شماره ركورد
16493
شماره راهنما(اين فيلد مربوط به كارشناس ميباشد لطفا آن را خالي بگذاريد)
16493
پديد آورنده
حسن اصغريان
عنوان
ارائه چارچوب امنيتي براي شناسايي حملات و پاسخ خودكار در كاربردهاي مبتني بر SIP
مقطع تحصيلي
كارشناسي ارشد
رشته تحصيلي
مهندسي كامپيوتر - معماري
تاريخ دفاع
بهمن 1394
استاد راهنما
دكتر احمد اكبري
استاد مشاور
دكتر بيژن راحمي
دانشكده
كامپيوتر
چكيده
چكيده
اصليترين پروتكل كنترلي در شبكههاي چندرسانهاي، SIP است كه به عنوان پروتكل اصلي سيگنالينگ در شبكههاي نسل آينده نيز معرفي شده است. اين پروتكل در لايه كاربردي ظاهري شبيه به پروتكل HTTP دارد و يك پروتكل متني و كاملا حالتمند است. اين پروتكل داراي يك معماري لايهاي در لايه كاربردي است. نتيجه پژوهشهاي منتشر شده بر روي SIP حاكي از آن است كه بيش از 98 درصد از حملات بر روي اين پروتكل به علت مشكلات پيادهسازي و پيكربندي نادرست بوده است. با توجه به رشد شبكههاي چندرسانهاي و توسعه شبكههاي باند پهن ارتباطي و نيز حركت به سمت سرويسهاي متنوع مخابراتي نرمافزار محور، توجه به امنيت پروتكلهاي كنترلي به خصوص در زمينه ابرهاي چندرسانهاي و ابرهاي سرويس جديد، اهميت ويژهاي پيدا كرده است. به همين سبب رساله حاضر با هدف ارائه يك چارچوب امنيتي براي شناسايي حملات موجود در SIP و ارائه پاسخ خودكار در كاربردهاي مبتني بر اين پروتكل ارائه شده است. تمركز فعاليت پژوهشي حاضر صرفا بر روي لايه كنترل بوده است. رويكرد اصلي رساله براي ارائه چارچوب امنيتي مبتني بر ارائه مجموعه ويژگي مناسب براي تشخيص ترافيك ناهنجار يا مهندسي ويژگي بوده است. منظور از مهندسي ويژگي، استفاده از دانش موجود در دادههاي خام استخراج شده از سرآيندهاي SIP و تبديل آنها به ويژگيهاي قابل استفاده در الگوريتمهاي يادگيري ماشين با افزايش دقت عملكرد اين الگوريتمها براي تشخيص ناهنجاري امنيتي بر روي دادههاي جديد است. براي اين منظور پس از تحليل عملكرد طبيعي SIP، استخراج دادههاي قابل استفاده از سرآيند اين پروتكل براي توليد ويژگي انجام شد. در ادامه فرايند مهندسي ويژگي، با بكارگيري دادههاي استخراج شده از سرآيند بستههاي SIP، مجموعهاي از ويژگيهاي قابل استفاده در سيستمهاي تشخيص ناهنجاري توليد شدند. سپس با توجه به نياز موجود براي تشخيص نوع ناهنجاري در چارچوب امنيتي ارائه پاسخ خودكار، تحليل حملات سيلآسا در SIP انجام شده و چهار مجموعه ويژگي مختلف براي تشخيص گروههاي مختلف حملات سيلآسا در SIP ساخته شد. پس از تكميل مجموعه ويژگيهاي توليدي در گروههاي مختلف، عملكرد اين ويژگيها با بكارگيري دو روش يادگيري ماشين مختلف علاوه بر نمايش كيفيت هر يك از آنها به صورت مستقل، سنجيده شد. اين سنجش عملكرد با بكارگيري سه مجموعه دادگان اختصاصي مختلف در SIP انجام شده و كيفيت خروجي از نظر نرخ تشخيص و نرخ هشدار نادرست حاكي از عملكرد مناسب مجموعه ويژگي توليدي در هر يك از كاربردهاي مورد نظر است. پس از تكميل مجموعه ويژگيهاي توليدي براي شناسايي حملات و عملكرد مناسب آنها در سيستمهاي كلاسهبند مختلف، يك چارچوب امنيتي براي ارائه پاسخ خودكار به نفوذ در كاربردهاي مبتني بر SIP ارائه شد. اين چارچوب امنيتي كه به صورت يك سيستم تشخيص نفوذ و پاسخ به آن عمل ميكند، با توسعه يك ديواره آتش اختصاصي براي SIP و يك سيستم پاسخ خودكار به نفوذ در لايه كاربردي سازماندهي شده است. نتايج ارزيابي كارايي چارچوب پيشنهادي بر روي مجموعه دادگان موجود نشان از عملكرد مناسب اين چارچوب امنيتي براي جلوگيري از نفوذ دارد. همچنين از آنجايي كه مجموعه دادگان مناسب و كاملي براي ارزيابي عملكرد سامانههاي امنيتي مبتني بر SIP وجود ندارد، در اين رساله يك بستر آزمايشگاهي عملي براي اين منظور با بكارگيري ابزارهاي متن باز نيز توسعه داده شده است.
كلمات كليدي: امنيت SIP، حملات سيلآساي SIP، سيستم تشخيص نفوذ مبتني بر مشخصه، سيستم پاسخ خودكار به نفوذ
تاريخ ورود اطلاعات
1395/11/13
تاريخ بهره برداري
1/1/1900 12:00:00 AM
دانشجوي وارد كننده اطلاعات
اعظم صادقي
چكيده به لاتين
Abstract
Session Initiation Protocol (SIP) is the main control protocol of multimedia networks that is used as the signaling protocol in Next Generation Networks (NGN). It is a text-based stateful protocol which looks like the HTTP protocol. It manages the transactions in its specific multi-layer architecture over the application layer. The results of previous researches on the SIP attacks show that the root cause of more than 98 percent of these attacks is implementation problems and misconfigurations. New advances in multimedia and broadband communication networks make it possible to define software based services, but the security issues of control protocols in these multimedia clouds has been received proper attentions. Therefore, we present a security framework for intrusion detection and automated response selection on SIP based platforms. We employ the feature engineering approach to generate suitable features for anomaly detection systems. Feature engineering is the process of using domain knowledge of raw data and transforming them into features that best represent the security issues to the machine learning algorithms, resulting in improved model accuracy on unseen data. For this purpose, after analyzing the normal behavior of SIP entities, raw information of SIP header fields that may be used in features are extracted. We objectively estimate the usefulness of features and construct the feature set for using in SIP anomaly detection systems. We also categorize the different flooding attacks in SIP and construct four different feature sets for detecting these attack classes. The experimental results show the performance of proposed feature sets in terms of detection and false alarm rate. Finally, we complete our security framework by adding SIP specific automatic intrusion response module. It is done by the development of an application layer firewall and an automatic response selection engine. The final response is selected from the nominated responses by considering the runtime conditions in addition to the output alarm of detection engine. The results of the performance assessment of the proposed framework on available datasets show the proper function of the security framework in intrusion prevention. Since there is no benchmark data for SIP-based security system assessment, we also provide a real testbed based on the well-known open source applications to generate new and complex attack scenarios.
Keywords: SIP security, SIP flooding attacks, specification based intrusion detection system, automated intrusion response system