SIP에서 정보 엔트로피를 이용한 DoS 공격 탐지기법

Alternative Title
WOO SUK AHN
Author(s)
안우석
Alternative Author(s)
WOO SUK AHN
Advisor
김기형
Department
일반대학원 컴퓨터공학과
Publisher
The Graduate School, Ajou University
Publication Year
2012-02
Language
kor
Keyword
SIPVoIPDoS 공격 탐지플러딩 공격 탐지정보 엔트로피
Abstract
최근 스마트 폰 사용자가 증가함에 따라 여러 인터넷기반 메시지 서비스와 함께 VoIP (Voice over IP) 서비스 또한 빠르게 증가하고 있다. VoIP는 텍스트 기반의 시그널링 메시지를 TCP/IP기반으로 주고 받기 때문에 기존의 인터넷 망에 존재하는 여러 보안상의 취약점에 노출되어있다. 이 중에서도 DoS공격의 일종인 INVITE 플러딩 공격은 연결 요청 메시지를 대량으로 전송하여 서버의 자원을 위협하는 방법으로 이를 탐지하고 방어 하는 방법이 활발히 연구되고 있다. 하지만 기존의 헬링거 거리 (HD) 측정 방법이나 CUSUM (Cumulative Sum)방법은 지속적으로 변화하는 네트워크 상황을 고려하지 못하고 있다. 따라서 본 논문에서는 혼잡한 네트워크 상태에도 민감도가 적은 정보 엔트로피를 이용하여 네트워크 환경이 변하더라도 저속의 INVITE 플러딩 공격을 감지해 낼 수 있는 효과적인 방법을 제안하였다. 본 논문은 제안한 방법을 수학적 모델링을 통하여 검증하고 이를 바탕으로 네트워크 환경에 따라 적응하는 정보 엔트로피의 임계 값 설정을 도출 해낼 수 있었다. 이를 증명하기 위하여 기존의 헬링거 거리 검출 방법과 비교 실험을 통해 네트워크 환경이 좋지 않은 구간에서도 제안된 기법으로 저속공격을 감지해 낼 수 있음을 증명하였다.
Alternative Abstract
Recently, Voice over IP (VoIP) is rapidly growing with a rise of the smart phone users and messaging services in the internet. Nevertheless, being an application running over the TCP/IP suite, it has some vulnerability as Internet services which are already exposed. An INVITE flooding attack in Session Initiation Protocol (SIP) is a kind of a Denial of Service (DoS) attack over the Internet; it is generating and flooding large number of request messages to victims over short intervals of time. The earlier studies to detect SIP INVITE flooding attacks are Hellinger Distance (HD) method and Cumulative Sum (CUSUM) method, but they have no consideration for variations of network traffic. To solve this problem, we propose a novel mechanism which can detect the low-rate INVITE flooding attacks. Our proposed mechanism employs Shanon’s Information Entropy. The Information Entropy has insensitivity in nature. In this paper, our mechanism is verified by a numeric model. Using this model, we can perform an adaptive threshold scheme. For performance evaluation, we simulate our mechanism using SIPp, and we verify our mechanism can detect low-rate INVITE flooding attacks in high lossy networks.
URI
https://dspace.ajou.ac.kr/handle/2018.oak/9203
Fulltext

Appears in Collections:
Graduate School of Ajou University > Department of Computer Engineering > 3. Theses(Master)
Files in This Item:
There are no files associated with this item.
Export
RIS (EndNote)
XLS (Excel)
XML

Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.

Browse