SIP(Session Initiation Protocol)은 IP 전화 서비스에서 핵심적으로 사용되는 기본 시그널링 프로토콜이다. SIP 메시지를 사용하는 플러딩 형식의 공격들은 프록시 서버나 사용자를 서비스거부(DoS) 상태로 만들 수 있다. 본 논문에서는 확률적 분포 측정 방식을 사용하는 비정상 SIP 트래픽 탐지 기법에 관하여 설명한다. 제안된 방식은 각 SIP 요청(REQUEST) 메시지의 비정상 범위를 결정하기 위하여 확률적 분포와 유사성을 비교하는데 유용한 마할라노비스(Mahalanobis) 거리 기법을 활용한다. 다음 단계로, 송신자와 메시지의 누적 비율을 비교하여 최종적으로 비정상성을 탐지한다. 제안된 분석기법을 사용하여 트래픽 변화 뿐만 아니라 각 SIP 요청 메시지의 비정상 여부를 탐지할 수 있다. 본 논문에서는 제안 기법을 소개하고 실험 결과를 설명한다.
The key protocol for a regular IP telephony service is the session initiation protocol (SIP), which is used as the basic signalling protocol. Flooding-type attacks that use SIP messages and target the proxy server or user agent can cause a denial-of-service status. In this paper, I present an abnormal SIP traffic detection scheme using statistical distribution estimation. I adopt the Mahalanobis distance scheme to decide outlier range of each SIP REQUEST message; it is standard metric for comparing two statistical distributions and is very useful for measuring similarity. Then, I compare the accumulation ratio of the callers and messages and finally detect abnormality. The proposed analysis process can observe not only traffic change but also detect abnormality of each type of SIP REQUEST message. I describe our approach and present experimental results in this paper.
