73
En esta investigación se exponen los p
r
incipales
fr
audes y ataques detectados
s
e-
gún la revisión bibliog
r
á
f
ica, en las in
fr
aest
r
uctu
r
as de tele
f
onía
I
P. Se explican la
s
técnicas de Mine
r
ía de
D
atos
(D
ata Mining
)
, más utilizadas en los último
s
año
s
, y
que son empleadas pa
r
a detecta
r
compo
r
tamientos anómalos en las
r
ede
s
de datos,
como son las técnicas de Lógica
D
i
f
usa.
A
demás, se
r
ealiza
r
on va
r
ios estudio
s
y ex-
perimentos con las he
rr
amientas de mine
r
ía de datos
O
pen Sou
r
ce que se utilizan a
nivel mundial, como el WE
KA
―Waikato Enviro
m
ent for Knowledge Analy
s
i
s
― y
el KEEL ―Knowledge Extraction based on Evolutionary Learning―, combinando
varios algo
r
itmos de lógica di
f
usa con ot
r
os pe
r
tenecientes a los
Ár
boles de
D
ecisión
y Reglas de
D
ecisión, que most
r
a
r
on expe
r
imentalmente los algo
r
itmos a implemen-
tar para la detección de compo
r
tamientos anómalos.
1
*
Di
r
e
cc
i
ó
n
d
e
O
p
e
r
a
c
i
o
n
e
s
d
e
S
e
g
u
r
i
d
a
d
,
E
T
E
C
S
A
,
C
ub
a
,
d
a
y
n
e
t
.
a
l
v
a
r
e
z@
e
t
e
cs
a
.
c
u
2
Pr
of
e
s
o
r
d
e
l
a
U
n
i
v
e
rs
i
d
a
d
d
e
C
a
m
a
g
ü
e
y
e
n
l
a
F
a
c
u
l
t
a
d
d
e
I
n
fo
r
m
á
t
i
c
a
,
C
ub
a
3
Pr
of
e
s
o
r
d
e
l
a
U
n
i
v
e
rs
i
d
a
d
d
e
C
a
m
a
g
ü
e
y
e
n
l
a
F
a
c
u
l
t
a
d
d
e
I
n
fo
r
m
á
t
i
c
a
,
C
ub
a
I
N
V
E
S
T
I
G
A
C
I
Ó
N
R
e
c
i
b
i
d
o:
11
/
201
7 |
A
c
e
p
t
a
d
o
:
03
/
201
8
L
ó
g
i
c
a
D
i
f
u
s
a
p
a
r
a
la
d
e
t
e
cc
i
ón
d
e
c
o
m
po
r
t
a
m
i
e
n
t
o
s
a
nó
m
al
o
s
e
n
l
o
s s
i
s
t
e
m
a
s
d
e
t
e
l
e
f
on
í
a
F
u
zz
y
l
o
g
i
c
fo
r
t
h
e
d
e
t
e
c
t
i
o
n
of
a
n
o
m
a
l
o
u
s
b
e
h
a
v
i
o
r
i
n
I
P
t
e
l
e
ph
o
n
y
s
y
s
t
e
m
s
I
n
g
.
D
a
y
n
e
t
Á
l
v
a
r
e
z
E
n
g
1
*
,
D
r
.
Sc
.
Go
d
of
r
e
d
o
G
a
r
a
y
Á
l
v
a
r
e
z
2
,
M
sc
.
Y
o
a
n
M
a
rt
í
n
e
z L
ó
p
e
z
3
.
PALABRA
S
CLAVERE
S
UMEN
Lógica Difusa
Telefonía IP
Minería de Datos.
This research exposes the main
fr
auds and attacks detected acco
r
ding to the litera-
ture review, in the
I
P telephony in
fr
ast
r
uctu
r
es. The data mining technique
s
(
D
ata
Mining), most used in
r
ecent yea
r
s, a
r
e explained and used to detect anomalous
behavior in data net
w
o
r
ks, such as Fuzzy Logic techniques.
I
n addition,
s
everal
studies and expe
r
iments
w
e
r
e ca
rr
ied out
w
ith the
O
pen Sou
r
ce data mining tools
that are used
w
o
r
ld
w
ide, such as the WE
KA
-
Waikato Envi
r
onment
f
o
r
Kno
w
ledge
Analysis- and the
K
EEL
-K
no
w
ledge Ext
r
action based on Evolutiona
r
y Learning-,
combining seve
r
al algo
r
ithms o
f
f
uzzy logic
w
ith othe
r
s belonging to
D
eci
s
ion Trees
and Decision Rules,
w
hich expe
r
imentally sho
w
ed the algo
r
ithms to be implemen-
ted for the detection o
f
anomalous behavio
r
s.
f
o
r
the
r
ealization o
f
the experiments,
traf
f
ic samples, o
f
t
w
o types, acco
r
ding to the
r
aised by the lite
r
atu
r
e.
KEYWORD
S
AB
S
TRACT
Fuzzy logic
IP telephony,
Data Mining.
I
n
t
r
odu
cc
i
ón
y las emp
r
esas comienzan a emplea
r
múltiples servi-
Con la convergencia de las redes de telecomunica
-
cios de comunicaciones tele
f
ónicas basadas en IP
s
obre
ciones, la voz analógica está migrando a la tecnología
I
Pla in
fr
aest
r
uctu
r
a de las
r
edes de datos ya establecida
s
.
(Internet
P
rotocol), surgiendo así la voz sob
r
e
I
P
(V
o
I
P
)
Esto posibilita que la adopción de sistemas telefónicos
I
SS
N
: 1813-5056, R
N
P
S: 0514,
V
o
l
.
14,
N
o
.
2,
j
u
li
o
-
d
i
c
i
e
m
b
r
e
, 2018,
pp
.
73 - 84
74
empleando I
P
sea especial para amortizar el costo del al
-
tocolo de
r
ed que pe
r
tenece a la capa de aplicación
quiler o arrendamiento de los canales de datos,
r
ealiza
r
del modelo
O
S
I
‒.
un mejor aprovechamiento y utilización de los mismos,
A
demás, du
r
ante el año 2015, los método
s
de
mayor capacidad en el control de los gastos de las lla
-fr
audes que ocasiona
r
on pé
r
didas billona
r
ia
s
a la
s
madas telefónicas, tener una plataforma que integ
r
e lasEmp
r
esas de Telecomunicaciones
f
ue
r
on: IP PB
X
funciones de tarifación, gestión de llamadas, gestión de
H
acking y PB
X
H
acking
(
ataques a Pizarras con
líneas, inventario del parque de líneas telefónicas, la
r
ea
-
tecnología
I
P
)
, Abuse of Network
-
device o
r
con
fi
-
lización de llamadas telefónicas ordinarias ent
r
e ot
r
as ca
-
guration weakness
(A
busos en la
r
ed, ap
r
ovechando
racterísticas. (Amparo, 2011)debilidades en la con
f
igu
r
ación de los dispositivo
s
) y
Entre los protocolos más utilizados para la imple
-
el Phishing / Pha
r
ming
(r
obo de datos bancarios por
mentación de infraestructuras de telefonía
I
P, están losmedio de
I
nte
r
net
)
.
(
CFC
A
, 2015, 2013
)
protocolos SI
P
‒Session Initiation Protocol‒ y la
f
amiliaLa lite
r
atu
r
a cientí
f
ica consultada de
f
ine tre
s
téc-
de protocolos H.323, regulados y aprobados po
r
la
UI
T.nicas básicas pa
r
a la detección de todos estos tipos de
Además, existen diversas con
f
iguraciones de ot
r
os p
r
oto
-
ataques, cada una dividida en sub
-
técnicas que
s
irven
colos y elementos de red que pueden ser utilizados igual
-
pa
r
a detecta
r
y clasi
f
ica
r
compo
r
tamientos anómalo
s
,
mente para soluciones de telefonía IP, pero, po
r
no esta
r
estos son:
debidamente regulados, generan malas con
f
igu
r
aciones.
•
Técnicas basadas en la Estadística, donde se de
f
ine
Normalmente, la VoI
P
utiliza las IP de las
r
edes y estáun compo
r
tamiento estocástico
(
compo
r
tamientos
sujeto a vulnerabilidades propias del medio, donde cadaque son sometidos al aza
r
y se
r
án objeto
s
de un
componente de red, dígase enrutadores (route
r
s
)
, conmu
-
análisis estadístico
)
.
tadores (switches), pasarelas (gateways) y co
r
ta
f
uegos
•
Técnicas basadas en el conocimiento, donde
s
e de-
(
f
irewalls), tienen sus propios problemas de segu
r
idad. La
f
ine una disponibilidad de los conocimiento
s
pre-
adición de trá
f
ico de voz a estos componente
s
aumenta suvios a los datos. B
r
indando
r
obustez,
f
lexibilidad y
lista de vulnerabilidades (Jared Ring, 2006).escalabilidad.
