JP5114565B2 - マルチメディアシステムへの攻撃を検知する方法および攻撃検知機能を備えたマルチメディアシステム - Google Patents
マルチメディアシステムへの攻撃を検知する方法および攻撃検知機能を備えたマルチメディアシステム Download PDFInfo
- Publication number
- JP5114565B2 JP5114565B2 JP2010521308A JP2010521308A JP5114565B2 JP 5114565 B2 JP5114565 B2 JP 5114565B2 JP 2010521308 A JP2010521308 A JP 2010521308A JP 2010521308 A JP2010521308 A JP 2010521308A JP 5114565 B2 JP5114565 B2 JP 5114565B2
- Authority
- JP
- Japan
- Prior art keywords
- inspection
- communication
- multimedia
- devices
- multimedia system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims description 30
- 238000001514 detection method Methods 0.000 title claims description 20
- 238000004891 communication Methods 0.000 claims description 101
- 238000007689 inspection Methods 0.000 claims description 85
- 238000012360 testing method Methods 0.000 claims description 31
- 230000011664 signaling Effects 0.000 claims description 14
- 238000012546 transfer Methods 0.000 claims description 9
- 230000001186 cumulative effect Effects 0.000 claims description 8
- 230000007246 mechanism Effects 0.000 claims description 5
- 230000008569 process Effects 0.000 claims description 4
- 230000004931 aggregating effect Effects 0.000 claims description 3
- 230000002776 aggregation Effects 0.000 claims description 3
- 238000004220 aggregation Methods 0.000 claims description 3
- 230000005540 biological transmission Effects 0.000 claims description 2
- 230000002452 interceptive effect Effects 0.000 description 5
- 230000008901 benefit Effects 0.000 description 3
- 230000000977 initiatory effect Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1076—Screening of IP real time communications, e.g. spam over Internet telephony [SPIT]
- H04L65/1079—Screening of IP real time communications, e.g. spam over Internet telephony [SPIT] of unsolicited session attempts, e.g. SPIT
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1101—Session protocols
- H04L65/1104—Session initiation protocol [SIP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Multimedia (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Monitoring And Testing Of Exchanges (AREA)
Description
本発明は、通信元と通信先との間のマルチメディア通信フローによってマルチメディアシステム内に通信路が確立されるような、マルチメディアシステムへの攻撃を検知する方法に関する。
また、本発明は、通信元と通信先との間のマルチメディア通信フローによってマルチメディアシステム内に通信路が確立されるような、攻撃検知機能を備えたマルチメディアシステムに関する。
今日、マルチメディアシステムが広く普及し、きわめて多様なサービスをユーザに提供している。本発明において、「マルチメディアシステム」という用語は広義に理解すべきであり、例えば、VoIP(ボイスオーバーIP)やプレゼンス情報のようなサービスを通常提供するIMS(IPマルチメディアサブシステム)や、いわゆるサービス提供基盤(service delivery platform, SDP)によって一般にサービスが提供されるNGN(次世代ネットワーク)を含む。
