A Privacy-Preserving Entropy-Driven Framework for Tracing DoS Attacks in VoIP

Tsiatsikas, Zisis; Geneiatakis, Dimitris; Kambourakis, Georgios; Keromytis, Angelos D.

doi:10.1109/ares.2013.30

Cited by 6 publications

(7 citation statements)

References 32 publications

Supporting

Mentioning

Contrasting

Order By: Relevance

“…This method uses defined transaction state machines in SIP standard and can only detect different DoS attacks during transactions. In previous studies, 33,34 the authors used log files and audit trails to detect improper use of VoIP network. The privacy and huge size of users' information encouraged the authors to apply hash functions for anonymity purposes.…”

Section: Related Workmentioning

confidence: 99%

Anomaly‐based DoS detection and prevention in SIP networks by modeling SIP normal traffic

Hosseinpour

Yaghmaee

Seno

et al. 2018

Int J Communication

View full text Add to dashboard Cite

Due to the various features of Voice over Internet Protocol (VoIP), this technology has attracted the attention of many users in comparison with the traditional telephony system. However, with the growth of this technology, the security issues and protection of its users against different kinds of threats have been raised as an essential requirement. Session Initiation Protocol is a predominant protocol to initiate and terminate multimedia sessions in VoIP networks that provide simplicity and text-based features. Despite its mentioned advantages, these features impose several vulnerabilities on VoIP networks. Denial of Service attack, as one of the most common attacks against VoIP networks, is also a noted security issue in the Internet Protocol platforms. In such attacks, the attacker tries to prevent service from authorized users by consuming server resources. These attacks can be launched by sending out-of-sequence messages, malformed messages, and flooding different kinds of messages. In this study, a new anomaly-based method is presented for detection and prevention of these attacks. Normal traffic of a VoIP network is modeled by making a finite state machine, which is used for attack detection besides other proposed modules. Furthermore, a whitelist method is implemented using Bloom data structure for attack prevention. The proposed method is completely implemented and tested using different test scenarios. The obtained results show that by using proposed method, attacks can be detected more accurately with lower false ratios and delay in comparison with the existing methods. KEYWORDSVoIP network, SIP security, DoS attacks, finite state machine (FSM)

show abstract

Section: Related Workmentioning

confidence: 99%

Anomaly‐based DoS detection and prevention in SIP networks by modeling SIP normal traffic

Hosseinpour

Yaghmaee

Seno

et al. 2018

Int J Communication

View full text Add to dashboard Cite

show abstract

“… showed examples of attacks detected over SIP‐based VoIP, while Tsiatsikas et al . proposed a design to trace DoS attacks in VoIP, but does not protect users' identities.…”

Section: Literature Reviewmentioning

confidence: 99%

Using group anonymity to hide the identity of VoIP mobile users communicating over hybrid networks while preserving quality of service

Sabra

Artail

2016

Wirel. Commun. Mob. Comput.

View full text Add to dashboard Cite

Security and privacy have become critical in computer networks, especially with the emergence of E-commerce. Other than securing the transfer of data, users are interested in protecting their profile privacy against exposure attacks. Multimedia communications are at the core of new information and communication technologies. We seek to achieve end users' profile privacy without violating the Quality of Service constraints on the throughput, end-to-end delay, and jitter, as these parameters represent the critical factors in multimedia applications. We propose an end-to-end anonymity design that takes into consideration the constraints of Voice-over-IP applications in a hybrid network environment, which involves ad hoc and infrastructure networks. Using clusterheads for communication anonymity to preserve user profile privacy, as well as encryption of the real-time protocol payload, we prove using analysis and simulations that our model can be easily integrated into currently deployed network infrastructures.

show abstract

“…Precisely, a first contribution of this PhD thesis builds over the idea proposed in [129], that is, the use of Entropy theory to detect abnormalities in raw application data. Specifically, through extensive experimentation, we extend, calibrate and throughly assess the effectiveness of the initial idea, thus offering a complete formalized framework that can be used to trace and detect application layer DDoS attacks in SIP networks.…”

Section: Discussionmentioning

confidence: 99%

“…A year later, Tsiatsikas et al [34] proposed an entropy-driven framework for battling against DoS attacks in SIP. In essence, the authors extended their previous work introduced in [129]. As the authors stated, their scheme operates both as a standalone application and a software module destined to SIP proxies.…”

