تشخیص و پیشگیری از حملات flooding در پروتکل sip مبتنی بر تئوری اطلاعات

شبکه های voip (voice over ip)که با نام تلفن اینترنتی نیز شناخته می شوند در حال رشد روز افزون هستند و بخش بزرگی از بازار ارتباطات را به خود اختصاص داده اند. با رشد هر تکنولوژی مسائل امنیتی مرتبط با آن نیز از اهمیت ویژه ای برخوردار می شود. بهره گیری از این تکنولوژی در محیط های مختلف در کنار امکانات فراوانی که در اختیار ما قرار می دهد، نیاز به مقابله با تهدیدهای امنیتی را نیز افزایش خواهد داد. مبتنی بر ip بودن پروتکل آغاز نشست که نقش سیگنالینگ را در شبکه های voip ایفا می کند، مزایا و معایبی را برای این شبکه ها به همراه خواهد داشت. از آنجاییکه پروتکل ip با هدف توسعه پذیر بودن به صورت متن باز ارائه شده است می تواند زمینه مناسبی را برای مهاجمان فراهم کند که این امر پروتکل های سرویس گیرنده از ip را تحت تاثیر خود قرار می دهد. یکی از حملات شناخته شده در اینترنت، حملات اختلال در سرویس دهی و اختلال توزیع شده در سرویس دهی است که حملات flooding یکی از زیرشاخه های اصلی آن را تشکیل می دهند. در این حملات، مهاجم سعی می کند با اتلاف منابع قربانی (مانند پهنای باند، cpu یا حافظه) آن را از سرویس دهی به متقاضیان مجاز باز دارد. در این تحقیق به کمک تئوری اطلاعات روشی مبتنی بر ناهنجاری به منظور تشخیص و پیشگیری از حملات flooding بر روی پروتکل sip ارائه کرده ایم. در این روش به کمک آنتروپی ترافیک شبکه voip را مورد بررسی قرار می دهیم. آنتروپی این امکان را برای ما فراهم می کند تا تغییرات رخ داده در ترافیک شبکه را با دقت بالایی تشخیص داده و به کمک جدول خلاصه فشرده سازی شده ی اطلاعات بسته ها (sketch) مهاجم یا مهاجمان را شناسایی کنیم. روش پیشنهادی به طور کامل پیاده سازی شده و با استفاده از سرور spirent مورد آزمایش قرار گرفته است. نتایج پیاده سازی نشان می دهد که سیستم پیشنهادی توانسته است تا بدون ایجاد تاخیر و سربار قابل توجهی بر روی سرور sip، حملات flooding عادی، توزیع شده و با نرخ پایین را با دقت بالایی تشخیص دهد. همچنین سیستم پیشنهادی میزان تولید پیام های هشدار نادرست را نسبت به راهکارهای ارائه شده قبلی، به طور قابل توجهی کاهش داده است.