現在では、マルチメディアシステムは、さまざまな形態の攻撃にますますさらされるようになっている。そのような攻撃としては、例えば、DoS(サービス拒否)攻撃や、VoIPフィッシングが挙げられる。電子メールの分野では、大量の迷惑メール、いわゆるスパムが非常に広まり、重大な問題となっている。電子メール通信を必要とする企業がスパムメッセージによって影響を受けるのみならず、個人ユーザもまたスパムには非常に悩まされている。今日、多くのインターネットユーザにとって、受信するのは正規の電子メールよりもスパムメッセージのほうが多い。このため、ほとんどの着信電子メールサーバは、一定のルールに従って着信メールをチェックするスパムフィルタを使用している。スパムフィルタとしては、例えば、電子メールの内容中のキーワードを能動的に探索するもの、電子メールを送信するために用いられたサーバの特定の設定項目をチェックするもの、大量の電子メールを送信するためにしばしば用いられる送信元を探索するもの等がある。電子メールは、スパムと分類された場合、マークや仕分けが行われる。
電話(アナログあるいはディジタル)の分野でも、スパム(この分野ではSPIT(Spam over Internet Telephony, IP電話上のスパム)と呼ばれる)はますます多くなっており、例えば、迷惑広告通話の場合に見られるとおりである。このような通話は、ほとんどの場合、自動発呼装置によって発呼される。現在主として用いられている交換電話網によれば、このようなスパム通話は非常に複雑で高価であるため、スパム通話の数は比較的限られている。しかし、インターネット電話がさらに一般的に利用されるようになると、このようなスパム通話ははるかに容易で安価となるため、高度化した最新のマルチメディアシステムにおいては、スパム通話が激増すると想定しなければならないであろう。
重要な課題の1つは、上記のようなマルチメディアシステムへの攻撃の検知である。今日、マルチメディアシステムへの攻撃の検知は主として侵入検知システム(IDS)を用いることにより実行される。このようなIDSシステムは、通過するトラフィックを監視し、例えば観測したトラフィック構造やトラフィック内容に応じて、ローカルな判定を行うことができる。
このようなローカルに作用するIDSシステムとは別に、分散型攻撃検知方式が従来技術において既知である。このようなシステムの1つが非特許文献1に記載されている。SpaceDiveは、ローカルレベルの設計とネットワークレベルの設計に分解可能な、階層的相関に基づくシステムである。VoIP環境に対する上記の分散型侵入検知は、ローカルに実装されたIDSシステムと比較していくつかの利点を有するが、このソリューションは依然として完全に満足なものではない。主な問題点は、階層的アーキテクチャに見られる。このアーキテクチャでは、実装およびアプリケーションの両面でシステムが複雑となり、必要なシグナリングがかなり増大する。
V. Apte et al. "SpaceDive: A Distributed Intrusion Detection System for Voice-over-IP Environments", Proceedings of DSN 06, The International Conference on Dependable Systems and Networks (Fast Abstracts session)
"Voice Printing and Reachability Code (VPARC) Mechanism for SPIT", WIPRO, white paper
したがって、本発明の目的は、頭書のような方法およびシステムにおいて、実施の容易なメカニズムを使用することにより、必要なシグナリングをあまり増大させずに、効率的な攻撃検知が可能となるような改良を行うことである。
本発明によれば、上記の目的は、請求項1の構成を有する方法によって達成される。この請求項に記載の通り、本方法は、少なくとも2個の装置が通信路に沿って設けられ、各装置は検査装置として作用し、該検査装置を経由するマルチメディア通信フローを検査することが可能とされ、通信路に沿って個々の検査結果が集計されることを特徴とする。
また、上記の問題は、請求項16に記載の攻撃検知機能を備えたマルチメディアシステムによって解決される。この請求項に記載の通り、本システムにおいて、マルチメディアシステムは、通信路に沿って配置された少なくとも2個の装置を備え、各装置は検査装置として作用し、該検査装置を経由するマルチメディア通信フローを検査することが可能とされ、マルチメディアシステムは、通信路に沿って個々の検査結果を集計するメカニズムをさらに備えたことを特徴とする。
本発明によって初めて認識されたこととして、観測対象となるマルチメディア通信フローの通信路上で、ネットワーク分散型攻撃検知を実行することにより、複雑な階層構造を避けることができる。この目的のため、少なくとも2個の装置が通信路に沿って設けられ、該装置を経由するマルチメディア通信フローを検査することが可能とされる。これらの検査装置は、上記の検査の目的だけのためにマルチメディアシステムに組み込まれた専用の装置であってもよい。あるいは、検査装置は、マルチメディアシステムに既に存在する何らかの装置に、適当な検査機能を追加したものであってもよい。
