FACULDADE DE ENGENHARIA DA UNIVERSIDADE DO PORTO Towards Mitigating Unwanted Calls in Voice Over IP Muhammad Ajmal Azad Programa Doutoral em Engenharia Electrotécnica e de Computadores Supervisor: Ricardo Santos Morla June 2016 c Muhammad Ajmal Azad, 2016 Towards Mitigating Unwanted Calls in Voice Over IP Muhammad Ajmal Azad Programa Doutoral em Engenharia Electrotécnica e de Computadores June 2016 I Dedicate This Thesis To My Parents and Wife For their endless love, support and encouragement. i Acknowledgments First and foremost, I would like to express my special gratitude and thanks to my advisor, Professor Dr. Ricardo Santos Morla for his continuous support, supervision and time. His suggestions, advice and criticism on my work have helped me a lot from finding a problem, design a solution and analyzing the solution. I am forever grateful to Dr. Morla for mentoring and helping me throughout the course of my doctoral research.. I would like to thanks my friends Dr. Arif Ur Rahman and Dr. Farhan Riaz for helping in understanding various aspects of research at the start of my Ph.D, Asif Mohammad for helping me in coding with Java, and Bilal Hussain for constructive debate other than academic research and continuous encouragements in the last three years. Of course acknowledgments are incomplete without thanking my parents, family members and loved ones. I am very thankful to my parents for spending on my education despite limited resources. They taught me about hard work, make me to study whenever I run away, encourage me to achieve the goals, self-respect and always encourage me for doing what i want. I am thankful to my sisters and brothers for continuous support, prayers and encouragements. I am proud of you all and love you all very much. Most importantly, my sincere thanks goes to my beloved wife who was always there whenever I need her. She single handedly cared our two daughters and allows me to concentrate on my research. I also thank little daughters Mehar Fatima and Haniya Hussain for coming into my life and thereby bringing a lot of happiness for me. I am also thankful to my sisters (Nayyab,Seemab and Eman) for their prayers and support, and my uncle Prof. Dr. Razzaque H. Bhatti and his family for invaluable support during my bachelor and master studies. Finally, i am very grateful to all my family members, friends, and brothers who ii iii supported me directly and indirectly during this PhD work. I am thankful to Renata Rodrigues at INESC TEC and the staff at Faculty of Engineer- ing for making arrangement for my conferences. I am also thankful to FCT (Portuguese national funding agency for science, research and technology), FEUP (Faculty of Engi- neering University of Porto, Portugal) and NeTs project for providing me funding for my PhD. Muhammad Ajmal Azad Resumo A tecnologia VoIP (Voice over Internet Protocol) permite a realização de chamadas telefónicas baratas através da Internet. Uma vez que a tecnologia VoIP utiliza a mesma infraestrutura de Internet para o transporte da sinalização e da voz, està sujeita a todas as ameaças de segurança que afetam a Internet. Uma dessas ameaças é o spam de voz (em VoIP chamado SPIT), que é semelhante ao spam de e-mail mas que tem consequências mais severas do que o spam de e-mail porque uma chamada de voz requer uma resposta em tempo real do destinatàrio da chamada. De modo a aumentar a produtividade dos utilizadores desta tecnologia e prevenir perdas devido à fraude a ao spam, é extremamente importante identificar e bloquear o spam antes que afete e desagrade um número potencialmente elevado de utilizadores da tecnologia. O desafio no desenho de sistemas autónomos de deteção SPIT é a utilização em simultâneo de características da chamada e da rede social que sejam difíceis de contornar pelos spammers. Para endereçar este desafio, esta tese apresenta um sistema de deteção autónomo de SPIT chamado Caller-REP que consiste em dois módulos. 1) Um módulo de reputação – que calcula a reputação do utilizador através da utilização simultânea da duração das chamadas do utilizador, do débito de chamadas do utilizador, e do número de destinatàrios únicos que o utilizador chama. O càlculo da reputação desta forma poderà atribuir valores de reputação pequenos aos spammers devido às suas redes de chamadas desequilibradas e valores de reputação grandes para os utilizadores legmos. 