Una revisión general de la literatura explica que
•
Técnicas basadas en el
A
p
r
endizaje
A
utomático
un comportamiento anómalo es una mane
r
a o
f
o
r
ma
(
machine lea
r
ning
)
, pe
r
mite una catego
r
ización de
de actuar que no es usual, y si estas formas no usualespat
r
ones, b
r
inda
f
lexibilidad y adaptabilidad en la
son utilizadas para violentar lo establecido, entonces escaptu
r
a de inte
r
dependencias.
considerado fraude, ataques, amenazas, violaciones deEn nuest
r
o país, existen va
r
ios estudios sobre la
seguridad, entre otros. A continuación se menciona yimplementación de in
fr
aest
r
uctu
r
as de tele
f
onía IP, pero
explica brevemente los principales ataques que se
r
ea
-
según la lite
r
atu
r
a consultada, no se tiene conocimiento
lizan a los sistemas de telefonía I
P
, a través de las
r
edesde que se hayan
r
ealizado estudios pa
r
a la detección de
de datos. (Ram Dantu May, 2009)compo
r
tamientos anómalos en los sistemas de
V
oIP, con
Todos e
s
tos tipos de ataques son realizados, de
f
o
r-
la “
A
ctualización de lineamientos de la Política econó-
ma gene
r
al, con la
f
inalidad de:mica y social del Pa
r
tido y la Revolución pa
r
a el perio-
• Evitar el completamiento de un gran núme
r
o de lla
-
do 2016 – 2021 ap
r
obados en el
VII
Cong
r
eso del PCC
madas, robando así minutos de llamada
s
a las com
-
en ab
r
il de 2016 y ap
r
obados po
r
la
A
samblea Nacional
pañías de telecomunicaciones, lo que afecta la ima
-
del Pode
r
Popula
r
en Julio de 2016”, los lineamiento
s
gen corporativa y sus ingresos.núme
r
os 89 y 108, están o
r
ientados pa
r
a ga
r
antizar las
• Escuchar a escondidas estos canales (
S
ni
ff
e
r)
y asítelecomunicaciones
(
7mo. Cong
r
eso del PCC 2016)
obtener datos personales y/o de empresas, con el ob
-
Los especialistas han acumulado expe
r
iencia, en el
jetivo de venderlo a terceras personas.
r
econocimiento de pat
r
ones de
fr
aude y compo
r
tamien-
• Según datos ofrecidos por C
F
CA‒Communicationstos anómalos, en las
r
edes de
V
oz
(
tele
f
onía
)
, con la uti-
Fraud Control Association‒ y
F
IINA‒
F
o
r
um
f
o
r
thelización de la señalización SS7. Mient
r
as que, en el caso
International Irregular Network Access‒, en el 2014de las
r
edes de datos, se están dando los p
r
ime
r
o
s
pa
s
os,
los Robocalling (robo de llamadas) y ot
r
os tipos delog
r
ándose la especialización en el monito
r
eo y análi
s
i
s
ataques maliciosos, constituyeron 20 millones dede t
r
á
f
ico malicioso
(
mal
w
a
r
es
)
, la detección de Botnet
horas de trabajo
S
MBs ‒
S
ever Message Block, p
r
o
-(
son un g
r
upo de PC in
f
ectados y cont
r
olados por un
I
SS
N
: 1813-5056, R
N
P
S: 0514,
V
o
l
.
14,
N
o
.
2,
j
u
li
o
-
d
i
c
i
e
m
b
r
e
, 2018,
pp
.
73 - 84
I
N
V
E
S
T
I
G
A
C I
Ó
N
I
n
g
.
D
a
y
n
e
t
Á
l
v
a
r
e
z
E
n
g,
D
r
.
Sc
.
Go
d
of
r
e
d
o
G
a
r
a
y
Á
l
v
a
r
e
z,
M
sc
.
Y
o
a
n
M
a
rt
í
n
e
z L
ó
p
e
z
75
R
e
s
u
l
t
a
do
s
y
d
i
sc
u
s
i
ón
otras.
atacante de forma remota), ataques de DoS ‒
D
enegaciónca
r
aspectos de estas sesiones, evitando
s
u detec-
de Servicio y sus variantes‒, detección de páginas
w
ebción. Ejemplo de estos tipos de ataques puede ser
falsas ‒AP Phishing‒entre otras.
S
in emba
r
go, el espec
-
el
r
e
-
en
r
utamiento de llamadas, inte
r
ceptación de
tro de ataques identi
f
icados a este tipo de
r
ed es muchosesiones RTP no ci
fr
adas, ent
r
e ot
r
as.
más amplio y se sigue incrementando constantemente.
•
A
menazas de
D
enegación de Se
r
vicio (
D
o
s
): son
(G. Lorenz NY, 5–6 June 2001)concebidos pa
r
a evita
r
, denega
r
los acce
s
o
s
de lo
s
Ante esta situación, a los especialistas hoy en día,usua
r
ios a los se
r
vicios de
V
o
I
P.
Af
ectar la
s
capa-
se les di
f
iculta la detección de comportamientos anó
-
cidades de comunicación de un usua
r
io u organi-
malos, pues carecen del conocimiento necesa
r
io pa
r
azación, es deci
r
, cuando todas las comunicacione
s
ello, lo que trae consigo de
f
iciencias en la clasi
f
icación
V
o
I
P y de datos se multiplexan sob
r
e la mi
s
ma
de los di
f
erentes tipos de métodos de fraude y po
r
con
-r
ed, explotando los
f
allos y/o de
f
ectos en la con-
siguiente no se toman las medidas necesa
r
ias pa
r
a mi
-
f
igu
r
ación de las llamadas o en la implementación
nimizar el impacto de los mismos.de se
r
vicios,
r
ealiza
r
ataques gené
r
icos a lo
s
f
lujo
s
de t
r
á
f
ico. También pueden implica
r
ataque
s
con
componentes
f
ísicos
(
po
r
ejemplo, desconectar fí-
El se
r
vicio de telefonía IP, establece un modelo de so
-
sicamente o co
r
ta
r
un cable
)
o a t
r
avés de ataque
s
licitud/re
s
puesta parecido al protocolo HTTP ‒
H
ipe
r
Textin
f
o
r
máticos u ot
r
as in
fr
aest
r
uctu
r
as
(
de
s
habilitar el
Transfer
P
rotocol‒; en ambos modelos la t
r
ansacciónse
r
vido
r
DN
S o apaga
r
la alimentación).
consta en una solicitud de un cliente que invoca a un
•
A
menazas de abuso del se
r
vicio: consi
s
ten en un
método en particular o función especí
f
ica del se
r
vido
r
yuso indebido de los se
r
vicios de tele
f
onía IP, e
s
pe-
este responde al cliente de acuerdo a la
r
espuesta dadacialmente cuando las in
fr
aest
r
uctu
r
as de
V
oIP, tie-
por el método o función ejecutada (
F
igura 2
)
. Po
r
lo quenen un uso come
r
cial, dando luga
r
a distinto
s
méto-
su funcionamiento es
f
luido en cualquier
r
ed, basada endos de
fr
aude pa
r
a evita
r
la
f
actu
r
ación de llamada
s
,
protocolo I
P
y a la vez es sensible a las vulne
r
abilidadescomo po
r
ejemplo el Toll F
r
aud.
de los protocolos de VoI
P
, así como a las del p
r
otocolo
•
A
menazas de acceso
f
ísico: se
r
e
f
ie
r
e al acce
s
o fí-
HTTP. (Cárdenas Rojas, 2015).sico no auto
r
izado o inap
r
opiado a los equipo
s
de
Las vulnerabilidades en los sistemas de Tele
f
onía
V
o
I
P, o a nivel de
r
ed
(
siguiendo lo que e
s
tablece el
IP, son aprovechadas cuando se rompe la t
r
íada queModelo
I
S
O
de 7 capas
)
.
de
f
ine su
S
eguridad: Con
f
idencialidad,
I
nteg
r
idad y
•
A
menazas a la inte
rr
upción de los se
r
vicio
s
:
s
e re-
Disponibilidad, al fallar algunos de estos elementos,
f
ie
r
e a algunos p
r
oblemas que se c
r
ean de manera
causan las amenazas más comunes que inciden en ga
-
no intencional, pe
r
o que inciden en que los
s
ervi-
rantizar la
S
eguridad, Fiabilidad y Calidad del Se
r
viciocios de
V
o
I
P, se vuelvan inutilizables e inaccesi-
(Qos) de las infraestructuras de Telefonía
I
P. Estas sebles. Ejemplo de esto puede se
r
la caída de la
s
re-
clasi
f
ican en (VOI
PS
A, 2005).des eléct
r
icas debido a inclemencias del tiempo, el
• Amenazas sociales: dirigidas fundamentalmente ha
-
agotamiento de los
r
ecu
r
sos de los sistema
s
por un
cia lo
s
usuarios.
S
e debe a con
f
iguraciones e
rr
óneas,inc
r
emento de t
r
á
f
ico y/o subsc
r
ipto
r
es no previ
s
to,
error o malas interacciones en los protocolos de losp
r
oblemas en el
r
endimiento que deg
r
adan la cali-
Sistemas de Telefonía IP, que permiti
r
ían a pe
r
sonasdad de las llamadas.
malintencionadas, asumir identidades maliciosas deEstas amenazas dive
r
si
f
ican las di
f
e
r
ente
s
técnica
s
los u
s
uarios de la red. Ejemplos de estos tipos dey métodos de ataques más usuales que utilizan lo
s
de-
ataques tenemos los
P
hishing - Vishing, Spam, ent
r
e
fr
audado
r
es pa
r
a ataca
r
los sistemas de tele
f
onía IP.
• Amenazas de escucha, espionaje, inte
r
cepciónLas Técnicas de Lógica
D
i
f
usa ‒Technique
s
y modi
f
icación conocida como eavesdropping:
f
uzzy logic‒: Emplea la teo
r
ía de los conjunto
s
difu-
permiten a personas malintencionadas sin auto
-
sos bajo la cual el
r
azonamiento es ap
r
oximado; al
rización, realizar la escucha de las señalizacionescont
r
a
r
io de la p
r
ecisión que plantea la lógica clásica.
(con
f
iguración de las llamadas) o el contenido deEstas técnicas se utilizan en el campo de la detección
las sesiones de VoI
P
, posibilitando incluso modi
f
i
-
de anomalías, p
r
incipalmente po
r
que las ca
r
acterística
s
I
SS
N
: 1813-5056, R
N
P
S: 0514,
V
o
l
.
14,
N
o
.
2,
j
u
li
o
-
d
i
c
i
e
m
b
r
e
, 2018,
pp
.
73 - 84
L
ó
g
i
c
a
D
i
f
u
s
a
p
a
r
a
la
d
e
t
e
cc
i
ón
d
e
c
o
m
po
r
t
a
m
i
e
n
t
o
s
a
nó
m
al
o
s
e
n
l
o
s s
i
st
e
m
a
s
d
e
t
e
l
e
f
on
í
a
I
N
V
E
S
T
I
G
A
C I
Ó
N
76
M
i
n
e
r
í
a
d
e
d
a
t
o
s, c
on
c
e
p
t
o
s
y
t
é
c
n
i
c
a
s
m
á
s
u
t
ili
z
a
d
a
s
a considera
r
pueden considerarse como va
r
iables di
f
u
-
Las técnicas más
r
ep
r
esentativas y utilizada
s
s
e-
sas. Este tipo de esquema de procesamiento conside
r
a
gún la lite
r
atu
r
a consultada son:
una observación como normal si se encuent
r
a dent
r
o
R
edes neuronales.
