Carneiro, T. (2018). A Concept to identify VoIP attackers in collected real-world VoIP attacks based on behavior analysis and identification methods [Diploma Thesis, Technische Universität Wien]. reposiTUm. http://hdl.handle.net/20.500.12708/78901
VoIP System; Honeynet; Data-Mining; Clustering Algorithms; Attacker Identification
en
Abstract:
In den letzten Jahren hat der Gebrauch von Voice over Internet Protocol (VoIP)-Systemen in unserem täglichen Leben zugenommen. Gerade deshalb werden sie zu einem Ziel für Angreifer, die versuchen, Nutzen aus solchen Systemen zu ziehen. VoIP erweitert jedoch das bestehende Risikospektrum anderer Protokolle über das Internet und stellt somit neue Angriffsmöglichkeiten dar. Um Einblicke in VoIP-Angriffe zu erhalten und die VoIP-Sicherheit zu erhöhen, verwenden Wissenschaftler Sicherheitsmaßnahmen, z. B. Honeypots oder Honeynets, um VoIP-Angriffe über das Internet zu erfassen und zu analysieren. Die gesammelten Daten wurden über einen langen Zeitraum von einem bereits implementierten Honeynet VoIP-System aufgezeichnet. Ziel war es, anhand von „real-world“-Daten VoIP-Sicherheitsbedrohungen zu analysieren. Auf der Grundlage dieser tatsächlich gesammelten Daten aus dem Honeynet wird ein Konzept zur Identifizierung von VoIP-Angreifern unter Verwendung von Verhaltensanalyseund Identifizierungsmethoden ausgearbeitet. Das Konzept schlägt eine hybride Data-Mining-Technik zur Angreiferidentifikation vor, die auf einer Kombination von Density-Based Spatial Clustering of Applications with Noise (DBSCAN) oder k-means für den Clusteralgorithmus und Naïve Bayes für den Klassifikationsalgorithmus basiert. Es wird der Unterschied zwischen den Ergebnissen beider Clusteralgorithmen dargestellt. Jeder Clustering-Algorithmus erzeugt Angreifer-Signaturen oder Clusters, wobei jeder Cluster einer oder mehreren Aktivitäten eines Angreifers entspricht. Dieser hybride Ansatz ist in der Lage, sie zu identifizieren und stellt das Wahrscheinlichkeitsergebnis dar, dass der neue Angreifer dem Konzeptsystem bereits bekannt ist. Die von Honeynets gesammelten Daten mit einigen zusätzlichen Informationen wurden verwendet, um einen Datensatz in dem vorgeschlagenen Konzept zu erstellen. Das Ziel dieser Arbeit ist, einen tieferen Einblick in die gesammelten Daten zu geben, um VoIP-Angreifer zu identifizieren. Die Wirksamkeit des Konzepts wird anhand einer Proof-of-Concept (PoC)-Implementierung demonstriert, die im Rahmen dieser Arbeit entwickelt wurde. Das PoC lieferte einige interessante und vielversprechende Ergebnisse, die das Potenzial des Konzepts unterstützen, Angreifer auf der Grundlage ihres Verhaltens zu identifizieren.
de
Over the past few years, the use of Voice over Internet Protocol (VoIP) systems in our daily lives has increased and, therefore, they are becoming a target for attackers trying to obtain benefits from such systems. However, VoIP extends the existent risk range of other protocols over the Internet and presents new attacks as well. To obtain insights of VoIP attackers and increase VoIP security, researchers use security measures, e.g., honeypots or honeynets to capture and analyze VoIP attacks over the Internet. The collected data, recorded over a long period of time by a honeynet VoIP system already implemented, were used to analyze VoIP security threats by studying the several millions of real-world attacks collected. Based on this real-world collected data from the honeynet, a concept was proposed to identify VoIP attackers using behavior analysis and identification methods. The concept proposes a hybrid data-mining technique for attacker identification based on a combination of Density-Based Spatial Clustering of Applications with Noise (DBSCAN) or k-means for clustering algorithm and Naïve Bayes for classification algorithm. The difference between the results of both clustering algorithms was presented. Each clustering algorithm produces attackers signatures or clusters and each cluster corresponds to one or more attackers’ activities. This hybrid approach is able to identify them and presents the probability result that the new attacker is one already known by the concept system. The data collected from honeynets with some additional information has been used to create a dataset in the proposed concept. The goal of this thesis is to provide a deeper insight into the collected data in order to identify VoIP attackers. The effectiveness of the concept is demonstrated with a Proof-of-Concept (PoC) implementation that was developed as part of this work. The PoC delivered some interesting and promising results which support the potential of the concept to identify attackers based on their behavior.