특허

본 발명은 은닉마르코프모델을 이용한 SIP 프로토콜 서비스 거부 공격 탐지 및 차단 시스템에 관한 것으로, 유무선통신망을 통해 연결된 하나 이상의 클라이언트 및 프락시 서버를 포함하는 은닉마르코프모델을 이용한 SIP 프로토콜 서비스 거부 공격 탐지 및 차단 시스템에 있어서, 장치 전반을 제어하는 중앙제어부(110), 입력되는 SIP 통신패킷을 파싱하되, SIP 파싱 과정에서 공격으로 판정되면, 공격자에 대한 IP와 Mac 정보를 세션 및 블랙리스트 테이블 중 블랙리스트에 등록하는 SIP 파싱모듈(112), 세션 및 블랙리스트 테이블(129)과 연계하여 세션 및 블랙리스트를 체크하는 블랙리스트 체크모듈(114), 상기 SIP 파싱모듈(112)를 통해 파싱된 데이터를 HMM의 입력 시퀀스로 변환하기 위한 데이터 가공과정을 수행하는 전처리모듈(122), Baum-Welch 알고리즘(128)을 이용하여 SIP 프로토콜을 모델링하는 학습모듈로서의 SIP 노멀 모델링부(124), 은닉마르코프 기반 SIP 정상 모델과 전처리 과정에서 생성된 시퀀스를 입력하여 각 정상 행위에서 현재 행위가 생성되었을 확률을 forward-backward procedure 알고리즘(126) 이용하여 구하고, 상기 SIP 노멀 모델링부(124)를 통해 각 모델별로 구해진 확률을 전달받아 비정상 행위인지 판정하고, 정상행위 모델링으로부터 구해진 임계값(threshold)과 비교하여 더 낮은 수치를 가질 경우 침입으로 판정하는 공격탐지 및 판정모듈(116), 사용자의 IP나 MAC 정보, 이메일 정보등을 저장 및 관리하는 사용자 정보저장부(121), 및 세션 및 블랙리스트를 저장 및 관리하는 세션 및 블랙리스트 테이블(129),을 포함하여 이루어진 것을 특징으로 한다.