-
Son un pa
r
adigma de aprendi-
de un intervalo dado. (Idris Mala, 2013)
zaje y p
r
ocesamiento automático inspi
r
ado en la forma en
Dentro de las técnicas antes mencionadas, unas de
que
f
unciona el sistema ne
r
vioso de los animales. Se trata
las más utilizadas a nivel mundial, para la detección de
de un sistema de inte
r
conexión de neu
r
onas en una red
comportamientos anómalos en los sistemas de tele
f
o
-
que colabo
r
a pa
r
a p
r
oduci
r
un estímulo de salida.
A
lgunos
nía IP, son las técnicas
F
uzzing y/o de Lógica
D
i
f
usa
ejemplos de
r
ed neu
r
onal son
(N
a
r
end
r
a Shekokar, 2011):
(fuzzy Logic), que pueden ser combinadas con ot
r
as
El pe
r
cept
r
ón
técnicas para una mayor efectividad, por ejemplo la
El pe
r
cept
r
ón multicapa
combinación con Redes Neuronales, con los algo
r
it
-
Los mapas auto o
r
ganizados, también conocido
s
mos genéticos, entre otras (Narendra
S
hekoka
r
, 2011
)
.como
r
edes de
K
ohonen
Gracias a la aplicación de las Técnicas de Lógica
R
egresión lineal.
-
Es la más utilizada pa
r
a formar
Difusa, se ha llegado a encontrar gran cantidad de ata
-r
elaciones ent
r
e datos. Rápida y e
f
icaz pe
r
o insu
f
icien-
ques de Denegación de
S
ervicio (DoS),
D
enegaciónte en espacios multidimensionales donde puedan rela-
de Servicios Distribuidos (DDoS) y ataques po
r
ciona
r
se más de 2 va
r
iables.
Desbordamientos de Búfer ‒buffer over
fl
ows‒, en los
R
edes bayesianas.
-
Llamadas
r
edes de c
r
eencias o
productos que implementan los protocolos S
I
P,
H
.323p
r
obabilísticas. Pe
r
mite inve
r
ti
r
las dependencia
s
de lo
s
y sus variantes según lo aprobado por la U
I
T
(
E
r
ic
Y
.at
r
ibutos; con una dist
r
ibución p
r
evia, p
r
opo
r
ciona una
Chen 2008). Además se utilizan para censa
r
la segu
r
i
-f
o
r
ma de inco
r
po
r
a
r
in
f
o
r
mación exte
r
na al p
r
oceso de
dad, determinar vulnerabilidades no previstas en con
-
análisis de los datos, dando una dist
r
ibución posterior, la
f
iguraciones o son empleadas por personas maliciosascual vuelve a se
r
actualizada con la dist
r
ibución previa.
para apropiarse de diferentes datos sobres estas in
-
Bayes
N
aive.
-
Es
un método
heu
r
ístico
ba
s
ado
en
fraestructuras de telefonía I
P
(H. Abdelnur, 2006
)
. Pa
r
a
los
teo
r
emas de Bayes, sin las dependencias que pue-
ello se profundiza en las Técnicas de Lógica
D
i
f
usa,
dan
existi
r
, en
donde se
emplea
la
teo
r
ía
de la
proba-
por su versatilidad en la detección de vario
s
ataques ya
bilidad, pa
r
a encont
r
a
r
lo más p
r
obable. Es utilizado
conocidos
pa
r
a la clasi
f
icación de texto. También como cla
s
i
f
ica-
do
r
pa
r
a desca
r
ta
r
r
edundancia e i
rr
elevancias en lo
s
p
r
edicto
r
es
(
Muhammad
A
li
A
kba
r
, 2012
)
.
Á
rboles de decisión.
-
U
n á
r
bol de decisión es un
La minería de datos, como el proceso de ext
r
ac
-
modelo de p
r
edicción utilizado en el ámbito de la inte-
ción de la información dentro de los grandes volúme
-
ligencia a
r
ti
f
icial y el análisis p
r
edictivo, dada una ba
s
e
nes de datos (Big Data), de origen matemático, a t
r
a
-
de datos se const
r
uyen estos diag
r
amas de construccio-
vés de algunos teoremas de e
f
icacia de algo
r
itmos y
nes lógicas, muy simila
r
es a los sistemas de p
r
edicción
ecuaciones lineales, cuadráticas entre otra
s
, sumado a
basados en
r
eglas, que si
r
ven pa
r
a
r
ep
r
esentar y cate-
un tratamiento estadístico y un aprendizaje automático
go
r
iza
r
una se
r
ie de condiciones que ocu
rr
en de forma
o semi-automático de los datos, permite demost
r
a
r
la
sucesiva,
pa
r
a
la
r
esolución
de un p
r
oblema.
Ejemplos:
utilidad de las cosas en las diferentes áreas del cono
-
A
lgo
r
itmo
ID
3
cimiento y del saber, extraer patrones interesantes has
-
A
lgo
r
itmo C4.5
ta ahora de
s
conocidos, como los grupos de
r
egist
r
os
Lógica e In
f
erencia
D
i
f
usa.
-
Se utiliza en e
s
cenario
s
de datos (análisis clúster), registros poco usuales
(
la
donde
no existe
un modelo
de solución simple o
matemá-
detección de anomalías) y dependencias (mine
r
ía po
r
tico p
r
eciso. T
r
abaja con va
r
iables lingüísticas o con dato
s
reglas de asociación), antes de la puesta de su
f
uncio
-
imp
r
ecisos, con
r
eglas de tipo
I
F
-
T
H
E
N
, de
f
inida
s
a partir
namiento. (Palomo Miñambres, 2005)de la opinión de expe
r
tos o de un sistema de aprendizaje
Las técnicas de la minería de datos provienen de la
(r
ed neu
r
onal
)
. La lógica di
f
usa es el puente entre la alta
inteligencia arti
f
icial y de la estadística, las mismas, nop
r
ecisión y la alta complejidad de la di
f
usividad.
son más que algoritmos, más o menos so
f
i
s
ticados queModelos es
t
adís
t
icos.
-
Es una exp
r
esión simbó-
se aplican sobre un conjunto de datos para obtene
r
ot
r
os.lica en
f
o
r
ma de igualdad o ecuación que se emplea en
I
N
V
E
S
T
I
G
A
C I
Ó
N
I
n
g
.
D
a
y
n
e
t
Á
l
v
a
r
e
z
E
n
g,
D
r
.
Sc
.
Go
d
of
r
e
d
o
G
a
r
a
y
Á
l
v
a
r
e
z,
M
sc
.
Y
o
a
n
M
a
rt
í
n
e
z L
ó
p
e
z
I
SS
N
: 1813-5056, R
N
P
S: 0514,
V
o
l
.
14,
N
o
.
2,
j
u
li
o
-
d
i
c
i
e
m
b
r
e
, 2018,
pp
.
73 - 84
77
L
ó
g
i
c
a
d
i
f
u
s
a
p
a
r
a
l
a
d
e
t
e
cc
i
ó
n
d
e
c
o
m
-
p
o
rt
a
m
i
e
n
t
o
s
a
n
ó
m
a
l
o
s
e
n
l
o
s s
i
st
e
m
a
s
d
e
t
e
l
e
fo
n
í
a
I
P
e
n
l
a
E
m
p
r
e
s
a
d
e
T
e
l
e
c
o
m
un
i
c
a
-
c
i
o
n
e
s
d
e
C
ub
a
S
.
A
.
El monitoreo de aplicaciones dist
r
ibuidas como
VoIP es un desafío, porque en muchos casos el segui
-
miento de una sola fuente de datos no es su
f
iciente pa
r
a
hechos que ocurren en común dentro de un dete
r
mina
-
do conjunto de datos.
Algoritmos ge
n
éticos. - Representan la mode
-
lación matemática de la biología en los c
r
omosomas
como un marco evolucionista que alcanza la est
r
uctu
r
a
y composición más óptima en aras de la supe
r
vivencia.
Comprendiendo la evolución como un p
r
oceso de bús
-
queda y optimización de la adaptación de las especies
que se plasma en mutaciones y cambios en los genes
o cromo
s
omas. Se combinan posteriormente con ot
r
as
técnicas como las redes neuronales, los á
r
boles de de
-
cisión, los sistemas difusos, entre otros, después de se
r
utilizadas para la selección de las variables a p
r
edeci
r
.
Se han estudiado los diferentes ataques a los que pue
-
den ser sometidas las infraestructuras de tele
f
onía
I
P, esto
se re
f
leja en determinados comportamientos anómalos en
el trá
f
ico VoI
P
generado, para la detección de estos com
-
portamientos, se han realizado diferentes estudios sob
r
e
técnicas que permitan una pronta y e
f
icaz detección.
La aplicación de las técnicas de
F
uzzing en este
campo ha permitido realizar diferentes estudios de
muestra
s
de trá
f
ico de VoI
P
.