本発明によれば、通信路上の少なくとも2個の検査装置によって実行された個々の検査の結果が集計されて、観測対象のマルチメディア通信フローに対する全体的結果が得られる。すなわち、個々の観測点で計算された情報が、悪意のあるトランザクションの識別に向けた判定のためにまとめられる。全体的結果は、グローバルな意味を有し、適用されるさまざまな攻撃検知メカニズムからの寄与を有する。本発明は、マルチメディアシステムが通信路の概念を有することを考慮して、相互に協調するさまざまなモジュールに攻撃検知を分散させるために、このような通信路の概念を活用する。マルチメディアシステム内の複数の検査装置にわたって攻撃検知を分散させるため、すべての検査装置は等価とみなされ、関与する検査装置間には簡単明瞭なインタラクションのみが存在する。この点で、本発明による方法およびシステムは、従来技術で既知の階層的手法に比べて複雑さが少ない。
ボイスオーバーIPの場合の具体例では、通信元は発呼者、通信先は被呼者とすればよい。電子メールスパム保護の具体例の場合、通信元/通信先は電子メールの送信者/受信者とすればよい。また、他の具体例において、通信元は、例えば、あるサービスにアクセスするユーザであってもよい。このサービスは、マルチメディアシステム内で提供されてもよく、例えば、サーバからダウンロード可能であってもよく、その場合には通信先として機能する。
検査結果に関するデータの処理を簡単にするため、各検査装置が、自己の検査結果に関する情報を、通信路上の後続の検査装置へ転送してもよい。すなわち、各検査装置は、通信路に沿って通信先へ向かう方向における直近の検査装置にのみ、自己の部分的結果を通信してもよい。転送される情報は、検査結果自体に限らず、それに加えて、実行された検査の種類、部分的検査結果の計算に使用されたモジュールや使用されたパラメータ、集計された結果、に関する情報を含んでもよい。これにより、ある通信特性が、集計された全体的結果に重複して寄与しないことを保証することができる。
検査関連情報のホップ型転送の代わりに、情報は、通信路上のすべての検査装置間で共有されてもよい。単純転送方式と比較して、情報の共有は、通信元の近くに位置する検査装置もまた、通信先の近くに位置する装置によって実行された検査の結果を知り得るという利点を有する。
通信路上の連鎖的なホップ間転送で実現するか、それとも通信路上の全検査装置間での共有で実現するかにかかわらず、検査装置間での検査関連情報の伝達は、シグナリング拡張を用いることにより実行できる。シグナリング拡張は、IPレベルで、あるいは、検査対象の通信メッセージに対して用いられるそれぞれのプロトコルを使用することにより、実装可能である。ボイスオーバーIPの場合、そのプロトコルはSIP(セッション開始プロトコル)とすればよい。これは広く普及しており、適当なSIPヘッダに追加情報を組み込むさまざまな可能性を提供する。情報は、XMLエンコーディングを用いることにより追加してもよく、ウェブサービスへのリンクを通じた情報参照により追加してもよい。
上記のシグナリング変更は「帯域内(インバンド)」的な手法とみなすことができるが、「帯域外(アウトオブバンド)」的な情報共有技術も可能である。この場合、検査装置間での検査関連情報の共有は、適当な分散データベースや、外部アプリケーション(例えば、アプリケーションサーバ、アドホックサービス等)により実行される。データベース/外部アプリケーションは、検査装置からアクセス可能であり、そのアクセスは適当な手段によって保証すればよい。各検査装置が自己の検査結果をデータベースに書き込み、そこから次ホップの検査装置がそれを一意的に読み出すようにしてもよい。
好ましい実施形態として、マルチメディア通信フローがマルチメディアシステムへの攻撃を構成するかどうかの判定が、個々の検査結果を集計したものに基づいて行われる。有利な態様として、個々の検査結果は、通信フローの悪意性を示すスコアや確率の形で与えられる。このような場合、個々の検査結果の集計は、個々のスコア/確率を加算する等により経路累積スコア/確率を計算することによって、実行できる。個々のスコア/確率を加算する前に、特定の状況におけるある種の検査が他よりも有意性が低い可能性を考慮するために、個々の検査結果の重み付けを実行してもよい。
さらに好ましい実施形態として、各検査装置は、通信路上で先行する検査装置によって実行された検査の結果に応じて、通信フローに対して適当な対策を実施することが可能とされる。この場合、検査装置は、例えば、通信の遮断、ユーザの検疫、等が可能とされてもよい。特に、このような対処は、先行する検査装置によって実行された検査の結果を集計した悪意性スコア/確率が所定しきい値を超える場合に、検査装置によって実施されるとしてもよい。
検査によってマルチメディア通信フローが乱されることを有効に回避するため、通信路上における少なくとも第1の検査は、マルチメディアフローのシグナリング部分に対して実行されるようにしてもよい。好ましい実施形態として、第2段階の検査、すなわちマルチメディア通信フローのメディア部分に対する検査は、経路累積スコア/確率が所定しきい値を超える場合にのみ実行される。他方、マルチメディア通信フローのシグナリング部分に対して実行された検査結果の経路累積スコア/確率が所定しきい値を下回る場合、マルチメディア通信フローのメディア部分に対する検査は省略してもよい。例えば、VoIPアプリケーションでは、第2段階の検査は、チューリングテスト(特許文献1に詳細に記載)、声紋テスト(非特許文献2に記載)、オーディオCAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart)、グレーリスティングテスト等の発呼者対話型チェックを含んでもよい。第1段階の検査(すなわち、通信フローのシグナリング部分に対するもの)と第2段階の検査(すなわちメディアストリームに対するもの)との分離は、検査によって引き起こされる不都合が、発呼者側および被呼者側の両方で顕著に減少するという利点がある。
