Monitoring SIP Traffic Using Support Vector Machines



Documentos relacionados
1. Qué codec de audio seleccionaría para minimizar el ancho de banda?

SIP based VoIP Traffic Behavior Profiling and Its Applications. Juan R. Cayon Alcalde GRSST Automatica y Computacion UPNA

INFORME DE ACREDITACIÓN DE SEGURIDAD PARA EL CUMPLIMIENTO DE LA DISPOSICIÓN TRANSITORIA CUARTA DEL REAL DECRETO 1671/2009, DE 6 DE NOVIEMBRE, POR EL

Plataforma de VoIP en el CATNIX

ATEL ASESORES C.A IP Multimedia Subsystem Prof. Diógenes Marcano

Base de datos II Facultad de Ingeniería. Escuela de computación.

SISTEMAS DE INFORMACIÓN II TEORÍA

CALIDAD DE SOFTWARE (CSO) Práctica 2: Calidad de Arquitecturas Software. Introducción a ATAM

MÁQUINA DE VECTORES DE SOPORTE

Mineria de datos y su aplicación en web mining data Redes de computadores I ELO 322

Aplicaciones sobre una red de telefonía IP. Presentado por: Tamara Ramírez Andrade Jaime Díaz Rojas

Práctica 11 SVM. Máquinas de Vectores Soporte

SISTEMAS INTELIGENTES

SIP. Capacidades de SIP. Integración con Protocolos IETF. Que es SIP? Session Initiation Protocol

Support Vector Machines

Última modificación: 7 de junio de

SEWERIN. Pre Localización De Fugas de Agua

Capítulo 2. Técnicas de procesamiento digital de imágenes y reconocimiento de patrones.

SUNNY CENTRAL COMMUNICATION CONTROLLER

Act 10: TRABAJO COLABORATIVO 2 METODOS DETERMINISTICOS

TTI-Serv. TTI - Módulo Gestión de Servicios. Versión V20

MÁQUINAS DE VECTORES DE SOPORTE

VIDEOCONFERENCIAS SOBRE SIP

SAQQARA. Correlación avanzada y seguridad colaborativa_

Seguridad en Administración de Redes. INTEGRANTES: Santa Elena Rodríguez Calzada María de los Ángeles Ramírez Ortiz Liliana Gpe. Olivares Valdovinos.

1. El proceso de digitalización de la voz consiste en las siguientes etapas:

"Diseño, construcción e implementación de modelos matemáticos para el control automatizado de inventarios

Información técnica SUNNY CENTRAL COMMUNICATION CONTROLLER

2 Teoría de colas o líneas de espera

Concentradores de cableado

La telefonía tradicional

17 de Agosto de 2013 HERRAMIENTAS DE CALIDAD TOTAL

Mediante el Panel de control gestionar todo el servicio es muy sencillo, su interfaz y diseño son muy amigables y es totalmente autoadministrable.

CLASIFICACIÓN NO SUPERVISADA

Capítulo 5: PROTOCOLO ICCP

Diseño dinámico de arquitecturas de información

APS1.1: Determinar las diferencias entre los atributos del producto/servicio a comercializar en mercados internacionales y los de la competencia.

Hacking Ético. Módulo II Fase 2: Técnicas activas de obtención de información: Escaneo

Protocolo SIP. 05 Diciembre 2007

Manual de Usuario CPE OX330. Manual de Usuario CPE OX330

Monitorización de sistemas y servicios

Teoría de Colas. TC: Parte de la Investigación Operativa que estudia el comportamiento de sistemas cuyos elementos incluyen líneas de espera (colas).

Ing. Leonardo Uzcátegui WALC 2010 Santa Cruz de la Sierra /Bolivia

Asignación de Procesadores

Monitorización y Optimización de la Distribución de Energía Eléctrica

NIC 1. Estados financieros (6) Pronunciamiento No. 8 C.T.C.P.

PRUEBAS DE SOFTWARE TECNICAS DE PRUEBA DE SOFTWARE

Versión final 8 de junio de 2009

VoIP. Voice Over IP. Gerard Sales Mariano Gracia Julian H. Del Olmo Jose M. Vila

Mejora la eficiencia de los parques eólicos mediante el análisis de los datos SCADA

MANUAL DE USUARIO FACTURACIÓN ELECTRÓNICA

Open-Xchange Server. VoipNow Manual de usuario

Clasificación de tráfico en Internet utilizando métodos estadísticos

Con SNMP y MIB-II sólo se puede recuperar información local a los dispositivos.

Yull Arturo Matamba Valencia Andrés Xavier Rogel Valarezo

Ingeniería del Software I Clase de Testing Funcional 2do. Cuatrimestre de 2007

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad

Anexo B. Comunicaciones entre mc y PC

Seguridad de la información en SMart esolutions

Introducción a Spamina

Monitorización y gestión de dispositivos, servicios y aplicaciones

4 Pruebas y análisis del software

PRUEBAS DE CONOCIMIENTOS FINANCIEROS APLICADAS POR CONCILIAT SELECCION

Inteligencia Artificial y Seguridad Informática. en plataformas Open Source

FRAUDE TELEFÓNICO.