S
e pretende
r
ealiza
r
expe
-
rimentos para obtener resultados mediante un sistema
Difuso (FL
S
) y los algoritmos de árboles de decisión,
para ello se utilizarán las herramientas de mine
r
ía de
datos Open Source: WEKA y KEEL, combinando las
librerías de lógica difusa, los algoritmos
ID
3 y C.4.5,
de los árboles de decisión y combinándolos con las
r
e
-
glas de decisión, para posteriormente realiza
r
compa
-
raciones de los resultados obtenidos.
todos los diseños experimentales y en la
r
eg
r
esión pa
r
a
r
evela
r
la imagen completa de algunas actividades ma-
indicar los diferentes factores que modi
f
ican la va
r
ia
-
liciosas. Po
r
lo tanto, en las in
fr
aest
r
uctu
r
as de
V
oIP,
ble de respuesta.se deben con
f
igu
r
a
r
la obtención de t
r
es tipo
s
de fuen-
Agru
p
amie
n
to o Cl
u
steri
n
g. - Es un p
r
ocedi
-
tes de datos: el t
r
á
f
ico de
r
ed, los
r
egist
r
os de detalle
miento de agrupación de una serie de vecto
r
es segúnde llamadas y los
r
egist
r
os del se
r
vido
r
. Cada uno de
criterios habitualmente de distancia; se t
r
ata
r
á de dis
-
estos tipos de C
D
R ‒Call
D
etails Record
s
‒ y Log
s
,
poner lo
s
vectores de entrada de forma que estén más
son
impo
r
tantes
pa
r
a un
g
r
upo
de en
f
oque
s
de
detec-
cercanos aquellos que tengan características comunes.
ción. Po
r
ot
r
a pa
r
te, la co
rr
elación de los patrones que
Ejemplos: Algoritmo K-means, Algoritmo
K-
medoids.
aba
r
can
múltiples
f
uentes
de
datos
puede
revelar
má
s
Reglas
d
e asociación. - Se utilizan pa
r
a descub
r
i
r
p
r
uebas
sob
r
e
cie
r
tas
anomalías
que
pe
r
mitirá
el
mo-
nito
r
eo y análisis de la Con
f
idencialidad,
I
ntegridad y
D
isponibilidad.
A
continuación, se destaca la impor-
tancia de cada tipo de datos
(
Ruiz
-A
gundez, 2014):
El
t
rá
f
ico de red: Especialmente los protocolo
s
que son esenciales pa
r
a el
f
uncionamiento normal del
se
r
vicio
V
o
I
P
(
po
r
ejemplo, S
I
P,
DN
S
)
, constituyen las
f
uentes de datos típicos pa
r
a la detección de anomalías
basadas en la
r
ed. Se analiza
f
undamentalmente para
detecta
r
una se
r
ie de inundaciones y ataques SPIT.
Los
r
egist
r
os de detalle de llamadas (C
D
R)
s
on
pa
r
ticula
r
mente impo
r
tantes pa
r
a la detección de frau-
des y la mitigación de SP
I
T. El histo
r
ial y análi
s
is de
las llamadas ayuda a c
r
ea
r
pe
r
f
iles de usuario
s
, ya
s
ea
desde el punto de vista del usua
r
io y/o g
r
upo
s
de u
s
ua-
r
ios, pa
r
a detecta
r
llamadas
fr
audulentas.
El
r
egist
r
o y las estadísticas de los
s
ervidore
s
V
o
I
P, son el o
r
igen de los datos típicos para la detec-
ción de int
r
usos basada en host. Po
r
ejemplo, lo
s
logs
que p
r
opo
r
cionan los equipamientos que componen
las in
fr
aest
r
uctu
r
as de Tele
f
onía
I
P: núcleo, memoria,
estadísticas sin estado, estadísticas de t
r
an
s
acciones,
ubicación del usua
r
io y
r
egist
r
o. Estos parámetro
s
pueden se
r
monito
r
eados en línea con el
f
in de revelar
un p
r
ocesamiento ano
r
mal y las ca
r
gas de memoria.
Pa
r
a el estudio y la aplicación de la lógica difusa en
la detección de compo
r
tamientos anómalo
s
, se toma-
r
án va
r
ias muest
r
as de t
r
á
f
ico de
V
o
I
P, generada en la
s
Cent
r
ales
I
P, de los tipos “T
r
á
f
ico de Red”, que nom-
b
r
a
r
emos pa
r
a los expe
r
imentos “tipo 1” y “Registros
de Llamadas
(
C
D
R
)
”, que nomb
r
a
r
emos para los expe-
r
imentos “tipo 2”. Las muest
r
as se componen aproxi-
madamente po
r
65 000
r
egist
r
os, divididos en:
•
La muest
r
a del t
r
á
f
ico tipo 1, está compue
s
ta por
t
r
á
f
ico no
r
mal de datos y la ot
r
a mue
s
tra con
t
r
á
f
ico unido combinado con no
r
mal y anómalo
s
de datos, o
r
iginados po
r
la utilización del SIPP
1
,
1
h
tt
p
s://www.si
pp
.s
ou
rc
e
f
o
r
ge
.
ne
t,
he
rr
a
mi
en
t
a
open
s
ou
rc
e
,
pa
r
a
e
l t
e
st
eo
de
i
n
fr
ae
str
u
ct
u
r
a
s V
o
IP.
L
ó
g
i
c
a
D
i
f
u
s
a
p
a
r
a
la
d
e
t
e
cc
i
ón
d
e
c
o
m
po
r
t
a
m
i
e
n
t
o
s
a
nó
m
al
o
s
e
n
l
o
s s
i
st
e
m
a
s
d
e
t
e
l
e
f
on
í
a
I
N
V
E
S
T
I
G
A
C I
Ó
N
I
SS
N
: 1813-5056, R
N
P
S: 0514,
V
o
l
.
14,
N
o
.
2,
j
u
li
o
-
d
i
c
i
e
m
b
r
e
, 2018,
pp
.
73 - 84
78
F
i
g
u
r
a
5
.
E
str
u
ct
u
r
a
a
d
o
p
t
a
d
a
p
a
r
a
l
a
g
e
n
e
r
a
c
i
ó
n
d
e
l
tr
á
f
i
c
o
a
n
ó
m
a
l
o
u
t
ili
z
a
nd
o
e
l
S
I
P
p
.
herramienta de testeo utilizada en inf
r
aest
r
uctu
-
Llamada con pa
r
ámet
r
os anómalos
(
W
A
RNI
NG
).
ras de telefonía I
P
.Llamada de
fr
aude
(
FR
AUD
E
)
.
• La muestra del trá
f
ico tipo 2 está compuesta po
r
Las va
r
iables p
r
incipales a analiza
r
son:
trá
f
ico normal de CDR y trá
f
ico con C
D
R conside
-I
p
Or
igen de la llamada.
rados totalmente anómalos, originados po
r
la utili
-D
esc
r
ibi
r
cómo valo
r
a
r
la
I
P o
r
igen cuando e
s
zación del
S
tar Trinity, en su versión no come
r
cial,0.0.0.0.
herramienta de testeo utilizada en infraest
r
uctu
r
as
D
esc
r
ibi
r
cómo valo
r
a
r
cuando la
I
P o
r
igen no
de telefonía I
P
.cumple con la no
r
ma
I
Pv4.
Las herramientas de testeo para el
s
e
r
vicio de
I
p destino de la llamada.
VoIP, son empleadas para detectar malas con
f
igu
r
acio
-D
esc
r
ibi
r
cómo valo
r
a
r
la
I
P o
r
igen cuando e
s
nes, vulnerabilidades, hacer estudios de calidad
(Q
os
)
0.0.0.0.
del servicio que comprende: calidad de la señal, cali
-D
esc
r
ibi
r
cómo valo
r
a
r
cuando la
I
P o
r
igen no
dad de los canales de voz, ancho de banda, ent
r
e ot
r
as.cumple con la no
r
ma
I
Pv4.
Para ellos existen diversas herramientas Open Sou
r
ce
D
ate:
f
echa y ho
r
a de a
rr
ibo de la llamada.
y bajo licencia que son instaladas y con
f
igu
r
adas, end – du
r
ación de la llamada.
los sistemas de VoI
P
.Cuando es 0 segundos de du
r
ación.
En la literatura consultada, una herramienta deCuando es 0.1 segundos hasta 3600 segundos (0.1
Testeo de in
f
raestructuras de VoIP, debe aba
r
ca
r
los si
-
≤ d ≥ 3600
)
.
guientes puntos, para que sea efectiva en la p
r
otecciónCuando es mayo
r
de 3600
(
d > 3600
)
, se con
s
idera
y mantenimiento del servicio de telefonía IP:llamada anómala.
Test de los protocolos que integran el servicio de
V
o
I
P.n – estatus de la llamada:
Generación de trá
f
ico de VoI
P
de prueba.Llamada completada, valo
r
1.
Contenga herramientas para la evaluación de lasLlamada no completada, valo
r
0.
diferentes Redes de Datos.Llamada con valo
r
es distintos de 1 y 0
(
n ǂ 1, n ǂ 0)
La herramienta utilizada en el experimento, pa
r
a laEstas va
r
iables
f
ue
r
on con
f
igu
r
adas en un Si
s
tema
generación del trá
f
ico anómalo del tipo 1,
f
ue el SiPp,de Lógica
D
i
f
usa
(H
osseinpou
r
Mahsa, 2016), im-
es una herramienta Open Source. Con ella se puedenplementado en C#
(A
nexo
VIII)
, pa
r
a poste
r
iormente
con
f
igurar y generar diferentes escenarios de int
r
oduc
-
aplica
r
le las he
rr
amientas de mine
r
ía de
D
ato
s
WE
KA
ción de trá
f
ico anómalo, en la
f
igura 5 se muest
r
a lay
K
EEL.
estructura a nivel de red implementada.La he
rr
amienta utilizada en el expe
r
imento para la
gene
r
ación del t
r
á
f
ico anómalo del tipo 2,
f
ue el Star
T
r
inity, en su ve
r
sión no come
r
cial, o
fr
ece un esque-
ma de gene
r
ación de llamadas que t
r
ibuta a unos de
los
fr
audes que actualmente más a
f
ecta a las compa-
ñías de telecomunicaciones, el F
A
S ‒False Answe
r
Supervision‒, es una he
rr
amienta come
r
cial, con una
ve
r
sión lib
r
e. Con ella se pueden con
f
igu
r
a
r
y generar
di
f
e
r
entes escena
r
ios de int
r
oducción de t
r
á
f
ico anó-
malo, en la
f
igu
r
a 6, se muest
r
a la est
r
uctu
r
a a nivel de
r
ed implementada.