Section: Statistical Schemesmentioning

confidence: 97%

“…On the other hand, data coming from the application layer are usually rich of information that can be processed towards identifying security incidents. The authors in [129] have identified this potential in theoretical level, but unfortunately the results they provide solely stem from offline analysis using predetermined patterns of SIP traffic.…”

Section: Detection Of Dos Attacks In Sip Using Statistical Meansmentioning

confidence: 99%

See 1 more Smart Citation

Ανίχνευση Και Πρόληψη Επιθέσεων Άρνησης Εξυπηρέτησης Στα Πρωτόκολλα SIP Και SDP

Τσιάτσικας¹

View full text Add to dashboard Cite

Οι πολυμεσικές υπηρεσίες που παρέχονται μέσω του Διαδικτύου, και συγκεκριμένα αυτές που αξιοποιούν το πρωτόκολλο SIP για τη διαχείριση της σηματοδοσίας, συνεχίζουν να αναπτύσσονται ραγδαία. Επιπρόσθετα, οι εν λόγω υπηρεσίες αποτελούν ένα από τα βασικά δομικά στοιχεία των δικτύων ύστερων γενεών (5G). Ανεξαρτήτως του ρυθμού ανάπτυξης τους, οι πολυμεσικές υπηρεσίες που αξιοποιούν το SIP παρουσιάζουν μια ευρεία επιφάνεια ευπαθειών, καθιστώντας τις αντίστοιχες υπηρεσίες επιρρεπείς σε ένα μεγάλο σύνολο επιθέσεων. Μεταξύ αυτών, οι επιθέσεις άρνησης εξυπηρέτησης ανήκουν στην κατηγορία ισχυρότερων και καταστρεπτικότερων, καθώς στοχεύουν στην κατανάλωση των πόρων των εμπλεκομένων συστημάτων και δικτύων, με σκοπό να τα παραλύσουν και να προκαλέσουν δυσαρέσκεια στον τελικό χρήστη. Μέχρι στιγμής, η βιβλιογραφία στο συγκεκριμένο ερευνητικό πεδίο εμφανίζει ένα σημαντικό πλήθος εργασιών με σκοπό την ανίχνευση, την αποτροπή και την ελαχιστοποίηση των επιπτώσεων των επιθέσεων άρνησης εξυπηρέτησης. Συνολικά, αν και η συγκεκριμένη περιοχή έχει μελετηθεί εκτενώς στη βιβλιογραφία, φαίνεται να υπάρχει ένα σημαντικό κενό αναφορικά με την αποτίμηση των μεθόδων ή/και πλαισίων ασφαλείας, και την αξιολόγηση τους, όταν αυτά λειτουργούν τόσο σε πραγματικό, όσο και σε μη πραγματικό χρόνο. Επιπρόσθετα, μόνο ένα μικρό σύνολο των εν λόγω εργασιών ασχολείται με την εφαρμογή τεχνικών μηχανικής μάθησης για την ανίχνευση περιστατικών άρνησης εξυπηρέτησης σε περιβάλλοντα SIP. Τέλος, ενώ το μεγαλύτερο μέρος της σχετικής βιβλιογραφίας ασχολείται με τις επιθέσεις άρνησης εξυπηρέτησης που έχουν ώς φορέα τις κεφαλίδες των μηνυμάτων SIP, ελάχιστες εξετάζουν το κυρίως σώμα του μηνύματος. Επιπλέον, ενώ μέχρι τώρα ένας σημαντικός όγκος των σχετικών εργασιών στην παρούσα ερευνητική περιοχή ασχολούνται με επιθέσεις στο πρωτόκολλο SIP, ελάχιστες από αυτές ασχολούνται με τη δημιουργία συγκεκαλυμμένων καναλιών, και καμία με την αξιοποίηση του πρωτοκόλλου SDP ως φορέα αυτών. Η σημαντικότερη συνεισφορά της παρούσας διατριβής αφορά στην ανάπτυξη και το σχεδιασμό ενός συστήματος ανίχνευσης εισβολών, με σκοπό την καταπολέμηση κατανεμημένων επιθέσεων άρνησης εξυπηρέτησης στο SIP. Ο στόχος αυτός, εκπληρώνεται με το σχεδιασμό και την ανάπτυξη μηχανισμών ανίχνευσης εισβολών που βασίζονται στην ανάλυση αρχείων λογιστικών καταγραφών του δικτύου στο επίπεδο εφαρμογής. Τα αρχεία αυτά θεωρούνται μια πλούσια