SIQUNET LIMS. Sistema Integrado de Gestión de Laboratorios

CLUSTERING MAPAS AUTOORGANIZATIVOS (KOHONEN) (RECUPERACIÓN Y ORGANIZACIÓN DE LA INFORMACIÓN)

Métricas de complejidad para la transformación del problema de detección de cáncer basado en

Uso de Factores de Generación en la Evaluación Social de Proyectos de Pavimentación de Caminos

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES

Visión global del KDD

CAPITULO 4 JUSTIFICACION DEL ESTUDIO. En este capítulo se presenta la justificación del estudio, supuestos y limitaciones de

Guía Rápida de Inicio

Innovation Security Day. Metashield Protector

A Manual de instalación de Opinion Analyzer (OPAL)

Solución para VoIP y servicios de SMS. MediaCore Solución. Mecanismo de. de Ingresos. Punto unificado de Sistema de Control. Apoyo de SMS al por mayor

Nota de Aplicación May 2010 Rev 03

Support Vector Machine

Guía Rápida de Inicio

Coordinación de Estrategia Digital Nacional Oficina de la Presidencia

NIVEL: CICLO SUPERIOR DE GESTIÓN COMERCIAL Y MARKETING

Aprendizaje Automático y Data Mining. Bloque IV DATA MINING

6. TARJETA TELEFÓNICA: MARCACIÓN, DETECCIÓN DE PASO A FALTA, TONOS, PULSOS, INTERRUPCIÓN

Power Monitoring Expert

PROGRAMACIÓN ORIENTADA A OBJETOS Master de Computación. II MODELOS y HERRAMIENTAS UML. II.2 UML: Modelado de casos de uso

Maxpho Commerce 11. Gestión CSV. Fecha: 20 Septiembre 2011 Versión : 1.1 Autor: Maxpho Ltd

MUESTREO CONCEPTOS GENERALES

DISEÑO E IMPLEMENTACIÓN DE SOLUCIONES BUSINESS INTELLIGENCE CON SQL SERVER 2012

ANUNCIOS.com. Alejandro Rodríguez, 32-3ª planta Madrid teléfono (+34)

REPORTE TÉCNICO COMPARACIÓN DE DETECCIÓN DE SPAM ENTRE FENIX Y GMAIL Ing. Fernando Javier Martínez Mendoza

Random Forests. Felipe Parra

mope PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS Página 0 PASEO GENERAL MARTINEZ CAMPOS MADRID info@mope.

TEMA 4: Introducción al Control Estadístico de Procesos

Transcripción:

Monitoring SIP Traffic Using Support Vector Machines Mohamed Nassar, Radu State, and Olivier Festor Centre de Recherche INRIA Nancy - Grand Est Villers-Lès-Nancy, France Presenta: Juan Ramón Cayón Alcalde

Contenidos [1] Amenazas [3] Sistema de Monitorización [5] 38 Parámetros [4] Support Vector Machine [5] Monitorizando SIP [3] Rendimiento y Precisión [6] Detección de Ataques [2] Conclusiones 2 /31

Amenazas Ataques por inundación: fáciles de detectar UDP, INVITE, INVITE/REGISTER Amenazas sociales Difíciles de detectar (user dependant, mensajes bien formados, etc.) Llamadas no solicitadas, SPIT, Vishing 3 /31

Sistema de Monitorización Dividen la traza en intervalos fijos de tiempo Analizan 38 características en cada trozo Generan un vector de estadísticas con los resultados de los 38 parámetros El vector se pasa a un sistema de clasificación (SVM en este caso) El clasificador decide si el vector es normal o anómalo 4 /31

Sistema de Monitorización 5 /31

Sistema de Monitorización Basado en aprendizaje Alimentado con pares (vector, classid) Aprendizaje al vuelo Arquitectura modular: <> Sistemas clasificación <> Técnicas IA Tiempo real: tpace < S/λ tpace = tanalysis (proccessor)+ tmachine (classifier) 6 /31

38 parámetros - G1 Permiten caracterizar el tráfico a rasgos generales (congestión,qos) Los ataques por inundación provocan picos en todos estos parámetros 7 /31

38 parámetros - G2 Equivalenetes al modelo Erlang en telefonía RTB Diálogos INVITE más largos y con mayor # de mensajes 8 /31

38 parámetros - G3 Estado final de una llamada en el momento del análisis (dentro de la partición) En condiciones normales predominan NOTACALL, COMPLETED y REJECTED 9 /31