通信路上の検査装置は、ネットワーク装置、すなわち、通常のマルチメディアシステムの一部であるとともに攻撃検知機能を備えた装置、であってもよい。このようなネットワーク装置としては、セッションボーダーコントローラ(Session Border Controller, SBC)、SIPプロキシサーバ、ネットワークルータ、アプリケーション層ファイアウォール、ゲートウェイ等が挙げられる。これらのネットワーク装置に加えて、検査装置としては、ユーザ機器(User Equipment, UE)が挙げられる。例えば、VoIPの場合、被呼者のユーザ機器、すなわち被呼者の電話装置が、例えば、被呼者の電話機に記憶されたホワイトリストやブラックリストに基づいてユーザ固有のチェックを実行することにより、攻撃検知プロセスに関与してもよい。
有利な態様では、各検査装置が、攻撃検知のためのホップ/装置固有の基準に従って通信をチェックする。例えば、マルチメディアシステムの境界に位置する検査装置(例えばSBC等)は、比較的グローバルな事項に関してチェックを実行して、トラフィックの大部分が観測対象である場合のほうがより明確になる異常を検知しようとするのが好ましい。このようなチェックとしては、例えば、グローバルブラックリストに対するチェック、発呼者メッセージレートのチェック、なりすまし試行に対するチェック等が挙げられる。他方、マルチメディアシステム内部深くに位置するネットワーク装置は、よりユーザ向けのチェックを実行するとよい。例えば、サービングSIPプロキシサーバのようなサーバは、ユーザが指定した基本設定(例えば、個人的な、ユーザ固有のホワイトリストやブラックリスト等)に基づくことで、ユーザ数が非常に多いネットワークの境界においてスケーラブルな形で適用できいないようなチェックを適用してもよい。
法令遵守のため、検査装置によって実行される検査、検査関連情報の伝達プロセス、および/または通信フローに対して対策を実施するプロセスは、通信先によって指定された基本設定に従って設定できるようにしてもよい。特に、VoIPアプリケーションでは、このことは、被呼者の同意なしには通話が例えば遮断されないことを保証するために、被呼者の基本設定を(直接または間接に)考慮することを意味する。
本発明を好適な態様で実施するにはいくつもの可能性がある。このためには、一方で請求項1および16に従属する諸請求項を参照しつつ、他方で図面により例示された本発明の好ましい実施形態についての以下の説明を参照されたい。図面を用いて本発明の好ましい実施形態を説明する際には、本発明の教示による好ましい実施形態一般およびその変形例について説明する。
図1に、VoIPシステムにおいてスパム通話(SPIT)の形での攻撃を検知するための、本発明による方法の一実施形態を模式的に示す。具体的には、VoIP通話が、発呼者Aと被呼者Bとの間に確立される。すなわち、発呼者Aと被呼者Bとの間に通信路1が確立され、発呼者Aは通信元として作用し、被呼者Bは通信先として作用する。図1に示した具体例では、発呼者Aと被呼者Bとの間の通信は、SIP(セッション開始プロトコル)通信である。通信フローのSIPシグナリング部分1aを点線で示し、マルチメディア通信フローのメディアストリーム1bを破線で示す。
まず、発呼者Aによって発信された発呼要求、すなわちSIP inviteメッセージに、攻撃を構成する確率として0%を割り当てる。被呼者Bまでの途中で、メッセージは第1の検査装置2aを経由する。これは、具体例では、セッションボーダーコントローラ(SBC)3である。SBC3は、通信フローの第1の攻撃検知検査、例えば、グローバルブラックリストやなりすまし試行のチェックを実行する。これらのテストの結果として、通信フローは、攻撃である確率が10%であることがわかったとする。この結果は、通信路1上の次の検査装置2b、すなわちP−CSCF(Proxy-Call Session Control Function, プロキシ−通話セッション制御機能)SIPプロキシサーバ4へ転送される。あるホップから次のホップへの伝搬は、通信メッセージを適当にマークすることによって(例えば、追加のSIPヘッダ、IPマーキング等によって)実現可能である。これは、(論理または物理)リンク5で示されている。別法として、リンク7経由で各ホップ/装置からアクセス可能なデータベース6に結果を書き込むことも可能である。データベース6は、スコア/確率自体、スコアを計算するのに使用された方法やパラメータに関する情報、通信を一意的に識別するための情報等のスコアリング情報を含むことが可能である。
P−CSCF4によって実行される第2の検査は、例えばユーザ固有のホワイト/ブラックリストのチェックである。これが、SBC3によって実行された第1の検査と集計された結果、通信フローが悪意のある通信トランザクションを構成する経路累積確率は30%となる。このスコア30%が、通信路1上の次の検査装置2c、すなわちS−CSCF(Serving-Call Session Control Function, サービング−通話セッション制御機能)8へ転送される。S−CSCF8はさらに検査を実行する。これらの検査に基づいて、S−CSCF8は、受け取った30%という経路累積スコアをさらに30%増大させ、全体の確率を60%に変更する。