2) Um módulo de deteção – que, utilizando os valores de reputação, calcula de forma automàtica um limiar abaixo do qual o utilizador é classificado como spammer. iv v Spammers e geradores de publicidade à distância têm como alvo um grande número de destinatàrios que estão geralmente distribuídos por vàrios fornecedores de serviço (SPs). Os sistemas de deteção autónomos consideram informação dos utilizadores registada localmente para distinguir spammers de utilizadores legítimos. Parece óbvio que a colaboração entre SPs poderà melhorar a exatidão e o tempo de deteção mas isto depende da quantidade de informação partilhada entre SPs. Os SPs partilham informação com outros SPs de forma relutante, tipicamente porque são concorrentes e porque estão preocupados com a privacidade dos seus clientes e da sua operação. Uma abordagem para convencer os SPs é a de partilha apenas de informação sumarizada e com um sistema central confiàvel para protejer a sua privacidade. Para atingir o objetivo de colaboração atenta à privacidade entre SPs, esta tese prope COSDS (Collaborative SPIT detection System, sistema de deteção de SPIT colaborativo) que requer a colaboração entre SPs e um repositório centralizado através da partilha de valores de reputação. O repositório centralizado (CR) calcula a reputação global (GR) dos utilizadores através da agregação dos valores de reputação local e responde aos SPs com a decisão e com os valores de GR. Um adversàrio no CR estaria numa posição mais difícil para obter informação privada sobre os utilizadores e os fornecedores de serviço. Spammers e geradores de publicidade à distância poderão ter identidades de chamada múltiplas para contornar o sistema de deteção de SPIT. Estabelecer uma ligação entre identidades que pertencem a uma mesma pessoa física é importante para a identificação mais atempada de spammers e para a caracterização completa do comportamento de utilizadores legítimos com mais de uma identidade de chamada. O desafio no que diz respeito a isto tem duas partes: a ligação de identidades e o càlculo de valores de reputação para cada indivíduo através da combinação de informação das suas vàrias identidades. Para endereçar este desafio, esta tese apresenta um sistema chamado EIS (Early Identification of Spammer, identificação atempada de spammer) que utiliza características da rede social e das chamadas para interligar identidades semelhantes que pertençam ao mesmo indivíduo. A reputação é então calculada para o indivíduo em vez vi da identidade de chamada e o indivíduo classificado como spammer se a sua reputação estiver abaixo do limiar calculado automaticamente. A ligação de identidades de chamada poderà não só ser útil na deteção de spammers que mudam frequentemente de identidades de chamada mas também poderà ajudar na deteção de redes criminais. As abordagens propostas nesta tese podem, juntas, ter um impacto significativo na identificação atempada de spammers numa rede VoIP sem serem intrusivas para o utilizador nem precisarem de mudanças na semântica e na arquitetura da rede VoIP. Abstract Voice over Internet Protocol (VoIP) is the technology that allows people to make cheap telephone calls over the Internet. As VoIP uses the same Internet infrastructure for the transport of signaling and voice, it is subject to all security threats already effecting the Internet. One such threat is voice spam (termed as SPIT in VoIP), which is similar to e-mail spam but has more severe consequences than the email spam because voice call requires real-time response from the call recipient. In order to increase productivity of users of this technology and preventing losses due to fraud and spamming, it is extremely important to identify and block spam before it affects and displease a potentially large number of users of the technology. The challenge in a design of standalone SPIT detection system is to simultaneously use call and social network features that are difficult to be circumvented by spammers. To address this challenge, this thesis presents the standalone SPIT detection system called Caller-REP that consists of two modules. 1) A reputation module – that computes reputation of the user by collectively using call duration of the user, call-rate of the user and total number of unique recipients the user called. The computation of reputation in this way would assign small reputation scores to spammers because of their unbalanced calling networks and high reputation scores to legitimate users. 2) A detection module – that computes automated threshold using reputation scores below which the user is classified as a spammer. Spammers and telemarketers target a very large number of recipients usually dispersed across many Service Providers (SPs).The standalone detection systems consider locally vii viii recorded information of users while differentiating spammers from the legitimate users, thus prolong detecting spammers. Obviously, collaboration among SPs would improve the detection accuracy and detection time, but this depends on the amount of information shared between SPs. SPs are reluctant in exchanging information to other SPs because they are business competitor and are worried about privacy of their customers and their operational data. SPs can be convinced with the exchange of summarized information to the centralized trusted system so to protect their privacy. To achieve the objective of privacy-aware collaboration among SPs, this thesis proposes COSDS (Collaborative SPIT detection System) that require collaboration between SP and the centralized repository with the exchange of reputation scores. The Centralized Repository (CR) computes global reputation (GR) of users by aggregating their local reputation scores and responds back SPs with decision and GR scores.