英语原文共 5 页,剩余内容已隐藏,支付完成后下载完整资料
在现实中检测基于模拟信号数字化的交通网络中的数据中的错误
最近,许多基于VoIP(模拟信号数字化)应用的SIP[会话发起协议]/ RTP[实时传输协议]服务已经出现,它们在生活中的普及率逐渐因为免费或廉价的话费以及机器方便支付方式而与日俱增。因此,一些订购了公共交换电话网络(PSTN)服务的用户转转而选择了使用模拟信号数字化(VoIP)的电话服务以及与其有关的产品来替代以前的工哦功能交换电话网络(PSTN)。如今有相当大量的公司开始转型进入这类的通信手段。例如,韩国的LG Dacom公司,三星网络和KAT已经开始部署基于VoIP的SIP[会话发起协议]/ RTP[实时传输协议]服务。据报道,有超过音响五个万用户已订阅所有用户的商用VoIP服务和50%的在韩国被接合在2009年[1]。据IDC称,预计VoIP用户在美国的数量将增加至27百万2009年[2]。因此,如VoIP业务变得流行,这并不奇怪,很多VoIP的异常TRAF音响的c已被公知的[5]。因此,大多数商业服务,如VoIP服务应该提供有关保密,认证,完整性和不可否认性,防止恶意TRAF科幻ccedil;基本的安全功能。 尤其是,目前大多数的SIP[会话发起协议]/ RTP[实时传输协议]的VoIP服务供应与认证相关的最低限度的安全功能。虽然安全传输层协议,如传输层安全(TLS)[6]或安全RTP(SRTP)[7]已经标准化,他们还没有得到充分实现和部署,因为实现和性能的开销目前VoIP应用。因此,未加密的VoIP数据包可以很容易地闻了闻,并伪造的,尤其是在无线局域网。尽管认证,认证密钥如MD5在SIP[会话发起协议]首部可能被恶意利用,因为SIP[会话发起协议]是基于文本的协议和未加密的SIP[会话发起协议]/ RTP[实时传输协议]报文很容易解码。因此,VoIP服务是利用SIP[会话发起协议]/ RTP[实时传输协议]的攻击非常脆弱。我们的目标是提出一个VoIP的采用溢流型TRAF音响C测定建立异常TRAF网络C检测方法。我们考虑三个有代表性的VoIP异常称为取消,服务(DoS)和RTP本文FL ooding攻击BYE拒绝,因为我们发现,在无线局域网恶意用户可以很容易地进行真正的VoIP网络中的这些攻击。为了监测的VoIP数据包,我们采用了IETF的IP流信息输出(IPFIX)[9]标准,基于网络流的V9。此TRAF科幻C测定方法提供了一种灵活的和可扩展的模板结构的各种协议,这是用于观察的SIP[会话发起协议]/ RTP[实时传输协议]有用[10]。为了捕捉和出口的VoIP数据包到IPFIX流人,我们去东北科幻SIP[会话发起协议]/ RTP[实时传输协议]流两个额外的IPFIX模板此外,我们添加四个IPFIX网络的视场观察802.11数据包所必需的检测无线局域网的VoIP源spoo网络纳克攻击。
二. 相关工作
[8]提出了佛罗里达州的海林格距离(HD)的概念ooding检测方法。 [8],他们有前发送过邀请,SYN和RTP 上下行检测甲基消耗臭氧层物质。的HD是一个训练数据集和测试数据集之间的差异值。训练数据集收集TRAF网络下用时间Delta;T N采样周期。测试数据集收集TRAF网络Ccedil;旁边的训练数据在同一时期设置。如果HD接近于#39;1#39;,该试验数据组被认为是异常TRAF音响℃。对于使用这种方法,他们假定初始训练数据集并没有任何异常TRAF科幻℃。由于这种方法是基于数据包数目,它可能不是很容易扩展到检测其它异常TRAF网络Ccedil;除了佛罗里达州ooding。在另一方面,[11]提出了一种异常的VoIP网络TRAF C检测方法,使用扩展有限状态机(EFSM)。 [11]曾建议邀请FL ooding,BYE的DoS异常TRAF网络c和媒体滥发检测方法。不过,状态机需要更多的内存,因为它不得不保持每个溢流。 [13]提出了一份邀请REGIS-TER,RTP FL ooding,并注册/邀请扫描基于NetFlow的-VoIP的异常检测方法。如何有史以来,本文认为VoIP的DoS攻击并没有考虑。在[14],一个IDS方法来检测的SIP[会话发起协议]异常被开发,但只有仿真结果。用于监测的VoIP TRAF音响C,SIPFIX[会话发起协议解决方案]已经提出作为IPFIX延伸。该SIPFIX的主要思想是应用层检测和传输介质会话信息SDP分析。然而,本文只介绍了运用SIPFIX DoS的异常TRAF网络C检测和预防的可能性。我们描述了在[15]检测异常的VoIP网络TRAF c中的初步设想。本文阐述了BYE的DoS基于IPFIX异常TRAF网络c和RTP[实时传输协议]数据流异常TRAF网络Ccedil;DETEC-化方法。根据[15],我们考虑SIP和RTP异常TRAF网络连接中的c无线LAN生成。在这种情况下,有可能产生相似的异常TRAF音响c。与正常的VoIP TRAF音响C,因为攻击者可以很容易地提取未加密的VoIP分组正常用户信息。在本文中,我们扩展了使用无线局域网的数据包信息的附加SIP检测方法的想法。此外,我们已经表明在商用VoIP网络的实际试验结果。