S−CSCF8によって得られたスコア60%は所定しきい値を超えているため、発呼者対話型チェックを含むさらに詳細な第2段階の検査がS−CSCF8によって実施される。この目的のため、通信フローは検査装置2dへ回され、検査装置2dは発呼者対話型チェック、具体的には例えばチューリングテストを実行する。図1に示した具体例では、発呼者対話型チェックの結果、攻撃を排除することができる。その結果、経路累積スコアは0%に設定され、0%の攻撃確率がS−CSCF8に返される。なお、発呼者対話型チェックは、同じ装置、すなわちS−CSCF8自身によって実行されても、図1に示したようにリモートの検査装置2dによって実行されてもよい。
最後に、スコア0%が被呼者Bへ転送される。被呼者Bは、検査装置として作用してもよく、あるいは図1に示したように、別のリモートの検査装置2eへ通信フローを回してもよい。リモートの検査装置2eは、最終検査を実行する。具体例では、ユーザ固有のブラックリストに対して通信フローをチェックしたところ、発呼者Aがブラックリストに含まれていることが判明したため、検査装置2eは通信フローに99%の攻撃確率を割り当てる。その結果、この確率は所定しきい値を超えているので、検査装置2eは、通信フローに対して適当な対策、この場合には通話の遮断、を実施する。
簡単のため、通信フローのシグナリング部分1aおよびメディアストリーム1bは、同じ通信路1に沿って流れるように図示してある。しかし、これは必ずしもその必要はなく、実際には、シグナリング部分1aはメディアストリーム1bとは別の経路をとってもよい。その場合、シグナリング部分1aとメディアストリーム1bとは異なる検査装置を経由し、したがって異なる装置によって検査されることになる。
なお、通信フローに対して実施されるすべての対策は、法令遵守のために、被呼者Bによって指定された基本設定を(直接または間接に)考慮すべきである。
上記の説明および添付図面の記載に基づいて、当業者は本発明の多くの変形例および他の実施形態に想到し得るであろう。したがって、本発明は、開示した具体的実施形態に限定されるものではなく、変形例および他の実施形態も、添付の特許請求の範囲内に含まれるものと理解すべきである。本明細書では特定の用語を用いているが、それらは総称的・説明的意味でのみ用いられており、限定を目的としたものではない。
Claims (16)
- マルチメディアシステムへの攻撃を検知する方法において、通信元と通信先との間のマルチメディア通信フローによって該マルチメディアシステム内に通信路(1)が確立され、
少なくとも2個の装置(3,4,8)が前記通信路(1)に沿って設けられ、それぞれの前記装置(3,4,8)は検査装置(2)として作用し、該検査装置(2)を経由する前記マルチメディア通信フローを検査することが可能とされ、前記通信路(1)に沿って個々の検査結果が集計され、
それぞれの前記検査装置(2)が、自己の検査結果に関する情報を、前記通信路(1)上の後続の検査装置(2)へ転送し、
前記検査装置(2)間での前記検査関連情報の転送および/または共有が、前記検査装置(2)からアクセス可能なデータベース(6)によって実行される
ことを特徴とする、マルチメディアシステムへの攻撃を検知する方法。 - 前記通信元が発呼者(A)であり、前記通信先が被呼者(B)であることを特徴とする請求項1に記載の方法。
- 転送される情報が、実行された検査自体に関する情報を含むことを特徴とする請求項2に記載の方法。
- 個々の検査装置(2)によって実行された検査に関する情報がすべての前記検査装置(2)間で共有されることを特徴とする請求項1ないし3のいずれか1項に記載の方法。
- 前記検査装置(2)間での前記検査関連情報の転送および/または共有が、シグナリング拡張によって実行されることを特徴とする請求項1ないし4のいずれか1項に記載の方法。
- 前記マルチメディア通信フローが攻撃を構成するかどうかの判定が、前記個々の検査結果の集計に基づいて行われることを特徴とする請求項1ないし5のいずれか1項に記載の方法。
- 前記個々の検査結果が、悪意性を示すスコアおよび/または確率の形で与えられることを特徴とする請求項1ないし6のいずれか1項に記載の方法。
- 前記個々の検査結果の集計が、経路累積スコアおよび/または確率を計算することによって実行されることを特徴とする請求項1ないし7のいずれか1項に記載の方法。
- それぞれの前記検査装置(2)が、前記通信路(1)上で先行する検査装置(2)によって実行された検査の結果に応じて、前記通信フローに対して対策を実施することが可能とされることを特徴とする請求項1ないし8のいずれか1項に記載の方法。
- 前記通信路(1)上における少なくとも第1の検査が、前記マルチメディア通信フローのシグナリング部分(1a)に対して実行されることを特徴とする請求項1ないし9のいずれか1項に記載の方法。
- 前記マルチメディア通信フローのメディア部分(1b)に対する検査は、前記経路累積スコアおよび/または確率が所定しきい値を超える場合に実行されることを特徴とする請求項7ないし10のいずれか1項に記載の方法。
- 前記マルチメディアシステムの境界に位置する検査装置(2)によって実行される検査が、グローバルブラックリストに対するチェック、発呼者メッセージレートのチェック、および/またはなりすまし試行に対するチェックを含むことを特徴とする請求項1ないし11のいずれか1項に記載の方法。
