学号英文

通信类英文文献及翻译

姓名：刘峻霖班级：通信143班学号：2014101108

附录

一、英文原文：

DetectingAnomalyTrafficusingFlowDatainthereal

VoIPnetwork

UCTION

Recently,manySIP[3]/RTP[4]-badVoIPapplicationsandrviceshaveappeared

andtheirpenetrationratioisgraduallyincreasingduetothefreeorcheapcallcharge

,someofthesubscriberstothePSTNrvice

mple,companies

inKoreasuchasLGDacom,SamsungNet-works,andKThavebeguntodeploy

SIP/portedthatmorethanfivemillionurshave

subscribedthecommercialVoIPrvicesand50%ofalltheursarejoinedin2009in

Korea[1].AccordingtoIDC,itixpectedthatthenumberofVoIPursinUSwill

increato27millionsin2009[2].Hence,astheVoIPrvicebecomespopular,itisnot

surprisingthatalotofVoIPanomalytraffichasbeenalreadyknown[5].So,Most

commercialrvicesuchasVoIPrvicesshouldprovideesntialcurityfunctions

regardingprivacy,authentication,integrityandnon-repudiationforpreventing

malicioustraffiu-larly,mostofcurrentSIP/RTP-badVoIPrvicessupply

cure

transport-layerprotocolssuchasTransportLayerSecurity(TLS)[6]orSecureRTP

(SRTP)[7]havebeenstandardized,theyhavenotbeenfullyimplementedanddeployed

incurrentVoIPapplicationsbecauoftheoverheadsofimplementationand

,un-encryptedVoIPpacketscouldbeeasilysniffedandforged,

eofauthentication,theauthenticationkeyssuchas

MD5intheSIPheadercouldbemaliciouslyexploited,becauSIPisatext-bad

ore,VoIPrvicesare

tproposingaVoIP

anomalytrafficdetectionmethodusingtheflow-badtrafficmeasurementarchi-tecture.

WeconsiderthreereprentativeVoIPanomaliescalledCANCEL,BYEDenialof

Service(DoS)andRTPfloodingattacksinthispaper,becauwefoundthatmalicious

urs

monitoringVoIPpackets,weemploytheIETFIPFlowInformationeXport(IPFIX)[9]

afficmeasurementmethodprovidesa

flexibleandextensibletemplatestructureforvariousprotocols,whichisufulfor

obrvingSIP/RTPflows[10].InordertocaptureandexportVoIPpacketsintoIPFIX

flows,wedefinetwoadditionalIPFIXtemplatesforSIPandRTPflrmore,

weaddfourIPFIXfieldstoobrve802.11packetswhicharenecessarytodetectVoIP

sourcespoofingattacksinWLANs.