三. 基于VoIP技术的交通中的问题的检测方法
方案A取消的DoS异常TRAF科幻C检测
由于SIP 邀请消息通常是不加密的,攻击者可以提取必要的网络连接的视场重现伪造的SIP消息取消由SNIF网络纳克SIP 邀请包,尤其是在无线局域网。因此,我们不能告诉普通的SIP之间的差异来撤销消息和复制的,因为伪造取消包包括从SIP 邀请的消息推断出正常的网络连接的视场。攻击者将执行的SIP 取消在相同无线局域网DoS攻击,因为在SIP的目的取消攻击是为了防止正常呼叫的区分与识别当受害者正在等待的呼叫。因此,只要攻击者抓住了受害者呼叫邀请消息,它将发送一个SIP 取消消息,这使得呼叫建立失败。我们已经产生伪造的SIP 取消使用消息嗅探SIP邀请信息区域在此取消消息的SIP报头是一样的正常的SIP 取消信息,因为攻击者可以在无线局域网环境中获得未加密的正常SIP消息的SIP报头场。因此,这是不可能检测到使用SIP报头的取消的DoS异常TRAF音响C,我们使用的无线LAN帧的不同的值。也就是说,在802.11帧的序列号将告诉受害者主机和攻击者之间的差异。我们期待到包括SIP 802.11 MAC帧的源MAC地址和序列号取消中所示的消息算法1我们比较SIP的源MAC地址的数据包取消与以前保存的SIP 邀请的溢流。如果SIP协议的源MAC地址取消溢流被改变,这将是极有可能的取消分组由一个未知的用户生成的。但是,源MAC地址会被欺骗。关于802.11源对伪造的检测,我们采用在[12],使用802.11帧的序列号的方法。我们计算第n和(n-1)个802.11的帧之间的差距。如在802.11 MAC报头的序列号场使用12位,它从0到4095变化当我们发现,一个单个SIP之间的序号间隙溢流大于N的阈值将从实验设置更大,我们确定的SIP主机地址作为被欺骗的异常TRAF错误。
方案B. BYE的DoS异常TRAF错误的检测
在商用VoIP应用,SIP BYE消息使用相同的身份验证场包括在SIP 邀请消息安全和计费的目的。如何有史以来,攻击者可以重现BYE拒绝数据包通过网络SNIF吴正常SIP 邀请无线LANs.The包伪造SIP BYE消息一样的是普通的SIP BYE。因此,它是DIF音响崇拜检测BYE拒绝异常TRAF音响c。使用仅SIP首信息之后 SNIF音响纳克SIP INVITE消息,以相同或不同的子网的攻击者就可以终止正常IN-正在进行的呼叫,因为它可以在生成BYE消息成功给SIP代理服务器。在SIP BYE的攻击,这是DIF科幻邪教从正常的呼叫终止的程序来区分。也就是说,我们采用RTP TRAF网络C的时间戳,用于检测SIP BYE攻击。一般地,正常的呼叫终止之后,双向的RTP溢流终止在一个时间BREF空间。然而,如果呼叫终止过程是异常,我们可以观察到一个定向RTP媒体溢流仍在进行,而一个攻击定向RTP溢流被打破了。因此,为了检测SIP BYE攻击,我们决定,我们看一个定向RTP溢流后用于SIP BYE消息ntilde;秒的很长一段时间阈值。 N的阈值也从刚才的.Algorithm 2设置说明的程序,以检测BYE的DoS anomal TRAF音响c。使用RTP分组的捕获时间戳。我们维持与客户之间的SIP会话信息邀请并确定的消息包括BYE包相同的Call-ID和4元组(源/目的IP地址和端口号)。我们通过将纳秒到BYE消息的时间戳值来设置时间的阈值。为什么我们使用所捕获的时间戳的原因是,一些RTP分组下0.5秒观察。如果RTP TRAF音响C是时间阈值后观察到的,这将被认为是一个BYE DoS攻击,因为VoIP会话会与正常的BYE消息被终止。 C. RTP异常TRAF音响℃检测算法3描述了使用RTP[实时传输协议]头部的SSRC和序列号的RTP[实时传输协议]信息流检测方法。在单个RTP[实时传输协议]会话,典型地,相同的SSRC值被保持。如果SSRC被改变,这是极有可能的异常已经发生。此外,如果有RTP包之间有很大的序号间隙,我们确定异常RTP TRAF网络错误已经发生了。作为检查用于分组每序列号定义,我们计算使用第一个的序号间隙,最后,最大和最小的序列号。在RTP报头,序列号场使用16位从0到65535当我们观察到我们的算法种类序号间隙,我们认为它作为一个RTP 流攻击。
- 提高实际表现的效果
A 利用曾经发生过的相似状况与环境