Pa
r
a la evaluación del t
r
á
f
ico de las llamada
s
de
V
o
I
P, está compuesto po
r
va
r
ios C
D
R
(
Call
D
etail
s
Reco
r
ds
)
, campos y pa
r
ámet
r
os, de acue
r
do a lo
s
com-
ponentes de la
I
n
fr
aest
r
uctu
r
a
V
o
I
P. En la evaluación
Para la evaluación del trá
f
ico de tipo 1, se de
f
inie
-
de las llamadas se tend
r
án en cuenta seis pa
r
ámetro
s
ron varios parámetros a evaluar y que, en
s
u análisis,que
f
o
r
man pa
r
te de la est
r
uctu
r
a de un C
D
R, que, en
dieron lugar a la variable de decisión de
f
inida po
r
:su análisis, da
r
án luga
r
a la va
r
iable de decisión (y) de-
Llamada normal (NORMAL).
f
inida po
r
:
I
N
V
E
S
T
I
G
A
C I
Ó
N
I
n
g
.
D
a
y
n
e
t
Á
l
v
a
r
e
z
E
n
g,
D
r
.
Sc
.
Go
d
of
r
e
d
o
G
a
r
a
y
Á
l
v
a
r
e
z,
M
sc
.
Y
o
a
n
M
a
rt
í
n
e
z L
ó
p
e
z
I
SS
N
: 1813-5056, R
N
P
S: 0514,
V
o
l
.
14,
N
o
.
2,
j
u
li
o
-
d
i
c
i
e
m
b
r
e
, 2018,
pp
.
73 - 84
79
Analysis‒ y
K
EEL ‒Knowledge Extraction ba
s
ed on
Evolutionary Learning‒.
H
e
rr
a
m
i
e
n
t
a
W
E
K
A
En el WE
KA
se utiliza
r
on los algoritmo
s
de
clasi
f
icación J48 pe
r
teneciente a los algoritmo
s
de
clasi
f
icación de los á
r
boles de decisión
(
Tree), el al-
go
r
itmo J48, es una adaptación pa
r
a la
H
erramienta
WE
KA
del algo
r
itmo C4.5, y el JR
I
P (
J
RIPPER),
pe
r
teneciente a los algo
r
itmos que se basan en la ge-
ne
r
ación de
r
eglas.
Resultados Expe
r
imentales pa
r
a el T
r
á
f
ico Tipo 1.
Se muest
r
a el á
r
bol gene
r
ado con la variable ya
f
usi
f
icada en el t
r
á
f
ico tipo 1
D
RT,
f
igu
r
a 7:
Y
la gene
r
ación de las
r
amas del á
r
bol de deci
s
ión:
An
s
w
e
r
T
y
p
e
<
=
0
| C
a
u
s
e
C
od
e
<
=
38
:
i
n
c
o
m
p
l
e
t
e
_
c
all
(
151
.
88
)
| C
a
u
s
e
C
od
e
>
38
:
f
a
u
l
t
_
c
o
m
i
n
g
(
154
.
12
/
1
.
12
)
An
s
w
e
r
T
y
p
e
>
0
:
c
o
m
p
l
e
t
e
_
c
all
(
153
.
0
)
N
u
m
b
e
r
o
f
L
e
av
e
s
:
3
S
i
z
e
o
f
t
h
e
t
r
ee
:
5
Ma
t
riz de con
f
usión
abc <
--
clasi
f
icada como
4586034 | a = incomplete_call
029800 | b = complete_call
006 | c =
f
ault_coming
F
i
g
u
r
a
6
.
E
str
u
ct
u
r
a
a
d
o
p
t
a
d
a
p
a
r
a
l
a
g
e
n
e
r
a
c
i
ó
n
d
e
tr
á
f
i
c
o
a
n
ó
m
a
l
o
u
t
ili
z
a
nd
o
e
l
St
a
r Tr
i
n
i
t
y
.
Llamada normal (NORMAL)
Llamada con parámetros anómalos
(
W
A
R
NING)
Llamada de fraude (FRAUDE)
Estos parámetros de
f
inidos inicialmente pa
r
a el
mentaron en el
S
istema de Lógica Difusa ‒Fuzzy Logic
o – Número Llamador.
e – Numero Llamado.
d – duración de la llamada.
Cuando es 0.1 segundos hasta 3600 segundos
(
0.1
≤ d ≥ 3600).
Cuando es mayor de 3600 (d > 3600
)
, se conside
r
a
llamada anómala.
n – estatus de la llamada:
Llamada completada, valor 1.
Llamada no completada, valor 0.
Llamada con valores distintos de 1 y 0
(
n ǂ 1, n ǂ 0
)
i – Duración del timbre (segundos).
Las muestras de trá
f
ico (dataset) fue
r
on analizadas
en dos experimentos comparativos, tratando de que
cumplieran con los estándares del trá
f
ico
KDD
C
U
P
’
99
(Mahbod Tavallaee, 2009). Alos trá
f
icos de
fr
aude del
tipo 1 y tipo 2, después de haber pasado po
r
el siste
-
ma difuso, se le aplicaron las herramientas de mine
r
ía
de Datos WEKA‒Waikato Enviroment for Knowledge
Cuando es 0 segundos de duración.
F
i
g
u
r
a
7
.
Á
r
b
o
l
D
e
c
i
s
i
ó
n
J
48
.
Cuando la duración del timbre es 0 segundos
(
i = 0
)
.
R
EGL
A
S
:
Cuando la duración del timbre es ent
r
e 1 segundo
I
F
(A
ns
w
e
r
Type <= 0
)
AND
(
CauseCode <= 38)
y 5 segundos.
T
H
E
N
incomplete_call
(
151.88
)
Cuando la duración del timbre es mayo
r
que 5 has
-
I
F
(A
ns
w
e
r
Type <= 0
)
AND
(
CauseCode > 38)
ta 50 segundos.
T
H
E
N
f
ault_coming
(
154.12/1.12
)
Cuando es mayor que 50, se conside
r
a anómala.
I
F
(A
ns
w
e
r
Type > 0
)
T
H
E
N
complete_call (153.0)
t- fecha y hora de arribo de la llamada.
i
n
c
o
m
p
l
e
t
e
_
c
a
ll
(
151
.
88
)
f
a
u
t
_
c
o
m
i
n
g
(
154
.
12
/
1
.
12
)
System (
F
L
S
)‒ que fue programado en C#, son:
<
=
0
>
0
rentes de
s
tinos.
<
=
38
>
38
Describir cantidad de llamadas originadas de di
f
e
-
C
a
u
s
e
C
o
d
e
c
o
m
p
l
e
t
e
_
c
a
ll
(
153
.
0
)
estudio de los comportamientos anómalos, se imple
-
A
n
s
w
e
rT
y
p
e
L
ó
g
i
c
a
D
i
f
u
s
a
p
a
r
a
la
d
e
t
e
cc
i
ón
d
e
c
o
m
po
r
t
a
m
i
e
n
t
o
s
a
nó
m
al
o
s
e
n
l
o
s s
i
st
e
m
a
s
d
e
t
e
l
e
f
on
í
a
I
N
V
E
S
T
I
G
A
C I
Ó
N
I
SS
N
: 1813-5056, R
N
P
S: 0514,
V
o
l
.
14,
N
o
.
2,
j
u
li
o
-
d
i
c
i
e
m
b
r
e
, 2018,
pp
.
73 - 84
80
Se muestra el grá
f
ico generado por la implementa
-
ción del algoritmo JRIP, (
F
igura 8):
Y la generación de las reglas del algoritmo, con la
variable fusi
f
icada, para trá
f
ico tipo 1.
(
E
O
S
>
=
7351
)
=
>
C
all
St
a
t
u
s
=
f
a
u
l
t
_
c
o
m
i
n
g
(
6
.
0
/
0
.
0
)
(
An
s
w
e
r
T
y
p
e
>
=
1
)
=
>
C
all
St
a
t
u
s
=
c
o
m
p
l
e
t
e
_
c
all
(
2980
.
0
/
0
.
0
)
=
>
C
all
St
a
t
u
s
=
i
n
c
o
m
p
l
e
t
e
_
c
all
(
4620
.
0
/
0
.
0
)
N
u
m
b
e
r
o
f
R
u
l
e
s
:
3
Matriz
d
e co
n
f
u
sió
n
abc <-- clasi
f
icado como
4620 00 | a = incomplete_call
029800 | b = complete_call
006 | c = fault_coming
T
a
b
la
2
.
Pr
e
c
i
s
i
ó
n
d
e
t
a
ll
a
d
a
p
o
r c
l
a
s
e
.
T
P
R
a
t
e
F
P
R
a
t
e
P
r
e
c
i
s
i
on
R
e
c
all
F-
M
e
a
s
u
r
e
M
CC
R
O
C
A
r
e
a
P
R
C
A
r
e
a
C
la
ss
0
.
9930
.
0010
.
0001
.
0000
.
9930
.
991
1
.
0001
.
000
i
n
c
o
m
p
l
e
t
e
_
c
a
ll
1
.
0000
.
0001
.
0001
.
0001
.
0001
.
000
1
.
0001
.
000
c
o
m
p
l
e
t
e
_
c
a
ll
1
.
0000
.
0040
.
1501
.
0000
.
2610
.
386
0
.
9971
.
000
f
a
u
l
t
_
c
o
m
i
n
g
Resultados Expe
r
imentales pa
r
a el T
r
a
f
ico Tipo 2.
Se muest
r
a el á
r
bol gene
r
ado po
r
el algoritmo
J48, con la va
r
iable ya
f
usi
f
icada en el t
r
á
f
ico tipo 2
D
RT.
(
Figu
r
a 9
)
:
F
i
g
u
r
a
9
.
Á
r
b
o
l
d
e
d
e
c
i
s
i
ó
n
J
48
p
a
r
a
e
l
tr
á
f
i
c
o
t
i
p
o
2
.
Y
la gene
r
ación de las
r
amas del á
r
bol de deci
s
ión:
T
O
M
A
<
=
51
|
T
O
M
A
<
=
47
:
N
O
R
M
A
L
(
5604
.
