큰이나타난행의위치를나타내며, 뒤의 2자리숫자는열의위치를나타나게된다. 아래의그림은위치정보와고유토큰의상관관계를나타낸테이블이며, SIP 메시지의고유토큰이특정위치에서발생하였을경우 1로표기하고, 발생하지않았을경우 0으로표기하였다. 135

7 한국산학기술학회논문지제 11 권제 1 호, 2010 [ 그림 7] 위치정보-고유토큰의상관관계테이블위의과정을거쳐생성된위치정보와고유토큰의상관관계테이블을보면위치정보에따른고유토큰의연관성을아래와같이볼수있다. - Request-Line 첫번째의위치에서는 ACK, INVITE 등의 SIP 고유토큰만이올수있다. - Request-Line 두번째의위치에서는 SP1 토큰만이올수있다. - Request-Line 세번째위치에서는 hostname 토큰만이올수있다. - Request-Line 네번째위치에서는 domain 토큰만이올수있다. - Request-Line의다섯번째에올수있는토큰은 SP1, Transport=udp 그리고포트번호를나타내는 5060이나타날수있는것을알수있다. 이를이용하여 SIP 메시지의순서규칙을나타내면, INVITE 토큰이발생한후 SP1 토큰이발생하고, hostname, domain 고유토큰순으로발생하며, 그다음으로 SP1, Transport=udp, 5060 중하나가발생하는패턴이나타나는것을알수있다. 위의위치정보가부착된고유토큰들사이의공기정보테이블을보면 Request-Line 첫번째위치에서 ACK 토큰이나타났을때두번째의위치에서 SP1 토큰모두 121 의빈도수를가지는것을볼수있다. 이두개토큰의신뢰도를구하면 100% 인것을알수있으며이는 ACK 토큰이나타났을때반드시후행하는토큰은 SP1인것을나타낸다. 위의과정을거쳐생성된토큰들간의공기정보의특징을살펴보면아래와같다. - Request-Line 첫번째위치에서 ACK 토큰이나타나면두번째에는 SP1 토큰반드시나타나야함. - Request-Line 두번째위치에서 hostname 토큰이나타나면세번째위치에는 domain 토큰이반드시동시에발생해야함. - Request-Line 다섯번째위치에서 SP1 토큰이발생하면여섯번째위치에는 SIP/2.0 토큰이반드시나타나야함. 위치정보-고유토큰의상관관계테이블과위치정보가부착된고유토큰들사이의공기정보테이블을이용하여정상적인 SIP 메시지의연관규칙패턴을생성한다. 아래의그림 9는 SIP 연관규칙패턴모델링을도식화한그림이다. 그리고반드시동시에발생하는 SIP 메시지의고유토큰을구하기위해위치정보-고유토큰의상관관계테이블을이용하여고유토큰에대해서위치정보를부여하고이를이용하여위치정보가부착된고유토큰들사이의공기정보를구한다. 그림 8은위치정보가부착된고유토크들사이의공기정보를나타낸다. [ 그림 9] SIP 연관규칙패턴모델링 [ 그림 8] 위치정보가부착된고유토큰들사이의공기정보테이블 SIP 정상메시지를가지고생성된 SIP 연관규칙패턴을가지고 Malformed 메시지를판단하는근거로사용한다. 136

공기정보를이용한비정상 SIP 패킷공격탐지기법 3.5 SIP Malformed 메시지공격탐지단계 SIP Malformed 메시지공격탐지는 3.4절에서생성된 SIP 연관규칙패턴을이용하여 SIP 메시지에대한공격여부를판단한다. SIP 메시지에대해판단하는과정은아래와같다. -1단계 : 유입된 SIP 패킷을위치정보가부착된고유토큰으로변환한다.

