SIP에서 정보 엔트로피를 이용한 DoS 공격 탐지기법
An Information Entropy Based Detection Mechanism of DoS Attacks in SIP
- 주제(키워드) SIP , VoIP , DoS 공격 탐지 , 플러딩 공격 탐지 , 정보 엔트로피
- 발행기관 아주대학교 일반대학원
- 지도교수 김기형
- 발행년도 2012
- 학위수여년월 2012. 2
- 학위명 석사
- 학과 및 전공 일반대학원 컴퓨터공학과
- 실제URI http://www.dcollection.net/handler/ajou/000000012180
- 본문언어 한국어
- 저작권 아주대학교 논문은 저작권에 의해 보호받습니다.
초록/요약
최근 스마트 폰 사용자가 증가함에 따라 여러 인터넷기반 메시지 서비스와 함께 VoIP (Voice over IP) 서비스 또한 빠르게 증가하고 있다. VoIP는 텍스트 기반의 시그널링 메시지를 TCP/IP기반으로 주고 받기 때문에 기존의 인터넷 망에 존재하는 여러 보안상의 취약점에 노출되어있다. 이 중에서도 DoS공격의 일종인 INVITE 플러딩 공격은 연결 요청 메시지를 대량으로 전송하여 서버의 자원을 위협하는 방법으로 이를 탐지하고 방어 하는 방법이 활발히 연구되고 있다. 하지만 기존의 헬링거 거리 (HD) 측정 방법이나 CUSUM (Cumulative Sum)방법은 지속적으로 변화하는 네트워크 상황을 고려하지 못하고 있다. 따라서 본 논문에서는 혼잡한 네트워크 상태에도 민감도가 적은 정보 엔트로피를 이용하여 네트워크 환경이 변하더라도 저속의 INVITE 플러딩 공격을 감지해 낼 수 있는 효과적인 방법을 제안하였다. 본 논문은 제안한 방법을 수학적 모델링을 통하여 검증하고 이를 바탕으로 네트워크 환경에 따라 적응하는 정보 엔트로피의 임계 값 설정을 도출 해낼 수 있었다. 이를 증명하기 위하여 기존의 헬링거 거리 검출 방법과 비교 실험을 통해 네트워크 환경이 좋지 않은 구간에서도 제안된 기법으로 저속공격을 감지해 낼 수 있음을 증명하였다.
more초록/요약
Recently, Voice over IP (VoIP) is rapidly growing with a rise of the smart phone users and messaging services in the internet. Nevertheless, being an application running over the TCP/IP suite, it has some vulnerability as Internet services which are already exposed. An INVITE flooding attack in Session Initiation Protocol (SIP) is a kind of a Denial of Service (DoS) attack over the Internet; it is generating and flooding large number of request messages to victims over short intervals of time. The earlier studies to detect SIP INVITE flooding attacks are Hellinger Distance (HD) method and Cumulative Sum (CUSUM) method, but they have no consideration for variations of network traffic. To solve this problem, we propose a novel mechanism which can detect the low-rate INVITE flooding attacks. Our proposed mechanism employs Shanon’s Information Entropy. The Information Entropy has insensitivity in nature. In this paper, our mechanism is verified by a numeric model. Using this model, we can perform an adaptive threshold scheme. For performance evaluation, we simulate our mechanism using SIPp, and we verify our mechanism can detect low-rate INVITE flooding attacks in high lossy networks.
more목차
제1장.서론 1
제2장.배경 4
1절.SIP (SESSION INITIATION PROTOCOL) 4
1항.SIP 시그널링 4
2항.호 설정 및 종료 메커니즘 5
3항.SIP의 플러딩 공격 6
2절.플러딩 공격 탐지 유형 8
3절.헬링거 거리 계산 기법과 그 한계 10
제3장.정보 엔트로피를 이용한 공격 탐지기법 12
1절.정보 엔트로피 (INFORMATION ENTROPY) 13
2절.SIP에서의 정보 엔트로피의 계산 14
3절.SIP의 INVITE플러딩 위협 18
4절.정보 엔트로피의 임계 값(THRESHOLD) 설정 방법 21
5절.INVITE 플러딩 공격 탐지 메커니즘 24
제4장.성능평가 27
1절.실험환경 27
2절.정보 엔트로피의 CPS에 따른 변화 29
3절.INVITE 플러딩 공격 패턴 31
4절.패킷 손실률이 높은 곳에서의 공격 탐지 34
제5장.결론 36