0
/
6
.
0
)
|
T
O
M
A
>
47
| | C
D
R
_
H
A
Z
_
S
A
L
I
DA
<
=
1
57
0
7
:
W
A
R
N
I
N
G
(
6
.
0
)
| | C
D
R
_
H
A
Z
_
S
A
L
I
DA
>
1
57
0
7
REGLA
S
:
IF (EOS >= 7351) AND (CallStatus=
f
ault_co
-
ming) THEN fault_coming (6.0/0.0)
| | | C
H
I
<
=
0
:
N
O
R
M
A
L
(
83
.
0
/
5
.
0
)
IF (AnswerType >= 1) and (CallStatus=complete_
| | | C
H
I
>
0
:
W
A
R
N
I
N
G
(
3
.
0
/
1
.
0
)
call) THEN complete_call (2980.0/0.0)
T
O
M
A
>
51
IF (CallStatus=incomplete_call) THEN incomple
-
| C
D
R
_
N
U
M
_
LL
A
M
_
N
O
R
M
<
=
5672236081
te_call (4620.0/0.0)
| | C
D
R
_
N
U
M
_
LL
A
M
A
N
T
E
<
=
12016688343
| | |
U
R
A
<
=
0
:
W
A
R
N
I
N
G
(
10
.
9
/
1
.
0
)
| | |
U
R
A
>
0
:
F
R
AUD
E
(
18
.
0
)
| | C
D
R
_
N
U
M
_
LL
A
M
A
N
T
E
>
12016688343
| | | C
D
R
_
N
U
M
_
LL
A
M
A
N
T
E
<
=
19853174109
:
F
R
AUD
E
(
10619
.
87
/
0
.
97
)
| | | C
D
R
_
N
U
M
_
LL
A
M
A
N
T
E
>
T
P
F
P
R
a
t
e
R
a
t
e
P
r
e
c
i
s
i
on
R
e
c
all
F-
M
e
a
s
u
r
e
M
CC
R
O
C
P
R
C
A
r
e
a
A
r
e
a
19853174109
C
la
ss
| | | |
U
R
A
<
=
0
:
W
A
R
N
I
N
G
10111111
i
n
c
o
m
p
l
e
t
e
_
c
a
ll
(
2
.
97
)
10111111
c
o
m
p
l
e
t
e
_
c
a
ll
| | | |
U
R
A
>
0
:
F
R
AUD
E
(
23
.
0
)
10111111
f
a
u
l
t
_
c
o
m
i
n
g
| C
D
R
_
N
U
M
_
LL
A
M
_
N
O
R
M
T
a
b
la
3
.
Pr
e
c
i
s
i
ó
n
d
e
t
a
ll
a
d
a
p
o
r c
l
a
s
e
.
>
5672236081
:
W
A
R
N
I
N
G
T
O
M
A
W
A
R
N
I
G
F
R
A
U
D
E
(
23
.
0
)
N
O
R
M
C
D
R
_
H
A
Z
_
S
A
L
I
D
A
C
D
R
_
N
U
M
_
LL
A
M
_
N
O
R
M
T
O
M
A
C
D
R
_
N
U
M
_
LL
A
M
_
N
O
R
M
F
i
g
u
r
a
8
.
G
r
á
f
i
c
o
g
e
n
e
r
a
d
o
p
o
r
l
a
i
m
p
l
e
m
e
n
t
a
c
i
ó
n
d
e
l
J
R
I
P
.
W
A
R
N
I
G
(
6
)
C
H
I
N
E
U
R
C
D
R
_
N
U
M
_
LL
A
M
AN
T
E
N
O
R
M
A
L
W
A
R
N
I
N
W
A
R
N
I
N
G
F
R
F
R
A
U
D
E
(
10619
.
8
*
)
E
U
A
<
=
0
>
0
<
=
0
>
0
<
=
51
>
51
<
=
157075707
<
=
47
>
47
<
=
56725465679532563546081
<
=
0
>
0
<
=
1982546567953256354109
<
=
12016683036688343
I
N
V
E
S
T
I
G
A
C I
Ó
N
I
n
g
.
D
a
y
n
e
t
Á
l
v
a
r
e
z
E
n
g,
D
r
.
Sc
.
Go
d
of
r
e
d
o
G
a
r
a
y
Á
l
v
a
r
e
z,
M
sc
.
Y
o
a
n
M
a
rt
í
n
e
z L
ó
p
e
z
I
SS
N
: 1813-5056, R
N
P
S: 0514,
V
o
l
.
14,
N
o
.
2,
j
u
li
o
-
d
i
c
i
e
m
b
r
e
, 2018,
pp
.
73 - 84
81
S
i
z
e
o
f
t
h
e
t
r
ee
:
19
(
284
.
26
/
9
.
1
)
I
F
(
T
O
M
A
> 51
)
AND
(
C
D
R_
NU
M_LL
A
M_
N
u
m
b
e
r
o
f
L
e
av
e
s
:
10
NO
RM > 5672236081
)
T
H
E
N
W
A
R
NING
Ma
t
riz de con
f
usión
abc <
--
clasi
f
icado como
5676 80 |a =
NO
RM
A
L
112961 |b = W
A
R
NING
03 10660 |c = FR
AUD
E
Se muest
r
a la g
r
á
f
ica gene
r
ada po
r
la implementa-
ción del algo
r
itmo JR
I
P,
(
Figu
r
a 10
)
:
(
D
R
T
=
‘
(
3
0
-6
0
]
’
)
a
nd
(
C
D
R
_
N
U
M
_
LL
A
M
_
N
O
R
M
>
=
5989376065
)
a
nd
(
T
O
M
A
>
=
52
)
=
>
c
la
ss
=
W
A
R
N
I
N
G
(
275
.
0
/
6
.
0
)
(
E
UA
<
=
0
)
a
nd
(
T
O
M
A
>
=
51
)
=
>
c
la
ss
=
W
A
R
N
I
N
G
(
24
.
0
/
4
.
0
)
(
C
D
R
_
H
A
Z
_
S
A
L
I
DA
<
=
1
57
0
5
)
a
nd
(
D
R
T
=
‘
(
3
0
-6
0
]
’
)
a
nd
(
T
O
M
A
<
=
51
)
a
nd
(
T
O
M
A
>
=
48
)
=
>
c
la
ss
=
W
A
R
N
I
N
G
(
6
.
0
/
0
.
0
)
(
C
D
R
_
N
U
M
_
LL
A
M
_
N
O
R
M
>
=
13057670190
)
a
nd
(
T
O
M
A
>
=
50
)
a
nd
(
I
31
<
=
0
)
=
>
c
la
ss
=
W
A
R
N
I
N
G
(
6
.
0
/
2
.
0
)
T
a
b
la
4
.
Pr
e
c
i
s
i
ó
n
d
e
t
a
ll
a
d
a
p
o
r c
l
a
s
e
.
REGLAS:
IF (TOMA <=51) AND (TOMA <=47
)
T
H
E
N
NORMAL
IF (TOMA <=51) AND (TOM
A
> 47
)
AND
(CDR_HAZ_
S
ALIDA<= 15707) THEN W
A
R
NING
IF (TOMA <=51) AND (TOM
A
> 47
)
AND
(CDR_HAZ_
S
ALIDA > 15707) AND
(
C
HI
<= 0
)
THEN NORMAL
IF (TOMA <=51) AND (TOM
A
> 47
)
AND
(CDR_HAZ_
S
ALIDA > 15707) AN
D
(
C
HI
> 0
)
THEN WARNING
IF (TOMA > 51) AND (CDR_
NU
M_LL
A
M_
NORM<=5672236081) AND
(
C
D
R_
NU
M_
LLAMANTE <= 12016688343) AND
(U
R
A
<= 0
)
THEN WARNING
IF (TOMA > 51) AND (CDR_
NU
M_LL
A
M_
LLAMANTE <= 12016688343) AN
D
(U
R
A
> 0
)
NORM<=5672236081) AND
(
C
D
R_
NU
M_
LLAMANTE <= 12016688343)
AND
(
C
D
R_
NUM_LLAMANTE>12016688343
)AND
(CDR_NUM_LLAMANTE <= 19853174109
)
T
H
E
N
FRAUDE
IF (TOMA > 51) AND (CDR_
NU
M_LL
A
M_
NORM<=5672236081) AND
(
C
D
R_
NU
M_
LLAMANTE <= 12016688343)
AND
(
C
D
R_
NUM_LLAMANTE>12016688343
)AND
(CDR_NUM_LLAMANTE > 19853174109
)
AND
(CDR_NUM_LLAMANTE > 19853174109
)
AND
NORM<=5672236081) AND
(
C
D
R_
NU
M_
F
i
g
u
r
a
10
.
G
r
á
f
i
c
o
g
e
n
e
r
a
d
o
p
o
r
e
l
a
l
g
o
r
i
t
m
o
J
R
I
P
.
THEN FRAUDE
Y
la gene
r
ación de las
r
eglas, con la variable
IF (TOMA > 51) AND (CDR_
NU
M_LL
A
M_
f
usi
f
icada.
(URA<= 0) THEN WARNING
(
V
CL
A
>
=
0
.
993655
)
a
nd
(
S
E
G
S
_
DU
R
>
=
97
)
=
>
IF (TOMA > 51) AND (CDR_
NU
M_LL
A
M_
c
la
s
s
=
W
A
R
N
I
N
G
(
2
.
0
/
0
.
0
)
NORM<=5672236081) AND
(
C
D
R_
NU
M_
(
T
O
M
A
<
=
51
)
=
>
c
la
s
s
=
N
O
R
M
A
L
(
5678
.
0
/
6
.
0
)
LLAMANTE <= 12016688343)
AND
(
C
D
R_
=
>
c
la
ss
=
F
R
AUD
E
(
10664
.
0
/
1
.
