آقای حسن اصغریان دانشجوی دکترای جناب آقای دکتر احمد اکبری روز چهارشنبه مورخ ۹۴/۱۱/۲۸  از رساله دکترای خود تحت عنوان "ارائه چارچوب امنیتی برای شناسایی حملات SIP و پاسخ خودکار در کاربردهای مبتنی بر SIP "دفاع خواهند نمود.

چکیده

پروتکل SIP اصلی‌ترین پروتکل کنترلی در شبکه‌های چندرسانه‌ای است که توسط سازمان‌های استانداردسازی به عنوان پروتکل اصلی سیگنالینگ در شبکه‌های نسل آینده معرفی شده است. این پروتکل لایه کاربردی ظاهری شبیه به پروتکل HTTP دارد و یک پروتکل متنی و کاملا حالتمند است. این پروتکل دارای یک معماری لایه‌ای در لایه کاربردی است. نتیجه پژوهش‌های منتشر شده بر روی SIP حاکی از آن است که بیش از 98 درصد از حملات بر روی این پروتکل به علت مشکلات پیاده‌سازی و پیکربندی نادرست بوده است. با توجه به رشد شبکه‌های چندرسانه‌ای و توسعه شبکه‌های باند پهن ارتباطی و نیز حرکت به سمت سرویس‌های متنوع مخابراتی نرم‌افزار محور، توجه به امنیت پروتکل‌های کنترلی به خصوص در زمینه ابرهای چندرسانه‌ای، اهمیت ویژه‌ای پیدا کرده است. به همین سبب رساله حاضر با هدف ارائه یک چارچوب امنیتی برای شناسایی حملات موجود در SIP و ارائه پاسخ خودکار در کاربردهای مبتنی بر این پروتکل ارائه شده است. رویکرد اصلی رساله برای ارائه چارچوب امنیتی مبتنی بر مهندسی ویژگی انجام شده است. منظور از مهندسی ویژگی، استفاده از دانش موجود در داده‌های خام استخراج شده از سرآیندهای  SIP و تبدیل آنها به ویژگی‌های قابل استفاده در الگوریتم‌های یادگیری ماشین با افزایش دقت عملکرد این الگوریتم‌ها برای تشخیص ناهنجاری امنیتی بر روی داده‌های جدید است. برای این منظور پس از تحلیل عملکرد طبیعی SIP، استخراج داده‌های قابل استفاده از سرآیند این پروتکل برای تولید ویژگی انجام شد. در ادامه فرایند مهندسی ویژگی، با بکارگیری داده‌های استخراج شده از سرآیند بسته‌های SIP، مجموعه‌ای از ویژگی‌‌های قابل استفاده در سیستم‌های تشخیص ناهنجاری تولید شدند. سپس با توجه به نیاز موجود برای تشخیص نوع ناهنجاری در چارچوب امنیتی ارائه پاسخ خودکار، تحلیل حملات سیل‌آسا در SIP انجام شده و چهار مجموعه ویژگی مختلف برای تشخیص گروه‌های مختلف حملات سیل‌آسا در SIP ساخته شد. پس از تکمیل مجموعه ویژگی‌های تولیدی در گروه‌های مختلف، عملکرد این ویژگی‌ها با بکارگیری دو روش یادگیری ماشین مختلف علاوه بر نمایش کیفیت هر یک از آنها به صورت مستقل، سنجیده شد. این سنجش عملکرد با بکارگیری سه مجموعه دادگان اختصاصی مختلف در SIP انجام شده و کیفیت خروجی از نظر نرخ تشخیص و نرخ هشدار نادرست حاکی از عملکرد مناسب مجموعه ویژگی تولیدی در هر یک از کاربردهای مورد نظر است. پس از تکمیل مجموعه ویژگی‌های تولیدی برای شناسایی حملات و عملکرد مناسب آنها در سیستم‌های کلاسه‌بند مختلف، یک چارچوب امنیتی برای ارائه پاسخ خودکار به نفوذ در کاربردهای مبتنی بر SIP ارائه شد. این چارچوب امنیتی که به صورت یک سیستم تشخیص نفوذ و پاسخ به آن عمل می‌کند، با توسعه یک دیواره آتش اختصاصی برای SIP و یک سیستم پاسخ خودکار به نفوذ در لایه کاربردی سازمان‌دهی شده است. نتایج ارزیابی کارایی چارچوب پیشنهادی بر روی مجموعه دادگان موجود نشان از عملکرد مناسب این چارچوب امنیتی برای جلوگیری از نفوذ دارد. همچنین از آنجایی که مجموعه دادگان مناسب و کاملی برای ارزیابی عملکرد سامانه‌های امنیتی مبتنی بر SIP وجود ندارد، در این رساله یک بستر آزمایشگاهی عملی برای این منظور با بکارگیری ابزارهای متن باز نیز توسعه داده شده است.

کلمات کلیدی: امنیت SIP، حملات سیل‌آسای SIP، سیستم تشخیص نفوذ مبتنی بر مشخصه، سیستم پاسخ خودکار به نفوذ 

  :Abstract

Session Initiation Protocol (SIP) is the main control protocol of multimedia networks that is used as the signaling protocol in Next Generation Networks (NGN). It is a text-based stateful protocol which looks like the HTTP protocol. It manages the transactions in its specific multi-layer architecture over the application layer. The results of previous researches on the SIP attacks show that the root cause of more than 98 percent of these attacks is implementation problems and misconfigurations. New advances in multimedia and broadband communication networks make it possible to define software based services, but the security issues of control protocols in these multimedia clouds has been received proper attentions. Therefore, we present a security framework for intrusion detection and automated response selection on SIP based platforms. We employ the feature engineering approach to generate suitable features for anomaly detection systems. Feature engineering is the process of using domain knowledge of raw data and transforming them into features that best represent the security issues to the machine learning algorithms, resulting in improved model accuracy on unseen data. For this purpose, after analyzing the normal behavior of SIP entities, raw information of SIP header fields that may be used in features are extracted. We objectively estimate the usefulness of features and construct the feature set for using in SIP anomaly detection systems. We also categorize the different flooding attacks in SIP and construct four different feature sets for detecting these attack classes. The experimental results show the performance of proposed feature sets in terms of detection and false alarm rate. Finally, we complete our security framework by adding SIP specific automatic intrusion response module. It is done by the development of an application layer firewall and an automatic response selection engine. The final response is selected from the nominated responses by considering the runtime conditions in addition to the output alarm of detection engine. The results of the performance assessment of the proposed framework on available datasets show the proper function of the security framework in intrusion prevention. Since there is no benchmark data for SIP-based security system assessment, we also provide a real testbed based on the well-known open source applications to generate new and complex attack scenarios.

Keywords: SIP security, SIP flooding attacks, specification based intrusion detection system, automated intrusion response system

.

  ارائه­ دهنده:

حسن اصغریان

در رشته مهندسی کامپیوتر گرایش معماری سیستمهای کامپیوتری

  استاد راهنما:

  دکتر احمد اکبری

  هیات داوران:

دکتر محمود فتحی، دکتر سید وحید ازهری، دکتر پیمان کبیری

اساتید مدعو:

دکتر حسین پدرام (دانشگاه صنعتی امیر کبیر )، دکتر احسان ملکیان (دانشگاه خوارزمی)

  زمان : چهارشنبه ۲۸بهمن ماه ۱۳۹۴

  ساعت ۹:۳۰

  مکان: دانشکده مهندسی کامپیوتر- طبقه دوم- اتاق دفاعیه دکتری

  دانشکده مهندسی کامپیوتر مدیریت تحصیلات تکمیلی