- 前記検査装置(2)によって実行される検査、検査関連情報の伝達プロセス、および前記通信フローに対して対策を実施するプロセスが、前記通信先によって指定された基本設定に従って設定されることを特徴とする請求項1ないし12のいずれか1項に記載の方法。
- 攻撃検知機能を備えたマルチメディアシステムにおいて、通信元と通信先との間のマルチメディア通信フローによって該マルチメディアシステム内に通信路(1)が確立され、
前記マルチメディアシステムは、前記通信路(1)に沿って配置された少なくとも2個の装置(3,4,8)を備え、それぞれの前記装置(3,4,8)は検査装置(2)として作用し、該検査装置(2)を経由するマルチメディア通信フローを検査することが可能とされ、前記マルチメディアシステムは、前記通信路(1)に沿って個々の検査結果を集計するメカニズムをさらに備え、
それぞれの前記検査装置(2)が、自己の検査結果に関する情報を、前記通信路(1)上の後続の検査装置(2)へ転送するように構成され、
前記検査装置(2)間での前記検査関連情報の転送および/または共有が、前記検査装置(2)からアクセス可能なデータベース(6)によって実行される
ことを特徴とする、攻撃検知機能を備えたマルチメディアシステム。 - 前記検査装置(2)が、セッションボーダーコントローラ(3)、SIPプロキシサーバ(4,8)および/またはネットワークルータのようなネットワーク装置を含むことを特徴とする請求項14に記載のシステム。
- 前記検査装置(2)がユーザ機器を含むことを特徴とする請求項14または15に記載のシステム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/EP2007/007355 WO2009024169A1 (en) | 2007-08-21 | 2007-08-21 | Method for detecting attacks to multimedia systems and multimedia system with attack detection functionality |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2010537525A JP2010537525A (ja) | 2010-12-02 |
| JP5114565B2 true JP5114565B2 (ja) | 2013-01-09 |
Family
ID=39353764
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010521308A Expired - Fee Related JP5114565B2 (ja) | 2007-08-21 | 2007-08-21 | マルチメディアシステムへの攻撃を検知する方法および攻撃検知機能を備えたマルチメディアシステム |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9032515B2 (ja) |
| EP (1) | EP2191612B1 (ja) |
| JP (1) | JP5114565B2 (ja) |
| KR (1) | KR101175081B1 (ja) |
| WO (1) | WO2009024169A1 (ja) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010041761A1 (en) * | 2008-10-06 | 2010-04-15 | Nec Corporation | Protection against unsolicited communication for internet protocol multimedia subsystem |
| US20100162379A1 (en) * | 2008-12-23 | 2010-06-24 | Interdigital Patent Holdings, Inc. | Unsolicited communication mitigation |
| US9704177B2 (en) | 2008-12-23 | 2017-07-11 | International Business Machines Corporation | Identifying spam avatars in a virtual universe (VU) based upon turing tests |
| US9697535B2 (en) | 2008-12-23 | 2017-07-04 | International Business Machines Corporation | System and method in a virtual universe for identifying spam avatars based upon avatar multimedia characteristics |
| US8553778B2 (en) | 2009-03-19 | 2013-10-08 | International Business Machines Corporation | Coding scheme for identifying spatial locations of events within video image data |
| US8537219B2 (en) | 2009-03-19 | 2013-09-17 | International Business Machines Corporation | Identifying spatial locations of events within video image data |