为了检测VoIP的异常TRAF音响C,我们建立了一个实验环境为音响古尔在该ENVI-境中,我们使用两种VoIP电话与无线局域网一攻击者,无线接入路由器和一个IPFIX溢流收集器。对于真实的性能评测中,我们直接使用部署在韩国工作的VoIP网络,其中一个11位数的电话号码(070-XXXX-XXXX)已被分配到一个SIP phone.With无线SIP电话支持802.11之一,我们可以使调用/来自PSTN或蜂窝式电话。在无线接入路由器,我们使用两个无线局域网卡 - 一个是支持AP业务,而另一个是监测802.11报文。此外,为了在无线接入路由器来观察的VoIP数据包,我们莫迪网络版nProbe [16],这是一个开放的IPFIX溢流发电机,以创建和导出IPFIX流人与SIP,RTP和802.11的信息有关。作为IPFIX集电极,我们有改性音响编libip音响X,这样它可以为SIP,RTP和802.11模板提供IPFIX溢流解码功能。我们使用的MySQL的溢流DB。
B 利用过去发生过的相同环境的结果
为了评估我们提出的算法,我们的发电机erated 1946的VoIP与两家商业SIP电话以及VoIP异常TRAF网络Ccedil;发电机电话。表一显示了我们的准确率,召回和F-得分是的精度和召回率调和平均值的实验结果。在取消的DoS异常TRAF音响℃检测,我们的算法表示的少数假阴性的情况下,将其与序列号的802.11 MAC报头的间隙阈值有关。用于检测SIP的F-score值的平均CANCEL异常的97.69%。对于BYE异常的测试中,我们产生755 BYE MES-先贤包括118 BYE的DoS距平的EXPER-iment。建议BYE的DoS异常TRAF网络Ccedil;DETEC-化算法发现异常112与96.13%的F-比分。如果一个RTP溢流的门槛前终止,我们认为异常溢流作为一个正常的。在这个算法中,我们提取邀请并确定或会话描述信息使用BYE的相同的Call-ID的消息RTP会话信息。它是可以不捕捉那些包,导致几个假阴性的情况。该RTP FL ooding异常TRAF网络C检测实验810 RTP会话导致F值的98%,假阳性病例。其原因是,在RTP报头的序列号相关。如果异常TRAF网络C的序列号与正常TRAF网络C的范围内重叠,我们的算法会认为这是正常的TRAF科幻℃。
五.总结
我们建议在本文中一个异常溢流型TRAF科幻ccedil;DETEC-化对SIP和基于RTP的异常TRAF音响C方法。我们提出的VoIP与无线接入路由器上溢流数据异常TRAF网络C检测方法。我们使用IETF标准的IPFIX监控SIP / RTP流人通过无线接入路由器,因为它的模板架构很容易扩展到多个协议。为此,我们去连接供SIP和RTP TRAF网络c和802.11 TRAF网络C四新IPFIX网络的视场斯内德两个新的IPFIX模板。使用这些IPFIX溢流模板,我们建议取消/ BYE DoS和RTP[实时传输协议]数据流 TRAF网络错误检测算法。在韩国工作的VoIP网络上的实验结果,我们发现,我们的方法是能够检测SIP电话三个有代表性的VoIP攻击。在取消/ BYE的DoS异常TRAF网络Ccedil;
检测方法,我们采用对时间和序列号缺口正常和异常的VoIP数据包级的网络连接阳离子阈值。本文尚未提及合适的阈值的测试结果。对于今后的工作中,我们将展示有关我们的检测方法的阈值的评估实验结果。
.验证和认证
虽然加密标准是defin-ING公认的安全方法最有用的,往往有确定特定产品或imple - 心理状态是否确实,其实没办法,符合给定的标准。为了满足需要这样的手段,财政部,国家安全局和美国国家标准局已经开发了相关的验证亲克某些加密系统。
当数据加密标准出版,NBS认为它必须建立用于验证硬件实现的程序。一组试验设计,使任何通过所有的测试设备很容易正确imple-换货的标准。该计划的成功,本文在前面讨论过。
联邦标准1027放在超出了基本的DES算法设备的附加要求。 DES的已被安全地实施与包括锁和警报物理访问控制的外壳,以及装备-换货已吨ouml;被频繁测试正常运行,这样的故障不会造成敏感数据的折衷。美国国家安全局已经认可至少32个厂家设备正确作为实施FS 1027。
1984年,财政部美国能源部写道要求,该部的电子资金转账(EFT)的消息被正确地立即将所有的新系统,并在所有系统由1988年[28]认证的政策指令。这一政策肯定财政部长詹姆斯·贝克,111,
全文共6364字,剩余内容已隐藏,支付完成后下载完整资料
资料编号:[154599],资料为PDF文档或Word文档,PDF文档可免费转换为Word
以上是毕业论文外文翻译,课题毕业论文、任务书、文献综述、开题报告、程序设计、图纸设计等资料可联系客服协助查找。