38 parámetros - G4 IM: SUBSCRIBE/NOTIFY (presencia) y MESSAGE (mensajes) VoIP-->PSTN: PRACK (fiabilidad respuestas provisionales) PSTN-->VoIP: INFO (tonos DTMF) 10 /31

38 parámetros - G5 Alta tasa de errores --> algo estará pasando 11 /31

Support Vector Machine Conjunto de métodos de aprendizaje supervisado, empleados en clasificación y regresión. Dado un espacio n-dimensional en el que existen dos conjuntos de vectores, SVM trata de construir un hiperplano que separe ambos conjuntos maximizando el margen entre ambos. A mayor margen, menor error en la clasificación. 12 /31

Support Vector Machine Distintos Kernels Método Lineal C-SVM 13 /31

Support Vector Machine Implementada mediante librería LibSVM: Algoritmos de clasificación y regresión Multi-class classification Estimadores de probabilidad One-class training Precisión de los tests: Algoritmo de búsqueda grid sobre el espacionde parámteros SVM Optimización de parámetros mediante validación cruzada 14 /31

Support Vector Machine 15 /31

Monitorizando SIP - Testbed Hacking tools: scanning, flooding, SPIT Bots: SIP UAs programables, controlados x canal IRC 1 único dominio Todos los UAs registrados en el servidor Las trazas se capturan en el servidor 16 /31

Monitorizando SIP - Trazas Emplean 3 tiposde trazas: Tráfico VoIP real limpio (captura de dos días de tráfico de un proveedor de servicio VoIP, sin ataques) Tráfico de ataques generado en su maqueta Traza mixta, mezclando tráfico de las trazas anteriores 17 /31

Monitorizando SIP - Trazas 18 /31

Monitorizando SIP - Tráfico Normal Métodos más abundantes: REGISTER y OPTIONS Métodos ausentes: MESSAGE, PRACK y UPDATE NOTIFY presenta estadísticas constantes en los distintos períodos del día (indica que los UAs están permanentemente conectados) INVITE, BYE y ACK presentan ratios casi constantes en todos los períodos con promedios #INVITE/#BYE = 2.15 #INVITE/#ACK = 0.92 19 /31

Monitorizando SIP - Tráfico Normal Respuestas dominantes 2xx Respuestas 3xx-5xx-6xx apenas aparecen #INVITE/#1xx = 0.59 Tiempos promedio de llegadas i/peticiones e i/respuestas constantes en todos los períodos (20ms) Tiempos promedio de llegadas i/peticiones con SDP entre 3s (horas valle) y 0,5s (horas punta) 20 /31

Rendimiento y Precisión 21 /31

Rendimiento y Precisión 22 /31

Rendimiento y Precisión Tamaño de la partición de la traza 23 /31

Detección de Ataques - Flooding Inviteflood hacking tool 5 ataques, de 1m cada uno, a diferentes tasas (#INVITE/sg) Cada ataque se inyecta en una traza de 2h de tráfico limpio Se fija el inicio del ataque a los 5m de empezar la traza de 2h Aprendizaje con 100 INVITE/sg 24 /31

Detección de Ataques - Flooding 25 /31

Detección de Ataques - SPIT Spitter/Asterisk hacking tool Reacciones de los UAs (random): Dejar sonar 1-6s y contestar Contestar con Ocupado Dejar sonar un rato e informar de Redirección 2 experimentos: SPIT parcial y SPIT total 26 /31

Detección de Ataques - SPIT SPIT Parcial: 100 números Sólo 10 son UAs asociados al server 10%hits (mundo real) 4 ataques: 1, 10, 50, 100 llamadas concurrentes Misma inyección que en el flooding SPIT Total: Todos los números son válidos (asociados) El resto todo igual 27 /31

Detección de Ataques - SPIT Reglas determinístas que mejoran las detecciones 28 /31

Detección de Ataques - SPIT Los resultados mejoran algo El nivel de anormalidad en el patrón de tráfico es idéntico en ambos casos (parcial y total) 29 /31

En resumen... Se propone un sistema de monitorización online basado en SVM: Se trocea la traza de señalización SIP Se extrae un vector de datos (a partir del estudio de una serie de parámetros) que caracteriza a cada trozo Se envía el vector a una SVM para su clasificación, basasándose en un modelo de aprendizaje Los resultados muestran: El sistema es capaz de funcionar en tiempo real Es capaz de detectar ataques de Inundación y SPIT, de manera precisa La adición de determinadas reglas de correlación de eventos mejora la precisión 30 /31

Líneas futuras... Redefinir y reordenar el conjunto de parámetros a estudio (mediante algoritmos de selección de parámetros) Detección de otros tipos de ataques 31 /31

Monitoring SIP Traffic Using Support Vector Machines Mohamed Nassar, Radu State, and Olivier Festor Centre de Recherche INRIA Nancy - Grand Est Villers-Lès-Nancy, France Presenta: Juan Ramón Cayón Alcalde