8 공기정보를이용한비정상 SIP 패킷공격탐지기법 3.5 SIP Malformed 메시지공격탐지단계 SIP Malformed 메시지공격탐지는 3.4절에서생성된 SIP 연관규칙패턴을이용하여 SIP 메시지에대한공격여부를판단한다. SIP 메시지에대해판단하는과정은아래와같다. -1단계 : 유입된 SIP 패킷을위치정보가부착된고유토큰으로변환한다. -2단계 : SIP 연관규칙패턴에서 1단계를거쳐생성된 Request-Line 첫번째위치의토큰에대해패턴의발생여부와첫번째토큰이나타났을때항시같이나타나야하는후행토큰들이현재생성된고유토큰에대해위치정보와토큰의존재여부를확인한다. -3단계 : 모든토큰에대해순서적으로 2단계를실행하여, 중간결과들을조인한다. -4단계 : 최종조인결과를기반으로현재 SIP 패킷에대한패턴이연관규칙패턴에존재하는지의여부에따라공격을판정한다. 그림 10과같은실험환경을구축한후 UDP 프로토콜상에서송 수신되는 SIP 패킷을수집하고, 그중 1000개의 SIP 요청메시지만을학습데이터로사용하여 SIP 연관규칙패턴을생성하였다. 또한테스트데이터로는인터넷의공개자료인 test-suit:007-sip를사용하였다. test-suit:007-sip는 SIP Malformed 메시지 4526개정도를가지고있으며그중 SIP Malformed 메시지 200개와 UDP 프로토콜상에서생성된패킷 200개를 Malformed 메시지로변경해서테스트데이터로사용하여공격탐지성능을평가하였다. INVITE sip: userb@aaa.ac.kr; transport= udp SIP/ 2.0 Via: aaaaaaaaaaaaaaaaaaa branch= From: sip: usera@aaa.ac.kr To: sip: userb@aaa.ac.kr CSeq: 1 INVITE Call-ID: @aaa.ac.kr Contact: < sip: usera@test.aaa.ac.kr: 5060> Accept: application/ sdp Content-Type: application/ sdp Content-Length: 172 [ 그림 11] SIP Malformed 메시지 4. 실험및성능평가 4.1 실험환경 본논문에서제안한시스템은소규모네트워크환경에서 Ubuntu Linux와 Windows 운영체제시스템상에서개발하였다. Ubuntu Linux 시스템에서공개 SIP 프락시서버인 Openser를이용하여 SIP 프락시서버를구축하였고, libpcap을이용하여 SIP 패킷을캡쳐하였다. 또한전처리과정에서 SIP 메시지를파싱하기위해인터넷에공개된 OpenSIPParser를이용하였으며, SIP 패킷에대한모니터링과 SIP 연관규칙패턴을생성하기위하여 Windows 시스템에서 VC++ 를이용하여구현하였다. 4.2 성능평가결과본논문에서제시한 SIP Malformed 메시지공격탐지기법에대한실험결과는다음과같다. 네트워크에서발생하는실제 SIP 트래픽상태를반영하여 SIP 헤더에서고유토큰들을대상으로 SIP 패킷구조를정형화하고, 고유토큰사이의연관성을분석하는공기정보기반분석기법을 SIP 패킷에적용하여연관규칙패턴을생성하였다. 이를기반으로후보토큰을생성하고 SIP 패킷과비교하여 SIP 공격유무를판단하였다. 아래의그림 12는제안한기법에서학습량에따른탐지율을보여준다. 100% 87% 침입탐지율 0% 학습량 [ 그림 12] SIP 패킷학습량에따른 Malformed 메시지탐지율 [ 그림 10] 실험환경 SIP Malformed 메시지공격에대한실험결과는정상메시지의학습량이 400개를넘어가면서평균적으로 87% 137

