آقای حسن اصغریان دانشجوی دکترای جناب آقای دکتر احمد اکبری روز چهارشنبه مورخ ۹۴/۱۱/۲۸ از رساله دکترای خود تحت عنوان "ارائه چارچوب امنیتی برای شناسایی حملات SIP و پاسخ خودکار در کاربردهای مبتنی بر SIP "دفاع خواهند نمود.
چکیده
پروتکل SIP اصلیترین پروتکل کنترلی در شبکههای چندرسانهای است که توسط سازمانهای استانداردسازی به عنوان پروتکل اصلی سیگنالینگ در شبکههای نسل آینده معرفی شده است. این پروتکل لایه کاربردی ظاهری شبیه به پروتکل HTTP دارد و یک پروتکل متنی و کاملا حالتمند است. این پروتکل دارای یک معماری لایهای در لایه کاربردی است. نتیجه پژوهشهای منتشر شده بر روی SIP حاکی از آن است که بیش از 98 درصد از حملات بر روی این پروتکل به علت مشکلات پیادهسازی و پیکربندی نادرست بوده است. با توجه به رشد شبکههای چندرسانهای و توسعه شبکههای باند پهن ارتباطی و نیز حرکت به سمت سرویسهای متنوع مخابراتی نرمافزار محور، توجه به امنیت پروتکلهای کنترلی به خصوص در زمینه ابرهای چندرسانهای، اهمیت ویژهای پیدا کرده است. به همین سبب رساله حاضر با هدف ارائه یک چارچوب امنیتی برای شناسایی حملات موجود در SIP و ارائه پاسخ خودکار در کاربردهای مبتنی بر این پروتکل ارائه شده است. رویکرد اصلی رساله برای ارائه چارچوب امنیتی مبتنی بر مهندسی ویژگی انجام شده است. منظور از مهندسی ویژگی، استفاده از دانش موجود در دادههای خام استخراج شده از سرآیندهای SIP و تبدیل آنها به ویژگیهای قابل استفاده در الگوریتمهای یادگیری ماشین با افزایش دقت عملکرد این الگوریتمها برای تشخیص ناهنجاری امنیتی بر روی دادههای جدید است. برای این منظور پس از تحلیل عملکرد طبیعی SIP، استخراج دادههای قابل استفاده از سرآیند این پروتکل برای تولید ویژگی انجام شد. در ادامه فرایند مهندسی ویژگی، با بکارگیری دادههای استخراج شده از سرآیند بستههای SIP، مجموعهای از ویژگیهای قابل استفاده در سیستمهای تشخیص ناهنجاری تولید شدند. سپس با توجه به نیاز موجود برای تشخیص نوع ناهنجاری در چارچوب امنیتی ارائه پاسخ خودکار، تحلیل حملات سیلآسا در SIP انجام شده و چهار مجموعه ویژگی مختلف برای تشخیص گروههای مختلف حملات سیلآسا در SIP ساخته شد. پس از تکمیل مجموعه ویژگیهای تولیدی در گروههای مختلف، عملکرد این ویژگیها با بکارگیری دو روش یادگیری ماشین مختلف علاوه بر نمایش کیفیت هر یک از آنها به صورت مستقل، سنجیده شد. این سنجش عملکرد با بکارگیری سه مجموعه دادگان اختصاصی مختلف در SIP انجام شده و کیفیت خروجی از نظر نرخ تشخیص و نرخ هشدار نادرست حاکی از عملکرد مناسب مجموعه ویژگی تولیدی در هر یک از کاربردهای مورد نظر است. پس از تکمیل مجموعه ویژگیهای تولیدی برای شناسایی حملات و عملکرد مناسب آنها در سیستمهای کلاسهبند مختلف، یک چارچوب امنیتی برای ارائه پاسخ خودکار به نفوذ در کاربردهای مبتنی بر SIP ارائه شد. این چارچوب امنیتی که به صورت یک سیستم تشخیص نفوذ و پاسخ به آن عمل میکند، با توسعه یک دیواره آتش اختصاصی برای SIP و یک سیستم پاسخ خودکار به نفوذ در لایه کاربردی سازماندهی شده است. نتایج ارزیابی کارایی چارچوب پیشنهادی بر روی مجموعه دادگان موجود نشان از عملکرد مناسب این چارچوب امنیتی برای جلوگیری از نفوذ دارد. همچنین از آنجایی که مجموعه دادگان مناسب و کاملی برای ارزیابی عملکرد سامانههای امنیتی مبتنی بر SIP وجود ندارد، در این رساله یک بستر آزمایشگاهی عملی برای این منظور با بکارگیری ابزارهای متن باز نیز توسعه داده شده است.
کلمات کلیدی: امنیت SIP، حملات سیلآسای SIP، سیستم تشخیص نفوذ مبتنی بر مشخصه، سیستم پاسخ خودکار به نفوذ
:Abstract
Session Initiation Protocol (SIP) is the main control protocol of multimedia networks that is used as the signaling protocol in Next Generation Networks (NGN). It is a text-based stateful protocol which looks like the HTTP protocol. It manages the transactions in its specific multi-layer architecture over the application layer. The results of previous researches on the SIP attacks show that the root cause of more than 98 percent of these attacks is implementation problems and misconfigurations. New advances in multimedia and broadband communication networks make it possible to define software based services, but the security issues of control protocols in these multimedia clouds has been received proper attentions. Therefore, we present a security framework for intrusion detection and automated response selection on SIP based platforms. We employ the feature engineering approach to generate suitable features for anomaly detection systems. Feature engineering is the process of using domain knowledge of raw data and transforming them into features that best represent the security issues to the machine learning algorithms, resulting in improved model accuracy on unseen data. For this purpose, after analyzing the normal behavior of SIP entities, raw information of SIP header fields that may be used in features are extracted. We objectively estimate the usefulness of features and construct the feature set for using in SIP anomaly detection systems. We also categorize the different flooding attacks in SIP and construct four different feature sets for detecting these attack classes. The experimental results show the performance of proposed feature sets in terms of detection and false alarm rate. Finally, we complete our security framework by adding SIP specific automatic intrusion response module. It is done by the development of an application layer firewall and an automatic response selection engine. The final response is selected from the nominated responses by considering the runtime conditions in addition to the output alarm of detection engine. The results of the performance assessment of the proposed framework on available datasets show the proper function of the security framework in intrusion prevention. Since there is no benchmark data for SIP-based security system assessment, we also provide a real testbed based on the well-known open source applications to generate new and complex attack scenarios.
Keywords: SIP security, SIP flooding attacks, specification based intrusion detection system, automated intrusion response system
.
ارائه دهنده:
حسن اصغریان
در رشته مهندسی کامپیوتر گرایش معماری سیستمهای کامپیوتری
استاد راهنما:
دکتر احمد اکبری
هیات داوران:
دکتر محمود فتحی، دکتر سید وحید ازهری، دکتر پیمان کبیری
اساتید مدعو:
دکتر حسین پدرام (دانشگاه صنعتی امیر کبیر )، دکتر احسان ملکیان (دانشگاه خوارزمی)
زمان : چهارشنبه ۲۸بهمن ماه ۱۳۹۴
ساعت ۹:۳۰
مکان: دانشکده مهندسی کامپیوتر- طبقه دوم- اتاق دفاعیه دکتری
دانشکده مهندسی کامپیوتر مدیریت تحصیلات تکمیلی
|