| US8656476B2 (en) * | 2009-05-28 | 2014-02-18 | International Business Machines Corporation | Providing notification of spam avatars |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH04284754A (ja) * | 1991-03-14 | 1992-10-09 | Fujitsu Ltd | Atm交換装置 |
| US6321338B1 (en) | 1998-11-09 | 2001-11-20 | Sri International | Network surveillance |
| JP3696806B2 (ja) * | 2001-06-19 | 2005-09-21 | 富士通株式会社 | 通信性能測定装置 |
| JP3652661B2 (ja) * | 2002-03-20 | 2005-05-25 | 日本電信電話株式会社 | サービス不能攻撃の防御方法および装置ならびにそのコンピュータプログラム |
| JP2004030286A (ja) * | 2002-06-26 | 2004-01-29 | Ntt Data Corp | 侵入検知システムおよび侵入検知プログラム |
| JP2007122749A (ja) * | 2002-06-28 | 2007-05-17 | Oki Electric Ind Co Ltd | 警戒システム、不正アクセス追跡方法、不正アクセス検知システム、セキュリティ管理方法及び攻撃防護方法 |
| JP2004164107A (ja) * | 2002-11-11 | 2004-06-10 | Kddi Corp | 不正アクセス監視システム |
| WO2005109754A1 (en) * | 2004-04-30 | 2005-11-17 | Synematics, Inc. | System and method for real-time monitoring and analysis for network traffic and content |
| US20060288411A1 (en) * | 2005-06-21 | 2006-12-21 | Avaya, Inc. | System and method for mitigating denial of service attacks on communication appliances |
| US20080229415A1 (en) * | 2005-07-01 | 2008-09-18 | Harsh Kapoor | Systems and methods for processing data flows |
| US7693064B2 (en) | 2005-10-24 | 2010-04-06 | Cisco Technology, Inc. | Forwarding packets to a directed acyclic graph destination using link selection based on received link metrics |
-
2007
- 2007-08-21 WO PCT/EP2007/007355 patent/WO2009024169A1/en not_active Ceased
- 2007-08-21 US US12/674,480 patent/US9032515B2/en not_active Expired - Fee Related
- 2007-08-21 JP JP2010521308A patent/JP5114565B2/ja not_active Expired - Fee Related
- 2007-08-21 KR KR1020107003740A patent/KR101175081B1/ko not_active Expired - Fee Related
- 2007-08-21 EP EP07786706.7A patent/EP2191612B1/en not_active Not-in-force
Also Published As
| Publication number | Publication date |
|---|---|
| US9032515B2 (en) | 2015-05-12 |
| US20110041181A1 (en) | 2011-02-17 |
| KR101175081B1 (ko) | 2012-08-21 |
| EP2191612A1 (en) | 2010-06-02 |
| EP2191612B1 (en) | 2018-10-31 |
| WO2009024169A1 (en) | 2009-02-26 |
| JP2010537525A (ja) | 2010-12-02 |
| KR20100039890A (ko) | 2010-04-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5225468B2 (ja) | 分散システムにおける攻撃検知支援方法 | |
| US8464329B2 (en) | System and method for providing security for SIP-based communications | |
| JP5114565B2 (ja) | マルチメディアシステムへの攻撃を検知する方法および攻撃検知機能を備えたマルチメディアシステム | |