DWORK

[8]propodafloodingdetectionmethodbytheHellingerDistance(HD)[8],

theyhavepre-ntedINVITE,SYNandRTPfls

iningdata

tcollectedtrafficovernsamplingperiodofdurationΔtingdatatcollected

traffiDiscloto‘1’,thistesting

datatisregardedasanomalytraffingthismethod,theyassumedthatinitial

trainingdatatdidnothaveanyanomalytraffihismethodwasbadon

packetcounts,itmightnoteasilyextendedtodetectotheranomalytrafficexcept

fltherhand,[11]haspropodaVoIPanomalytrafficdetectionmethod

usingExtendedFiniteStateMachine(EFSM).[11]hassuggestedINVITEflooding,BYE

DoSanomalytraffir,thestate

machinerequiredmorememorybecauithadtomaintaineachflow.[13]has

prentedNetFlow-badVoIPanomalydetectionmethodsforINVITE,REGIS-TER,

RTPflooding,andREGISTER/-ever,theVoIPDoSattacks

[14],anIDSapproachtodetectSIP

anomalieswasdeveloped,itoring

VoIPtraffic,SIPFIX[10]ideasofthe

SIPFIXareapplication-layerinspectionandSDPanalysisforcarryingmediassion

,thispaperprentsonlythepossibilityofapplyingSIPFIXtoDoS

anomalytraffiribedthepreliminaryideaof

detectingVoIPanomalytrafficin[15].ThispaperelaboratesBYEDoSanomalytraffic

andRTPfloodinganomalytraffin[15],we

haveconsideredSIPandRTPanomalytraffica,it

ispossibletogeneratethesimiliaranomalytrafficwithnormalVoIPtraffic,becau

attackers

thispaper,wehaveextendedtheideawithadditionalSIPdetectionmethodsusing

rmore,wehaveshowntherealexperiment

resultsatthecommercialVoIPnetwork.

PANOMALYTRAFFICDETECTION

METHOD

DoSAnomalyTrafficDetection

AstheSIPINVITEmessageisnotusuallyencrypted,attackerscouldextractfields

necessarytoreproducetheforgedSIPCANCELmessagebysniffingSIPINVITE

packets,,wecannottellthedifferencebetweenthe

normalSIPCANCELmessageandthereplicatedone,becauthefakedCANCEL

packetincludesthenormalfiacker

willperformtheSIPCANCELDoSattackatthesamewirelessLAN,becauthe

purpooftheSIPCANCELattackistopreventthenormalcallestab-lishmentwhena

ore,assoonastheattackercatchesacallinvitation

messageforavictim,itwillndaSIPCANCELmessage,whichmakesthecall

generatedfakedSIPCANCELmessageusingsniffeda

inSIPheaderofthisCANCELmessageisthesameas

normalSIPCANCELmessage,becautheattackercanobtaintheSIPheaderfield

oreitis

impossibletodetecttheCANCELDoSanomalytrafficusingSIPheaders,weuthe

,thequencenumberinthe802.11

intosource

MACaddressandquencenumberinthe802.11MACframeincludingaSIP

arethesourceMACaddressof

SIPCANCELpacketswiththatofthepreviouslysavedSIPINVITEflource

MACaddressofaSIPCANCELflowischanged,itwillbehighlyprobablethatthe

r,thesourceMACaddress

ing802.11sourcespoofingdetection,weemploythemethodin

[12]ulatethegapbetweenn-th

and(n-1)-equencenumberfieldina802.11MACheaderus

12bits,findthatthequencenumbergapbetweena

singleSIPflowisgreaterthanthethresholdvalueofNthatwillbetfromthe

experiments,wedeterminethattheSIPhostaddressasbeenspoofedfortheanomaly

traffic.

AnomalyTrafficDetection

IncommercialVoIPapplications,SIPBYEmessagesuthesameauthentication

fieldisincludedintheSIPIN-VITEmessageforcurityandaccountingpurpos.

How-ever,attackerscanreproduceBYEDoSpacketsthroughsniffingnormalSIP

edSIPBYEmessageissamewiththenormal

ore,itisdifficulttodetecttheBYEDoSanomalytrafficusingonlySIP

niffingSIPINVITEmessage,theattackeratthesameor

differentsubnetscouldterminatethenormalin-progresscall,becauitcouldsucceed

IPBYEattack,itis

diffi,weapplythe

timestampofRTPtraffilly,afternormalcall

termination,thebi-directionalRTPflr,

ifthecallterminationprocedureisanomaly,wecanobrvethatadirectionalRTP

mediaflowisstillongoing,whereasanattackeddirectionalRTPflowisbroken.

Therefore,inordertodetecttheSIPBYEattack,wedecidethatwewatchadirectional

RTPflesholdofN

thm2explainstheproceduretodetectBYEDoS

anomaltraffitainSIPssion

informationbetweenclientswithINVITEandOKmessagesincludingthesameCall-ID

and4-tuple(source/destinationIPAddressandportnumber)

at

reasonwhyweuthecapturedtimestampisthatafewRTPpacketsareobrved

rafficisobrvedafterthetimethreshold,thiswillbe

consideredasaBYEDoSattack,becautheVoIPssionwillbeterminatedwith

malyTrafficDetectionAlgorithm3describesan

RTPfloodingdetectionmethodthatusSSRCandquencenumbersoftheRTP

asingleRTPssion,typically,

SSRCischanged,tion,ifthereis

abigquencenumbergapbetweenRTPpackets,wedeterminethatanomalyRTP

traffiectingeveryquencenumberforapacketisdifficult,we

calculatethequencenumbergapusingthefirst,last,maximumandminimum

TPheader,thequencenumberfieldus16bitsfrom0to

obrveawidequencenumbergapinouralgorithm,weconsiderit

asanRTPfloodingattack.

MANCEEVALUATION

mentEnvironment

InordertodetectVoIPanomalytraffic,weestablishedanexperimentalenvironmentas

fienvi-ronment,weemployedtwoVoIPphoneswithwirelessLANs,one

attacker,awirelessaccessrouterandanIPFIXflrealistic

performanceevaluation,wedirectlyudoneoftheworkingVoIPnetworksdeployedin

Koreawherean11-digittelephonenumber(070-XXXX-XXXX)hasbeenassignedtoa

relessSIPphonessupporting802.11,wecouldmakecallsto/fromthe

irelessaccessrouter,weudtwowirelessLANcards-

oneistosupporttheAPrvice,er,

inordertoobrveVoIPpacketsinthewirelessaccessrouter,wemodifiednProbe[16],

thatisanopenIPFIXflowgenerator,tocreateandexportIPFIXflowsrelatedwithSIP,

RTP,PFIXcollector,wehavemodifiedlibipfixsothatit

couldprovidetheIPFIXflowdecodingfunctionforSIP,RTP,

udMySQLfortheflowDB.

mentalResults

Inordertoevaluateourpropodalgorithms,wegen-erated1,946VoIPcallswithtwo

commercialSIPphonesandaVoIPanomalytraffishowsour

experimentalresultswithprecision,recall,andF-scorethatistheharmonicmeanof

ELDoSanomalytrafficdetection,ouralgorithm

reprentedafewfalnegativecas,whichwasrelatedwiththegapthresholdofthe

rageoftheF-scorevaluefordetecting

theSIPCANCELanomalyis97.69%.ForBYEanomalytests,wegenerated755BYE

podBYE

DoSanomalytrafficdetec-tionalgorithmfound112anomalieswiththeF-scoreof

96.13%.IfanRTPflowisterminatedbeforethethreshold,weregardtheanomalyflow

algorithm,weextractRTPssioninformationfromINVITE

a

possiblenottocapturethopacket,

floodinganomalytrafficdetectionexperimentfor810RTPssionsresultedintheF

scoreof98%.Thereasonoffal-positivecaswasrelatedwiththequencenumberin

equencenumberofanomalytrafficisoverlappedwiththerangeof

thenormaltraffic,ouralgorithmwillconsideritasnormaltraffic.

SIONS

Wehavepropodaflow-badanomalytrafficdetec-tionmethodagainstSIPand

RTP-badanomalytraffientedVoIPanomalytrafficdetection

methodswithfltheIETFIPFIXstandard

tomonitorSIP/RTPflowspassingthroughwirelessaccessrouters,becauitstemplate

spurpo,wedefinedtwo

newIPFIXtemplatesforSIPandRTPtrafficandfournewIPFIXfieldsfor802.11

traffiheIPFIXflowtemplates,wepropodCANCEL/BYEDoSandRTP

floodingtraffiperimentalresultsontheworkingVoIP

networkinKorea,weshowedthatourmethodisabletodetectthreereprentative

EL/BYEDoSanomalytraffic

detectionmethod,weemployedthresholdvaluesabouttimeandquencenumbergap

forclassfiperhasnotbeen

futurework,wewill

showtheexperimentalresultaboutevaluationofthethresholdvaluesforourdetection

method.

二、英文翻译：

交通流数据检测异常在真实的世界中使用的VoIP网络

一.介绍

最近,许多SIP[3],[4]基于服务器的VoIP应用和服务出现了,并逐渐增加他们

的穿透比及由于自由和廉价的通话费且极易订阅的方法。因此,一些用户服务倾

向于改变他们PSTN家里电话服务VoIP产品。例如,公司在韩国LG、三星等

Dacom网-作品、KT已经开始部署SIP/RTP-badVoIP服务。据报道,超过5

百万的用户已订阅《商业VoIP服务和50%的所有的用户都参加了2009年在韩

国[1]。据IDC,预期该用户的数量将增加在我们的VoIP2009年到27百万[2]。因

此,随着VoIP服务变得很受欢迎,这是一点也不意外,很多人对VoIP异常交通已

经知道[5]。所以,大多数商业服务如VoIP服务应该提供必要的安全功能对于隐

私、认证、完整性和不可否认对于防止恶意的交通。Particu-larly,大多数的电

流SIP/RTP-badVoIP服务提供最小安全功能相关的认证。虽然安全

transport-layer一类协议传输层安全(TLS)[6]或安全服务器(SRTP)[7]已经被修

正,它们并没有被完全实施和部署在当前的VoIP应用的实施,因为过顶球和性能。

因此,un-encryptedVoIP包可以轻易地嗅和伪造的,特别是在无线局域网。尽管的

认证,认证键,如MD5在SIP头可以狠的剥削,因为SIP是基于文本的协议和未

加密的SIP包都很容易地被解码。因此,VoIP服务很容易被攻击开发SIP和服务

器。我们的目标是在提出一个VoIP异常交通检测方法archi-tecture使用流转交

通测量。我们认为有代表性的VoIP异常称为取消,再见拒绝服务(DoS)和快速的

洪水袭击在本文中,因为我们发现恶意的用户在无线局域网可以很容易地履行这

些袭击的真正的VoIP网络。VoIP包监测,利用IETF出口(IPFIXIP流信息)[9]

标准的基础上,对NetFlow9节。这一交通测量方法的研究提供了一个灵活的、

可扩展的模板结构为各种各样的协议,有利于对观察SIP/服务器流[10]。摘要为

获取和出口VoIP包成IPFIX流中,我们定义两个额外的IPFIX模板为SIP和快

速流动。此外,我们加上四个IPFIX领域观察802.11包所必需的欺骗攻击的检测

在WLANsVoIP来源。

二.相关工作

[8]提出了一种检测方法Hellinger洪水的距离(简称HD)的概念。文献[8]中,

他们有售前介绍邀请,洪水:SYN和快速检测种方法。高清是之间的差异值的训练

数据集和测试的数据集。收集的训练数据集的交通量持续时间Δn采样周期t。

收集的测试数据集的训练数据集下的流量可以在同一时间内。如果高清接近'1',

该测试数据集被视为异常交通。为使用这个方法,他们假定初始训练数据集上没

有任何异常交通。因为这种方法是基于分组数,它可能不会很容易地扩展来侦测

其他异常交通除了洪水泛滥。另一方面,[11]提出了一项VoIP异常交通检测方法,

利用扩展有限状态机(EFSM)。[11]建议邀请洪水,再见DoS异常交通和媒体垃圾

邮件检测的方法。然而,状态机的需要更多的内存空间,因为它已经保持每个流

程。[13]已经呈现出NetFlow-badVoIP异常检测方法,REGIS-TER邀请,琳琅

驱,而注册/邀请扫描。How-everVoIPDoS攻击,本文认为不被考虑。在[14],一个

入侵检测系统(IDS)的方法来检测,研制了SIP的异常,但是只有仿真的结果。VoIP

交通、SIPFIX监测[10]作为IPFIX提出了延长。SIPFIX的主要思路的分析是

应用层检验和SDP装载媒体会话的信息。然而,本文提出只有中应用的可能

性,SIPFIXDoS异常交通检测器和预防。我们描述了初步的构思的交通状况检测

VoIP异常[15]。阐述了交通,再见DoS异常交通detec-tion洪水异常快速IPFIX

方法的基础上。基于[15],我们一直认为SIP和服务器异常交通产生在无线局域

网。在这种情况下,就有可能产生类似的异常交通与正常VoIP交通,因为攻击者

就很容易从普通用户信息提取未加密的VoIP的数据包。在本文中,我们已经将这

个想法与额外的SIP检测方法的使用信息的无线局域网的数据包。此外,我们已

经表现出真正的实验结果在商业VoIP网络。

三.交通检测器的VOIP异常方法

a.取消DoS异常交通检测器

为SIP邀请信息通常是不加密的,攻击者可以提取领域繁殖伪造的必要信息

通过嗅闻啜啜取消邀请包,特别是在无线局域网。因此,我们不能辨别其正常SIP

取消短信与复制的一个,因为管理领域包括正常取消包推断出SIP邀请的讯息。

攻击者将会执行的园区取消DoS攻击,因为相同的无线局域网的目的是为了防止

SIP取消攻击时的正常叫estab-lishment受害者正等待着电话。因此,尽快打电话

邀请袭击者渔获的信息,为一个受害者,就会发送一个SIP取消消息,这使得叫建

立失败了。我们产生了伪造的SIP取消消息使用嗅一口邀请的讯息。苏州工业

园区头球的领域都是一样的,取消信息正常SIP取消留言,因为攻击者无法获得

SIP标题域SIP消息未加密的正常从无线局域网的环境。因此无法检测交通使用

DoS异常取消标题,我们使用了SIP的值不同的无线局域网帧。也就是说,序号在

画框会在802.11分辨一个受害者的主人和一个攻击者。我们看着源MAC地址

和序列号的MAC框架包括一小口802.11取消信息显示在算法1。我们比较了源

MAC地址的SIP取消包与先前储存的SIP邀请流动。如果源MAC地址的一小

口取消流量发生变化时,它会有很高的可能取消包所产生的未知的用户。然而,源

MAC地址可以欺骗时。关于802.11源掺假检测,利用法在[12],使用序列号802.11

的帧。我们之间的差距,最后对计算-th(n-1802.11的帧。)作为序号在现场的使用

12位802.11MAC头球,它不同于从0到4095。当我们发现序号在一个单一的SIP

流量差距大于阈值,将定氮的实验结果,我们确定SIP主机地址被欺骗时为异常交

通。

b.再见DoS异常交通检测器

VoIP应用在商业,SIP再见消息使用相同的认证领域包括在SIPIN-VITE的

信息,为安全、会计的目的。How-ever,攻击者可以复制再见DoS信息包通过嗅正

常SIP邀请包的无线局域网。信息管理SIP再见也用正常的SIP再见。因此,很

难侦测再见DoS异常交通只利用SIP的标题信息。信息后,闻了闻SIP邀请攻击

者在相同或不同的子网,可以终止在正常范围之内,因为它可以进步电话中获得

成功,生成了再见消息给SIP代理服务器。在SIP再见攻击,难以区分,从普通的电

话终止程序。也就是说,我们申请时间戳的快速交通侦测SIP再见的攻击。一般

来说,普通电话后,由双向快速流终止结束时仍很快就空间的时间。然而,如果这个

调用终止程序是异常时,我们能观察到的媒体流方向快速仍在进行,但是攻击流

量定向琳琅坏了。因此,为了检测SIP再见的进攻,我们决定,我们观看了一场方向

快速流在很长一段时间后的最低门槛,N秒SIP再见消息。入口处的N也将从实

验。算法的程序来检测2解释说再见DoSanomal交通用被俘的时间戳的快速包。

我们保持SIP会话之间信息的客户提供包括邀请和好的信息和4-tuple相同的

Call-ID(源/目的IP地址和端口)再见包。我们约个时间通过增加Nc阈值的时

间戳的价值信息。再见我们为什么使用捕获的时间戳是那几个服务器包下观察

0.5秒。如果服务器后交通观测时间阈值,这将被视为一种再见DoS攻击,因为

VoIP会议将终止与正常再见消息。服务器异常交通检测算法之3描述了一种快

速检测方法,使用SSRC洪水和顺序编号的服务器的标题。会议期间,通常一个单

一的服务器,同样的SSRC价值得以维持。如果SSRC也发生了变化,极有可能就

是异常发生时。另外,如果有一个很大的序列号差距包,我们确定服务器异常交通

发生。服务器检查每一个序列号码作为一个包是困难的,我们计算序列号的差距,

最后使用第一,最大和最小顺序编号。在服务器页眉、序号在现场使用16位从0

到65535之间。当我们看到一个宽的序列号差距在我们的方法,我们觉得这是一

种快速的洪水袭击。

四.绩效评估

a.试验环境

为了检测VoIP异常交通,我们建立了一个实验环境为图1。在这个环境,我们

聘用了两VoIP电话与无线局域网,一个袭击者,无线接入路由器和IPFIX流收藏

家。对现实的绩效评估,我们直接采用VoIP网络的工作之一11-digit部署在韩国

当在一个电话号码(070-XXXX-XXXX)已被分配到一个SIP电话。SIP电话支持

802.11无线,我们可以打电话到/从PSTN或手机。在无线接入路由器,我们使用了

两种无线局域网卡-一个是为了支持美联社服务,另一个是监听802.11的数据包。

此外,为了观察VoIP包的无线接入路由器,我们修改nProbe[16],那是一个开放的

IPFIX流发生器、创造和出口IPFIX流动相关的喝了一口,琳琅,802.11的信息。

随着IPFIX收藏家,我们更改了,它会libipfix流动提供了IPFIX解码功能为喝了

一口,琳琅,802.11模板。我们使用MySQL的流量分贝。

b.实验结果

为了评估我们提出的演算法,我们gen-erated1,946VoIP电话和两个商业

SIP电话和VoIP异常交通的发电机。实验结果显示我们的桌子上我和精确,召回,

这是F-score谐波均值的精度和召回率的两倍。在DoS异常交通检测器取消,我

们的算法代表了一些假负面的案例,这是关系到阈值的差距序列号在802.11

MAC的标题。F-score值的平均值为检测97.69%.ForSIP取消异常是产生异常

的测试中,我们再见再见再见mes-sages包括118靶向exper-imentDoS异常之处。

提出的交通detec-tion再见DoS异常算法与F-score112异常发现的96.13%。如

果一个快速流是前终止阈值,我们把异常流量作为一个正常的人。该算法提取信

息从服务器会话的邀请和好的或者会议简介讯息使用相同的Call-ID再见消息。

它是可能的,不是来捕捉那些包,导致一些最后的病例。洪水异常交通检测器的服

务器会话810对试验结果的分析导致了服务器的F值可达到98%以上。假阳性

病例的原因与服务器的序列号在页眉。如果序列数目的异常交通搭接的正常范

围,我们的演算法将考虑交通是正常的交通。

五.结论

我们提出了一detec-tion流转异常交通方法和SIP和RTP-bad异常交通

进行了论述。我们提出了异常检测方法与VoIP交通流数据的无线接入路由器。

我们使用了IETF标准监控IPFIXSIP/服务器通过无线接入路由器流动,因为模

板的建筑是很容易扩展到几个协议。为了这个目的,我们定义了两个新的IPFIX

模板为SIP和快速交通和四个新IPFIX田野为802.11的交通。使用这些IPFIX

流程模版,我们提出取消/再见DoS及快速交通检测算法的洪水。从实验的结果

VoIP网络在韩国的工作表明,我们的方法,我们可以探测到三个代表VoIP袭击

SIP电话。在取消/再见DoS异常交通检测方法,本研究使用的阈值关于时间和序

列号的差异极大的正常及异常的ip数据包。本文还没有提到关于适当的阈值,对

测试结果的价值。对将来的工作,我们将显示实验结果对评价为我们的检测方法

的阈值。