0
)
NUM_LLAMANTE>12016688343
)AND
N
ú
m
e
r
o
d
e
r
e
g
la
s
:
7
(URA > 0) THEN
F
RAUDE
R
EGL
A
S
:
I
F
(D
RT =
‘(
30
-
60
]’)
and
(
C
D
R_
NU
M_LL
A
M_
NO
RM>=5989376065)
I
F
(U
R
A
<= 0
)
and (T
O
M
A
>= 51
)
then class=W
A
R
N
I
NG
T
P
R
a
t
e
F
P
R
a
t
e
P
r
e
c
i
s
i
on
R
e
c
all
F-
M
e
a
s
u
r
e
R
O
C
A
r
e
a
C
la
ss
and
(
T
O
M
A
>= 52) then
0
.
9990
.
0010
.
9980
.
9990
.
9981
N
O
R
M
A
L
class=W
A
R
NING
0
.
9610
.
0010
.
9640
.
9610
.
9630
.
996
W
A
R
N
I
N
G
ELSE
101111
F
R
A
U
D
E
L
ó
g
i
c
a
D
i
f
u
s
a
p
a
r
a
la
d
e
t
e
cc
i
ón
d
e
c
o
m
po
r
t
a
m
i
e
n
t
o
s
a
nó
m
al
o
s
e
n
l
o
s s
i
st
e
m
a
s
d
e
t
e
l
e
f
on
í
a
I
N
V
E
S
T
I
G
A
C I
Ó
N
I
SS
N
: 1813-5056, R
N
P
S: 0514,
V
o
l
.
14,
N
o
.
2,
j
u
li
o
-
d
i
c
i
e
m
b
r
e
, 2018,
pp
.
73 - 84
82
ELSE
IF (CDR_HAZ_
S
ALIDA <= 15705) and
(D
RT
= ‘(30-60]’
)
and (TOMA <= 51) and (TOM
A
>= 48
)
then class=WARNING
ELSE
IF(CDR_NUM_LLAM_NORM>=
13057670190) and (TOMA >= 50) and (I31 <= 0
)
then
class=WARNING
ELSE
IF (VCLA >= 0.993655) and (
S
EG
S
_
DU
R >= 97
)
then class=WARNING
ELSE
IF (TOMA <= 51) then class=NORMAL
ELSE
class=FRAUDE
Matriz
d
e co
n
fusió
n
abc <-- classi
f
ied as
187940| a = NORMAL
71063| b = WARNING
003664 | c =
F
RAUDE
T
P
R
a
t
e
F
P
R
a
t
e
P
r
e
c
i
s
i
on
R
e
c
all
F-
M
e
a
s
u
r
e
R
O
C
A
r
e
a
C
la
ss
0
.
9980
.
002
0
.
9960
.
998
0
.
9970
.
999
N
O
R
M
A
L
0
.
9140
.
001
0
.
9640
.
914
0
.
9380
.
972
W
A
R
N
I
N
G
10
.
002
0
.
9991
10
.
999
F
R
A
U
D
E
T
a
b
la
5
.
Pr
e
c
i
s
i
ó
n
d
e
t
a
ll
a
d
a
p
o
r c
l
a
s
e
.
En la
f
igura 11 se observarán los algoritmos utili
-
del tipo 1, ya
f
usi
f
icada con dive
r
sas va
r
iables de entra-
da
(
c
r
isp value
)
y una salida, en la impo
r
tación del da-
taset se continuó con el
f
o
r
mato
A
RFF, del WE
KA
, la
combinación del F
U
R
IA
con el algo
r
itmo
ID
3
-
D, perte-
neciente a los á
r
boles de decisión, a
rr
ojó los siguiente
s
r
esultados
f
actibles:
Reglas p
r
opuestas po
r
el algo
r
itmo F
U
R
IA
:
(A
bno
r
mal
I
d = call_no
r
mal
)
=> tipoLlamada=nor-
mal
(
CF = 1.0
)
(A
bno
r
mal
I
d = abno
r
mal_call
)
=> tipoLlamada=-
fr
aude
(
CF = 1.0
)
N
úme
r
o de Reglas: 2
D
esc
r
ibiendo el expe
r
imento con el
K
EEL la herra-
mienta
f
ue guiando la combinación de los algoritmo
s
,
pa
r
a analiza
r
la muest
r
a con dos módulos del
A
lgoritmo
F
U
R
IA
y de mediación el algo
r
itmo
ID
3, al
f
inal
s
e car-
ga el módulo de visualización gene
r
al. Según la literatu-
r
a consultada esto nos o
fr
ece una pano
r
ámica de lo rea-
lizado y obtenido en los expe
r
imentos.
(
P
r
oject, 2015)
R
esul
t
ados Experimen
t
ales para el
t
rá
f
ico tipo 2:
En la
f
igu
r
a 12 se obse
r
va
r
án los algo
r
itmo
s
utili-
zados pa
r
a el análisis de la muest
r
a
(
dataset
)
de trá
f
ico
H
e
rr
a
m
i
e
n
t
a
K
EE
L
del
tipo
2,
no
f
usi
f
icada,
en
la
impo
r
tación
del
data
s
et
s
e
En la experimentación con el KEEL, se utiliza
r
á el
continuó con
el
f
o
r
mato
A
RFF,
del WE
KA
y
la combi-
algoritmo FURIA ‒Fuzzy Unordered Rule
I
nduction
nación del F
U
R
IA
con el
algo
r
itmo MinMax
-
Tr
,
perte-
Algoritm‒, es un algoritmo basado en los algo
r
itmos
neciente
a
los
algo
r
itmos
de
t
r
ans
f
o
r
mación.
E
s
impo
r
-
de lógica difusa y el JRIP. (Hühn 2009)
tante
señala
r
que
la
muest
r
a
de
t
r
á
f
ico
(
dataset)
no
fue
Resulta
d
os ex
p
erime
n
tales o
b
te
n
idos con el
f
usi
f
icada po
r
el FLS
r
ealizado y a
rr
ojó los siguiente
s
trá
f
ico tipo 1
r
esultados
f
actibles:
zados para el análisis de la muestra (dataset
)
de t
r
á
f
ico
R
eglas propues
t
as por
el algori
t
mo F
UR
I
A:
(D
RT <= 46
(-
> 47)) and
(
SE
G
S_
DU
R <= 6
(-
> 7)) =>
class=
NO
RM
A
L
(
CF = 1.0)
(D
RT <= 44
(-
> 47)) and
(D
RT >= 1
(-
> 0
))
=> class=
NO
R-
M
A
L
(
CF = 1.0
)
(
C
D
R _
N
U
M _ L L
A
M _
NO
RM>=5989376065(->
5378832339
))
and
(D
RT >= 47(-
> 46
))
=> class=W
A
R
NING
(CF
= 0.99
)
NO
RM<=4549360436(->
5352557091
))
and
(
DRT >=
49
(-
> 46
))
and
(
C
D
R_
NU
M_
LL
A
M
ADO
_
NO
RM>=
5352557091
(-
> 5352552397)) =>
F
i
g
u
r
a
11
.
A
p
li
c
a
c
i
ó
n
d
e
l
o
s
a
l
g
o
r
i
t
m
o
s c
o
n
e
l
K
EE
L
.
(
C
D
R _
N
U
M _ L L
A
M _
F
i
g
u
r
a
12
.
A
p
li
c
a
c
i
ó
n
d
e
l
o
s
A
l
g
o
r
i
t
m
o
s c
o
n
e
l
K
EE
L
.
class=W
A
R
NING
(
CF = 0.8)
I
N
V
E
S
T
I
G
A
C I
Ó
N
I
n
g
.
D
a
y
n
e
t
Á
l
v
a
r
e
z
E
n
g,
D
r
.
Sc
.
Go
d
of
r
e
d
o
G
a
r
a
y
Á
l
v
a
r
e
z,
M
sc
.
Y
o
a
n
M
a
rt
í
n
e
z L
ó
p
e
z
I
SS
N
: 1813-5056, R
N
P
S: 0514,
V
o
l
.
14,
N
o
.
2,
j
u
li
o
-
d
i
c
i
e
m
b
r
e
, 2018,
pp
.
73 - 84
83
Número de Reglas: 7
Al describir el experimento realizado con la he
rr
a
-
mienta KEEL, se mostró la combinación de los algo
-
ritmos, para analizar la muestra no fusi
f
icada con un
módulo del Algoritmo FURIA y un módulo del algo
-
ritmo MinMax-Tr.
C
on
c
l
u
s
i
on
e
s
FRAUDE (CF = 1.0)
(TOMA >= 59(-> 58)) and (CDR_
NU
M_LL
A
M_
NORM <= 5378832337(-> 12397388879
))
=> class=
-
FRAUDE (CF = 1.0)
(CDR_AREA_DEST = VCLA) and (C
D
R_Z
ONA
_
r
apidez y e
f
icacia en la detección de comportamiento
s
ORIG = EU
P
A) => class=WARNING (CF = 0.51
)
anómalos ya conocidos, que gene
r
almente derivan en
(DRT >= 55(-> 54)) and (CDR_
NU
M_LL
A
M_
fr
aude, pé
r
didas de dine
r
o, mala imagen de lo
s
opera-
NORM <= 5378832339(-> 13057670190
))
=> class=
-
do
r
es de Telecomunicaciones antes sus cliente
s
.
Los
r
esultados obtenidos nos muestran la per-
tinencia de la combinación de la Lógica
D
ifusa con
ot
r
os algo
r
itmos de clasi
f
icación, en este ca
s
o, lo
s
al-
go
r
itmos
ID
3 y J48, pe
r
tenecientes a los algoritmos
de los
Ar
boles de
D
ecisión, el JR
I
P y M
D
5, y estos
a su vez a los algo
r
itmos de Reglas de
D
eci
s
ión y los
algo
r
itmos que implementan sistemas di
f
u
s
o
s
como el
F
U
R
IA
.