9 한국산학기술학회논문지제 11 권제 1 호, 2010 의탐지율을보이며더이상의탐지율의증가가없는것을볼수있는데, 이는학습데이터에서나타나는모든고유토큰에대한연관규칙패턴을학습했다고볼수있다. 기존 SIP Malformed 메시지탐지기법인 Secure SIP는 Malformed 메시지공격탐지율에대해언급하지않고 26% 의성능향상만이언급되어있어 [14] 정량적인비교는할수없었지만본연구에서 SIP 메시지파싱을위해사용한공개라이브러리 OpenserSIPParser와본논문에서제안하는공격탐지기법그리고예상되는 Secure SIP 간의비교결과는다음과같다. 전송하였을때패킷의도착시간과제안하는시스템으로 SIP 패킷을전송하여 Malformed 메시지공격의판단여부를완료한시간을비교하였다. [ 그림 14] 실험에따른 SIP 패킷지연시간 [ 그림 13] 기법에따른침입탐지율그림 13을보면본연구에서제안한기법의경우 SIP Malformed 메시지공격탐지율이 87% 을보였으며, OpenSIPPaser만을사용한경우 36% 의탐지율을보였다. 또한 Secure SIP에서는기존 ABNF 보다 26% 의성능향상이나타났다고언급하였기에 OpenSIPParser의탐지율 36% 보다 26% 정도향상된약 62% 의 Malformed 메시지공격탐지율을보여본연구에서제안한 SIP Malformed 메시지공격탐지기법이 Secure SIP 보다효과적으로 Malformed 메시지공격을탐지하는것을알수있었다. 본연구에서제안한 SIP Malformed 메시지공격탐지율이 Secure SIP 보다좋은성능을보인다고이야기할수있는근거로는 Secure SIP의경우포트번호를체크할때 port=/d{1,5} 의정규표현식을가지고정상여부를판단하는데반하여본연구에서제시한기법은실제로 SIP 헤더에서생성되는토큰을대상으로학습하기때문에실험환경에서나타난 5060포트만을정상포트번호로판단하기때문이다. 추가적으로만약제안하는시스템이 SIP 패킷차단을위하여 SIP 프락시서버내에위치하고제안하는시스템은유입된 SIP 패킷을잡고있는상태에서 SIP Malformed 메시지공격여부를판단한후판단여부에따라패킷을 SIP 프락시서버로전송한다고가정하였을때 VoIP 서비스에미치는영향을알아보려고다음과같은실험을하였다. 실험방법은제안하는시스템을적용하지않고 SIP 클라이언트에서 SIP 프락시서버로패킷을 그림 14를보면제안하는기법을적용하였을경우와그렇지않았을경우패킷의지연시간은거의차이가없었다. 패킷지연시간이거의차이가나지않는이유는본연구에서제안한기법이기계학습 [13] 같은추론하는계산과정이없어 SIP Malformed 메시지를판단하는속도가빠르기때문이다. 따라서제안하는기법은 VoIP 서비스를방해하지않으면서효과적으로 SIP Malformed 메시지공격탐지가가능하다는것을알수있었다. 그러나본논문에서제시한기법의탐지율이 100% 를보이지못하였는데, 이러한가장큰이유는 SIP 헤더필드의고유토큰중통계적인데이터를가지지못한필드에대해심벌값으로변환하는전처리과정을수행하였기때문이다. 또한정상적인 SIP 메시지에서나타나는모든고유토큰을학습할수없기때문에정상메시지를비정상메시지로판단하는경우가일부발생하기도하였으며, UDP 프로토콜상에서발생하는 SIP 패킷만을가지고연관규칙패턴을생성하였기때문에정상적인 SIP 패킷이라도 TCP 프로토콜상에서생성된 SIP 패킷의경우패킷의시그니처가달라이를공격으로탐지하는결과를보였다. 하지만이것은네트워크에서발생하는실제 SIP 트래픽상태가다름을의미하며, 본논문에서제안한기법이네트워크에서발생되는 SIP 트래픽의상태를효과적으로반영하는것을나타낸다. 마지막으로본논문에서제안한 SIP Malformed 메시지공격탐지기법과기존 Secure SIP에적용된기법을비교하여표 5에, Х로표시하였다. 138