πηγή πληροφορίας αναφορικά με την ανίνευση περιστατικών άρνησης εξυπηρέτησης, καθώς και για την γενικότερη αξιολόγηση του επιπέδου ασφαλείας ενός συστήματος. Συγκεκριμένα, σχεδιάζουμε, υλοποιούμε και αξιολογούμε μια υπηρεσία ανίχνευσης εισβολών που επιπλέον διατηρεί την ιδιωτικότητα του τελικού χρήστη με γνώμονα την ιδιωτικότητα, για την αξιολόγηση επιθέσεων άρνησης εξυπηρέτησηςη ενός παρόχου υπηρεσιών VoIP, είτε εξετάζοντας αρχεία λογιστικών καταγραφών, ή εξετάζοντας τη δικτυακή κίνηση σε πραγματικό χρόνο. Για να επιτευχθεί αυτό, αξιοποιούμε δύο στατιστικές μεθόδους που βασιζονται στην εντροπία και την απόσταση Hellinger. Μια δεύτερη συνεισφορά της παρούσας διατριβής επικεντρώνεται στην αξιολόγηση της εφαρμογής πέντε διαφορετικών τεχνικών μηχανικής μάθησης, με σκοπό την καταπολέμηση των επιθέσεων κατανεμημένης άρνησης εξυπηρέτησης. Στην αξιολόγηση των μεθόδων μας λαμβάνουμε υπόψη επιθέσεις τόσο υψηλού όσο και χαμηλού όγκου δεδομένων και ρυθμών μετάδοσης μηνυμάτων. Επιπρόσθετα, στο πλαίσιο της ανάλυσης μας, και για την περίπτωση των κατανεμημένων επιθέσεων άρνησης εξυπηρέτησης, συγκρίνουμε τις επιδόσεις του συστήματος με αυτές που παρήχθησαν κατά την εφαρμογή των στατιστικών μεθόδων, δηλαδή της εντροπίας και της απόστασης Hellinger. Υπό αυτό το πρίσμα, εξετάζουμε τις ακόλουθες δύο βασικές κατηγορίες επιθέσεων (α) αυτές που χρησιμοποιούν το πρωτόκολλο SDP - το οποίο αξιοποιείται από το SIP - ως φορέα προκειμένου να μεταφέρουν κρυφή πληροφορία, και (β) αυτές που αξιοποιούν συγκεκριμένα τμήματα ενός μηνύματος SDP με σκοπό να προκαλέσουν άρνηση εξυπηρέτησης στα εμπλεκόμενα συστήματα ή/και στον χρήστη της υπηρεσίας. Ως παράδειγμα του πρώτου τύπου επιθέσεων παρουσιάζουμε και αξιολογούμε τη λειτουργία ενός απλού αλλά ιδιαίτερα αποτελεσματικού κρυφού καναλιού επικοινωνίας, το οποίο βασίζεται αποκλειστικά στο πρωτόκολλο SDP, για την επικοινωνία μολυσμένων συσκευών (ρομπότ) μεταξύ τους ή με τον διακομιστή εντολών (C&C). Σε αυτό το πλαίσιο, όχι μόνο εξερευνούμε αυτή την κατηγορία επιθέσεων, αλλά επίσης καταδεικνύουμε την επίδραση τους στον τελικό χρήστη. Επιπρόσθετα, υλοποιούμε ένα επεκτάσιμο άρθρωμα ανοιχτού λογισμικού, ικανό να ανιχνεύει εκούσια ή ακούσια αλλοιωμένα μηνύματα SDP, τα οποία παρασιτούν στα μηνύματα SIP. Ακολουθώντας μια λογική παρόμοια με αυτή ενός αναχώματος ασφαλείας, το εν λόγω άρθρωμα λογισμικού μέχρι στιγμής ενσωματώνει 100 διαφορετικούς κανόνες, οργανωμένους σε 4 κατηγορίες (πολιτικές) σύμφωνα με το RFC 4566.

show abstract

A Privacy-Preserving Entropy-Driven Framework for Tracing DoS Attacks in VoIP

Cited by 6 publications

References 32 publications

Anomaly‐based DoS detection and prevention in SIP networks by modeling SIP normal traffic

Anomaly‐based DoS detection and prevention in SIP networks by modeling SIP normal traffic

Using group anonymity to hide the identity of VoIP mobile users communicating over hybrid networks while preserving quality of service

Ανίχνευση Και Πρόληψη Επιθέσεων Άρνησης Εξυπηρέτησης Στα Πρωτόκολλα SIP Και SDP

Contact Info

Product

Resources

About