| US20110280160A1 (en) | VoIP Caller Reputation System | |
| WO2006039629A2 (en) | Voice over internet protocol data overload detection and mitigation system and method | |
| WO2007019583A2 (en) | System and method for providing network level and nodal level vulnerability protection in voip networks | |
| Song et al. | iVisher: Real‐time detection of caller ID spoofing | |
| Yan et al. | Incorporating active fingerprinting into spit prevention systems | |
| Mathieu et al. | SDRS: a voice-over-IP spam detection and reaction system | |
| CN100563246C (zh) | 一种基于ip的语音通信边界安全控制系统及方法 | |
| US20120233660A1 (en) | Method and apparatus for providing security for an internet protocol service | |
| US8266693B1 (en) | System, method, and computer program product for identifying unwanted data communicated via a session initiation protocol | |
| Azad et al. | Multistage spit detection in transit voip | |
| US8612587B1 (en) | Identifying and controlling network sessions via an access concentration point | |
| WO2007095726A1 (en) | System and method for providing security for sip-based communications | |
| JP7400836B2 (ja) | 呼警告装置、呼警告システム、呼警告方法、および、呼警告プログラム | |
| JP2006331015A (ja) | サーバ装置保護システム | |
| Su et al. | An approach to resisting malformed and flooding attacks on SIP servers | |
| JP4800272B2 (ja) | ナンバースキャンニング検知装置およびナンバースキャンニング検知プログラム | |
| US9407668B2 (en) | Protection against unsolicited communication for internet protocol multimedia subsystem | |
| Salehin et al. | Blocking unsolicited voice calls using decoys for the IMS | |
| Stamatiou et al. | Countering Unsolicited Calls in the Internet Telephony: An anti-SPIT Architecture. | |
| CA2537069C (en) | System and method for providing security for sip-based communications | |
| JP2008252221A (ja) | DoS攻撃防御システム、DoS攻撃防御システムにおける攻撃防御方法及びDoS攻撃防御装置 | |
| Hirschbichler et al. | Stop the Flood–Perimeter Security-and Overload-Pre-evaluation in Carrier Grade VoIP Infrastructures |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120518 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120523 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120823 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120918 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20121015 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20151019 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5114565 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |