Identificazione automatica di anomalie nel traffico su un SIP trunk

In this thesis three approaches to the issue of detecting anomalies in a SIP Trunk environment through the direct monitoring of the SIP traffic are presented. Using volumetric parameters extracted form signaling traffic, three implementations of Anomaly Detection Systems (ADS) are shown, based respectively on thresholding, on the use of a one-class Support Vector Machine (SVM), and on the combination of a multiresolution analysis with Wavelet transform and the previous one-class SVM. The performance of each implementation is evaluated with respect to three types of anomalous events: “link-flap”, “CPU-hog” and “loop”. These anomalies are reproduced in an emulation environment of SIP Trunk signaling traffic. The test results show that the ADS using multiresolution analysis combined with SVM performs better than the others with regard to “link-flap” and “CPU-hog” anomalies, whereas it is less effective in detecting “loop” anomalies if their entity is smaller than the volume of the traffic on the trunk.

In questo lavoro di tesi vengono proposti tre possibili approcci al problema dell’individuazione di eventi anomali che portano ad un degrado della qualità del servizio di SIP Trunking, attraverso l’analisi del traffico di segnalazione SIP presente sul trunk. A partire dall’estrazione di parametri volumetrici dal traffico di segnalazione, sono illustrate tre implementazioni di Anomaly Detection Systems (ADS), basati rispettivamente sull’applicazione di soglie, sull’impiego di una Support Vector Machine (SVM) in modalità “one-class” e sulla combinazione di quest’ultima con una previa analisi multirisoluzione tramite trasformata Wavelet dell’andamento dei parametri estratti. Le prestazioni di queste implementazioni sono valutate rispetto a tre tipi di anomalie: “link-flap”, “CPU-hog” e “loop”. Queste sono riprodotte all’interno di un ambiente di emulazione di traffico su SIP Trunk. Le prove effettuate mostrano che l’ADS che combina l’analisi multirisoluzione dell’andamento dei parametri e la SVM, ottiene risultati migliori delle altre due tecniche nell’individuazione di anomalie “CPU-hog” e di “link-flap”, mentre è meno efficace nell’individuazione di “loop” di entità contenuta rispetto al volume di traffico presente sul trunk.