روشی مبتنی بر توصیف برای تشخیص حمله های اتلاف منابع در سرویس دهندگان sip

امروزه در شبکه های نسل جدید از پروتکل sip برای برقراری، به روزرسانی و پایان دادن به نشست های میان کاربران استفاده می شود. به موازات گسترش شبکه های نسل جدید حمله های مختلفی در مقابل سرویس دهندگان sip معرفی شده است که بسیاری از آنها با هدف اتلاف منابع این سرویس دهندگان انجام می شوند. اکثر روش های تشخیص نفوذ موجود تنها قادر به شناسایی حمله های اتلاف منابع با نرخ بالا (از قبیل حمله ی سیل آسا) هستند. اما باید توجه داشت که برخی از حمله های اتلاف منابع (از قبیل حمله ی تراکنش های ناقص) با نرخ پایین و با هدف اتلاف حافظه در سرویس دهندگان sip حالتمند انجام می شوند. در پژوهش حاضر، یک روش تشخیص ناهنجاری مبتنی بر توصیف پیشنهاد می شود که قادر به شناسایی هر دو حمله های اتلاف منابع با نرخ بالا و نرخ پایین روی سرویس دهندگان sip است. در این روش تشخیص ناهنجاری، ابتدا با توجه به ماشین های حالت تراکنش های مختلف در پروتکل sip مجموعه ای از خصیصه های آماری استخراج می شود. این خصیصه ها به دو دسته مبتنی بر تراکنش و مبتنی بر ترافیک تقسیم می شوند. خصیصه های مبتنی بر تراکنش شامل خصیصه هایی هستند که یک تراکنش خاص را توصیف می کنند. خصیصه های مبتنی بر ترافیک شامل خصیصه هایی هستند که مجموعه ای از تراکنش ها را در یک پنجره توصیف می کنند. سپس با کمک این خصیصه ها و با استفاده از ماشین بردار پشتیبان تک کلاسی (ocsvm) مدلی برای ترافیک عادی sip ایجاد می شود. برای تنظیم پارامترهای این ماشین بردار پشتیبان از الگوریتم های ژنتیک استفاده می شود. نتایج آزمایش های انجام شده روی سه مجموعه دادگان مختلف نشان می دهند که با افزایش نرخ حمله مدل ترافیک با استفاده از پنجره زمانی و تعدادی عملکرد بهتری دارند و در مقابل مدل تراکنش با کاهش نرخ حمله عملکرد مناسبی دارد. مدل ترافیک حمله های نرخ بالا را به طور متوسط با نرخ تشخیص 98.71 و نرخ هشدار نادرست 0.88 تشخیص می دهد. مدل تراکنش حمله های نرخ پایین را با نرخ تشخیص 99.83 و نرخ هشدار نادرست 0.82 تشخیص می دهد.