10 공기정보를이용한비정상 SIP 패킷공격탐지기법 [ 표 5] 기존 Secure SIP 와제안하는기법의비교 ABNF 룰매칭 세션분리 연관성분석 기존 Secure SIP Х 제안하는기법 실제 SIP 트래픽상태 SIP Malformed 메시지 반영 공격탐지 기존 Secure SIP Х 제안하는기법 5. 결론 본논문에서는 SIP Malformed 메시지를탐지하기위하여공기정보를사용하는방법을제안하였다. UDP 프로토콜을기반으로네트워크에서발생하는 SIP 트래픽의상태를반영하여 SIP 헤더내에존재하는고유토큰들의연관성을분석하여 SIP 연관규칙패턴을생성할수있었으며, 이를기반으로 SIP Malformed 메시지공격을탐지할수있었다. 또한기존의 ABNF만을이용하는것보다효과적으로 SIP Malformed 메시지공격을탐지할수있었다. 또한본연구에서제안한기법은공격판정시추론과정이없어 Malformed 메시지공격을판단하는속도가빨랐다. 이로인해제안하는기법이 VoIP 서비스를방해하지않으면서효과적으로 SIP Malformed 메시지공격탐지가가능하다는것을알수있었다. 본논문에서제안한기법은네트워크에서발생하는 SIP 트래픽의상태를반영하여비교적높은탐지율을얻었지만, SIP 헤더의고유토큰들의연관성을분석할때전처리과정에서수행하는데이터가공으로인해 SIP Malformed 메시지의탐지율이 100% 에미치지못한 87% 의탐지율을보였다. 하지만본논문에서제시한기법은 Malformed 메시지공격탐지시추론과정을거치지않아 SIP 헤더내에서발생하는정상적인토큰이라도연관규칙패턴에학습되어있지않다면, Malformed 메시지로판정하는경우가일부발생하였다. 향후연구에서는본논문에서제안한연관규칙패턴을개선하여 SIP Malformed 메시지공격판정시 SIP 패킷에대해추론을할수있는메커니즘을제시하고이를추가적으로보완할예정이다. 참고문헌 [1] M. Handley, H. Schulzrine, E. Schooler, J. Rosenberg, SIP : Session Initiation Protocol, RFC 3261, IETF, [2] Fengjiao Wang et al., A New Provably Secure Authentication and Key Agreement Mechnism for SIP Using Certificateless Pubilic-Key, 한국통신학회논문지, Vol. 34, No. 8804, ICCIS [3] Geneiatakis D. et al., A lightweight protection mechanism against signaling attacks in a SIP based VoIP environment, Telecommunication system, pp , [4] 이형우, SIP 프로토콜상태정보기반공격탐지기능을제공하는가상프록시서버설계및구현, 한국인터넷정보학회논문지, Vol.9, No.6, [5] 류제택, 류기열, 노병희, 발생메시지의상한값을고려한 SIP INVITE 플러딩공격탐지기법연구, 한국통신학회논문지, Vol. 34 NO. 8, [6] 국정원, 정보통신부, 2006 국가정보보호백서, [7] 원유재, Security Issues for SIP Aware Services, 한국정보보호진흥원, [8] 안형근, 이원희, 유해어의공기정보를활용한유해웹문서필터링, 한국정보과학회논문지, Vol.33, No. 2, [9] 송원문, 김영진, 김은주, 김명원, 단어빈도수와공기정보를이용한효율적인핵심어추출기법개발, Preceedings of KIIS Fall Conference 2008, Vol. 18, No. 2, [10] 이승우, 이근배, 국소문맥과공기정보를이용한비교사학습방식의명사의미중의성해소, 한국정보과학회논문지소프트웨어및응용, Vol. 27, No. 7, [11] 김승우, 박상현, 원정임, 사이트의접속정보유출이없는네트워크트래픽데이터에대한순차패턴마이닝, 한국정보과학회논문지데이터베이스, Vol. 33, No. 7, [12] 정경용, 김종훈, 강운구, 임기욱, 이정현, 스마트홈에서마이닝을이용한행동순차패턴발견, 한국콘텐츠학회논문지, Vol.8, No.9, [13] Huang. Y, Huang. S, Lin. T, Tasi. C, Web application security assessment by fault injection and behavior monitoring, In Proceedings of the 12th international Conference on World Wide Web, pp , [14] [15] 한국정보보호진흥원, VoIP 정보보호가이드, [16] 이영민, 노영섭, 조용갑, 오삼권, 황희융, SIP 프록시서버의부하최소화를위한분산처리, 한국산학기술학회논문지, Vol. 9, No.4, pp , [17] 김태욱, 성경상, 오해석, 효율적키관리방식적용 139

한국산학기술학회논문지제 11 권제 1 호, 2010 을통한전자문서암호화에관한연구, 한국산학기술학회논문지, Vol.10, No.5, pp.1000-1008, 2009. 5.

김득용 (Deuk-Young Kim) [ 정회원 ] 2008 년 2 월 : 백석대학교정보통신학부 ( 학사 ) 2010 년 2 월 : 한신대학교일반대학원컴퓨터학과 ( 공학석사 ) < 관심분야 > 네트워크보안, 정보보호, SIP 보안, 신경망, AI 이형우

11 한국산학기술학회논문지제 11 권제 1 호, 2010 을통한전자문서암호화에관한연구, 한국산학기술학회논문지, Vol.10, No.5, pp , [18] 정민경 ; 신승수 ; 한군희 ; 오상영, 스마트카드를이용한원격시스템사용자인증프로토콜, 한국산학기술학회논문지, Vol.10, No.3, pp , 김득용 (Deuk-Young Kim) [ 정회원 ] 2008 년 2 월 : 백석대학교정보통신학부 ( 학사 ) 2010 년 2 월 : 한신대학교일반대학원컴퓨터학과 ( 공학석사 ) < 관심분야 > 네트워크보안, 정보보호, SIP 보안, 신경망, AI 이형우 (Hyung-Woo Lee) [ 정회원 ] 1994 년 2 월 : 고려대학교전산과학과 ( 전산학학사 ) 1996 년 2 월 : 고려대학교일반대학원전산과학과 ( 전산학석사 ) 1999 년 2 월 : 고려대학교일반대학원전산과학과 ( 전산학박사 ) 1999 년 3 월 ~ 2003 년 2 월 : 백석대학교정보통신학부조교수 2003 년 3 월 ~ 현재 : 한신대학교컴퓨터공학부교수 < 관심분야 > 네트워크보안, 정보보호, 무선네트워크, SIP 보안 140

untitled

untitled Oracle DBMS 로그인의접근제어우회 취약점분석 2006. 2. 9 인터넷침해사고대응지원센터 (KISC) 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 룰명시하여주시기바랍니다. 개요 o 2005년이후 Oracle Critical Patch Update(CPU) 는 Oracle사제품대상으로다수의보안패치및보안패치와관련된일반패치를발표하는주요수단임