Los expe
r
imentos
r
ealizados ab
r
en nuevo
s
cami-
nos pa
r
a detecta
r
nuevas
f
o
r
mas de analiza
r
lo que aún
no es visible bajo el
I
cebe
r
g. Las he
rr
amienta
s
de mi-
ne
r
ía de datos como el WE
KA
y el
K
EEL, brindan la
La experimentación y la implementación son ac
-
posibilidad de encont
r
a
r
nuevos caminos para imple-
ciones que van cogidas de la mano. Facilita
r
ían una
menta
r
el “
D
ata Mining”.
R
e
f
e
r
e
n
c
ia
s
7mo. Cong
r
e
s
o del PCC , A. N. d. P. P. A. (2016). “Actualización de lo
s
Lineamiento
s
para el
pe
r
iodo 2016-2021.”
Ampa
r
o,
P
. (2011). “Plani
f
icación de Seguridad en Voip.”
Auza,
J
.
(
25 de noviembre 2010). “5 of the Be
s
t Free and Open Source Data
M
ining
S
oftware.”
Cá
r
dena
s
Roja
s
,
M
. (junio 2015). “Análi
s
i
s
y Diagnó
s
tico al Si
s
tema de Ge
s
tión de
S
eguridad
de la
I
n
f
ormación de la Red Voip.”
C
r
i
s
tóbal Romero, S. V., Carlo
s
de Ca
s
tro, Enrique GarcíaCri
s
tóbal Romero, Sebastián Ventura,
Ca
r
lo
s
de Ca
s
tro, Enrique García (2005). “Algoritmo
s
Evolutivo
s
para De
s
cubrimiento de
Regla
s
de Predicción en la
M
ejora de Si
s
tema
s
Educativo
s
Adaptativo
s
ba
s
ado
s
en Web “
Revi
s
ta Iberoamericana de Informática Educativa Revi
s
ta Iberoamericana de Informática
Educativa- IE Comunicacione
s
.
D
’
Neg
r
i Carlo
s
Eduardo, D. V. E. L. (2006). “Introduccion al razonamiento aproximado:
Logica Difu
s
a.” Revi
s
ta Argentina de
M
edicina Re
s
piratoria
.
E
r
ic Y. Chen,
M
. I. (2008). “Scalable Detection of SIP Fuzzing Attack
s
.” IEEE
.
G. Lo
r
enz, T.
M
., G.
M
ane
s
,
J
. Hale, S. Shenoi (NY, 5–6
J
une 2001). “Securing
SS
7
Telecommunication
s
Network
s
.” 2001
I
EEE.
Ga
r
cía González , Franci
s
co
J
. (2013). “Aplicación de técnica
s
de
M
inería de Dato
s
a da-
to
s
obtenido
s
por el Centro Andaluz de
M
edio Ambiente (CEA
M
A).” Univer
s
idad de
G
r
anada
.
Ga
r
cıía
-
Teodoro, P., et al. (2008). “Anomaly-ba
s
ed network intru
s
ion detection: Technique
s
,
s
y
s
tem
s
and challenge
s
.” Computer
s
&
s
ecurity
28(2009): 18 - 28.
G
r
ube
r
Ma
r
ku
s
, C. S., Florian Fankhau
s
er,
M
artin
M
outran, Thoma
s
Grechenig (2013).
“A
r
chitecture for Trapping Toll Fraud Attack
s
U
s
ing a VoIP Honeynet Approach.”
S
p
r
inge
r-
Verlag Berlin Heidelberg.
L
ó
g
i
c
a
D
i
f
u
s
a
p
a
r
a
la
d
e
t
e
cc
i
ón
d
e
c
o
m
po
r
t
a
m
i
e
n
t
o
s
a
nó
m
al
o
s
e
n
l
o
s s
i
st
e
m
a
s
d
e
t
e
l
e
f
on
í
a
I
N
V
E
S
T
I
G
A
C I
Ó
N
I
SS
N
: 1813-5056, R
N
P
S: 0514,
V
o
l
.
14,
N
o
.
2,
j
u
li
o
-
d
i
c
i
e
m
b
r
e
, 2018,
pp
.
73 - 84
84
Guille
r
mo, M.
-
L.
(
17 de febrero de 2002). “Introducción a la lógica difu
s
a.” Centro de
I
nve
s
tigación y E
s
tudio
s
Avanzado
s
del IPN
.
H. Abdelnu
r
, V. C., R. State and O. Fe
s
tor (2006). “VoIP Security A
ss
e
ss
ment:
M
ethod
s
and
Tool
s
.”
I
EEE:
6.
Ho
ss
einpou
r
Mah
s
a ,
M
. H. Y.
M
., Seyed Amin Ho
ss
eini Seno, Ho
ss
ein Kho
s
ravi Ro
s
hkhari
(
octobe
r
, 2016
)
. “
M
odeling SIP Normal Traf
f
ic to Detect and Prevent SIP-VoIP
F
looding
Attack
s
U
s
ing
F
uzzy Logic.” IEEE.
Hou
s
am Al
-
Allouni, A. E. R.,
M
ohammed Ha
s
hem, Ali El-moghazy, Abd El-Aziz Ahmed
(
Ma
r
ch17
-
19,2009). “VoIP Denial of Service Attack
s
Cla
ss
i
f
ication and Implementation.” 26
th NAT
I
ONAL RADIO SCIENCE CONFERENCE (NRSC2009).
Hühn,
J
., Eyke Hüllermeier (2009). “FURIA: an algorithm for unordered fuzzy rule induction.”
S
p
r
inge
r
B
r
ie
fs
in Computer Science:
27.
Humbe
r
to Abdelnur, O. F., Radu State (
J
uly, 2007). “ KiF: A
s
tateful SIP Fuzzer.” IPTCO
MM
‘
07, New Yo
r
k
U
SA.
I
d
r
i
s
Mala,
P
. A., Tariq
J
avid Ali, Syed Saood Zia (2013). “Fuzzy Rule Ba
s
ed Cla
ss
i
f
ication for
Hea
r
t Data
s
et u
s
ing Fuzzy Deci
s
ion Tree Algorithm ba
s
ed on Fuzzy RDB
M
S.” World Applied
S
cience
s
J
ou
r
nal.
J
a
r
ed Ring, K.
-
K. R. C., Erne
s
t Foo,
M
ark Looi (march 20, 2006). “A New Authentication
Mechani
s
m and Key Agreement Protocol for SIP U
s
ing Identity-ba
s
ed Cryptography.”
Inf
orma
t
io
n
S
ecurity
I
n
s
titute Queen
s
land Univer
s
ity of Technology.
J
a
s
on O
s
t
r
om,
J
. K.
(
2007). “VoIP Hopping: A
M
ethod of Te
s
ting VoIP
s
ecurity or Voice
V
LAN
s
.”
S
ecu
r
ity
F
ocu
s
.com.
J
e
s
ú
s
Alcala
-F
dez, S. G., Franci
s
co
J
o
s
e Berlanga, Alberto Fernández, Luciano Sánchez,
M
.
J
. del
J
e
s
u
s
and
Fr
anci
s
co Herrera (march 2008). “KEEL: A data mining
s
oftware tool integrating
genetic
f
uzzy
s
y
s
tem
s
.” IEEE.
K
r
a
s
heninnikova, E. (2013). “SEGURIDAD EN VOIP : APLICACIÓN DE SEÑUELO
S
“
Unive
rs
idad
P
olitécnica de
M
adrid.
Kuna, H. M., Mi
r
ta
J
.; Caballero, Sergio;
J
aro
s
zczuk, Su
s
ana. (2009). “Procedimiento
s
de la ex-
plotación de in
f
ormación aplicado
s
al ámbito bibliotecológico.” 7ª
J
ornada
s
obre la Biblioteca
Digital Unive
rs
itaria,
J
BDU2009.
Mahbod Tavallaee, E. B., Wei Lu, and Ali A. Ghorbani (2009). “A Detailed Analy
s
i
s
of the KDD
CU
P
99 Data
S
et.” IEEE.
Mandeep Kau
r
,
S
.
K
., Swati Sharma (2013). “DoS Flooding Attack
s
again
s
t SIP ba
s
ed VoI
P
S
y
s
tem
s-
a
S
u
r
vey.” International
J
ournal of Computer Science and Engineering
Vol
u
me-2(
Iss
ue
-
5
)
.
MENDEL,
J
. M.
(M
arch, 1995). “FUZZY LOGIC SYSTE
M
S FOR ENGINEERING: A
TUTOR
I
AL.”
I
EEE
83.
Mohamed Na
ss
a
r
, R. S., Olivier Fe
s
tor (April, 2009). “VoIP Network
s
M
onitoring and
I
ntru
s
ion
Detection.” Univer
s
it´e Henri Poincar´.
Moyano
J
o
s
e,
S
. L. (2016). “RKEEL: U
s
ing KEEL in R Code.” 2016 IEEE International
Con
f
e
r
ence on
F
uzzy Sy
s
tem
s
(FUZZ).
Muhammad Ali Akbar ,
M
. F. (2012). “Securing SIP-ba
s
ed VoIP infra
s
tructure again
s
t
f
looding
attack
s
and
S
pam Over IPTelephony.” Springer-Verlag Berlin Heidelberg.
Na
r
end
r
a
S
hekoka
r
, S. D. (2011). “Anomaly Detection in VoIP Sy
s
tem U
s
ing Neural
N
etwork
and
F
uzzy Logic “ Springer-Verlag Berlin Heidelberg.
P
alomo Miñamb
r
e
s
, Ó. (2005). “
M
inería de Dato
s
.” Univer
s
idad Carlo
s
III de
M
adrid.
I
N
V
E
S
T
I
G
A
C I
Ó
N
I
n
g
.
D
a
y
n
e
t
Á
l
v
a
r
e
z
E
n
g,
D
r
.
Sc
.
Go
d
of
r
e
d
o
G
a
r
a
y
Á
l
v
a
r
e
z,
M
sc
.
Y
o
a
n
M
a
rt
í
n
e
z L
ó
p
e
z
I
SS
N
: 1813-5056, R
N
P
S: 0514,
V
o
l
.
14,
N
o
.
2,
j
u
li
o
-
d
i
c
i
e
m
b
r
e
, 2018,
pp
.
73 - 84
