Detecting encrypted attacks in software-defined networking

Neu, Charles Varlei

Detecting encrypted attacks in software-defined networking

Detalhes bibliográficos
Autor(a) principal:	Neu, Charles Varlei
Data de Publicação:	2019
Tipo de documento:	Tese
Idioma:	eng
Título da fonte:	Biblioteca Digital de Teses e Dissertações da PUC_RS
Texto Completo:	http://tede2.pucrs.br/tede2/handle/tede/8809
Resumo:	A segurança é uma das principais preocupações da comunidade de redes de computadores devido ao aumento de fluxos maliciosos. Atualmente, a criptografia está sendo amplamente usada como padrão para a troca de dados segura na Internet. No entanto, os atacantes também estão utilizando a criptografia em seus ataques para dificultar a detecção e tornar os ataques mais eficazes em seus propósitos maliciosos. Normalmente, antes de atacar uma rede ou um sistema de computação, para executar um ataque de negação de serviços, por exemplo, uma varredura de portas é executada para descobrir vulnerabilidades. Vários estudos abordaram os sistemas de detecção de intrusão (Intrusion Detection Systems - IDS) e os sistemas de prevenção de intrusão (IPS - Intrusion Prevention System) para detecção e prevenção de ataques, com base na análise de dados de fluxos ou pacotes. Entretanto, normalmente, esses métodos levam a um aumento na latência para encaminhar os dados, devido à necessidade de analisar fluxos ou pacotes antes de roteálos. Isso também pode aumentar a sobrecarga de rede quando fluxos ou pacotes são duplicados para serem analisados por um IDS externo. Por um lado, um IDS/IPS pode ser um gargalo na rede e pode não ser útil, especialmente se o tráfego for criptografado. Por outro lado, o novo paradigma chamado SDN (Software-Defined Networking) provê informações estatísticas sobre a rede que podem ser usadas para detectar atividades maliciosas. Assim, este trabalho apresenta uma abordagem para detectar atividade maliciosa criptografada em SDN, como varreduras de porta, negação de serviços e ataques genéricos, com base em dados de contadores dos swithes. Os resultados mostram que nossos métodos são eficazes na detecção de tais ataques, descobrindo anomalias nas atividades da rede, mesmo quando os fluxos ou pacotes são criptografados. Além disso, geram baixa sobrecarga de rede e necessitam pouco consumo de memória e processamento.

Metadados do item

id	P_RS_2facf2b6442ab9be56891008ac0effa8
oai_identifier_str	oai:tede2.pucrs.br:tede/8809
network_acronym_str	P_RS
network_name_str	Biblioteca Digital de Teses e Dissertações da PUC_RS
repository_id_str
spelling	Zorzo, Avelino Franciscohttp://lattes.cnpq.br/4315350764773182http://lattes.cnpq.br/9283349357180299Neu, Charles Varlei2019-07-18T13:39:29Z2019-01-22http://tede2.pucrs.br/tede2/handle/tede/8809A segurança é uma das principais preocupações da comunidade de redes de computadores devido ao aumento de fluxos maliciosos. Atualmente, a criptografia está sendo amplamente usada como padrão para a troca de dados segura na Internet. No entanto, os atacantes também estão utilizando a criptografia em seus ataques para dificultar a detecção e tornar os ataques mais eficazes em seus propósitos maliciosos. Normalmente, antes de atacar uma rede ou um sistema de computação, para executar um ataque de negação de serviços, por exemplo, uma varredura de portas é executada para descobrir vulnerabilidades. Vários estudos abordaram os sistemas de detecção de intrusão (Intrusion Detection Systems - IDS) e os sistemas de prevenção de intrusão (IPS - Intrusion Prevention System) para detecção e prevenção de ataques, com base na análise de dados de fluxos ou pacotes. Entretanto, normalmente, esses métodos levam a um aumento na latência para encaminhar os dados, devido à necessidade de analisar fluxos ou pacotes antes de roteálos. Isso também pode aumentar a sobrecarga de rede quando fluxos ou pacotes são duplicados para serem analisados por um IDS externo. Por um lado, um IDS/IPS pode ser um gargalo na rede e pode não ser útil, especialmente se o tráfego for criptografado. Por outro lado, o novo paradigma chamado SDN (Software-Defined Networking) provê informações estatísticas sobre a rede que podem ser usadas para detectar atividades maliciosas. Assim, este trabalho apresenta uma abordagem para detectar atividade maliciosa criptografada em SDN, como varreduras de porta, negação de serviços e ataques genéricos, com base em dados de contadores dos swithes. Os resultados mostram que nossos métodos são eficazes na detecção de tais ataques, descobrindo anomalias nas atividades da rede, mesmo quando os fluxos ou pacotes são criptografados. Além disso, geram baixa sobrecarga de rede e necessitam pouco consumo de memória e processamento.Security is one of the major concerns for the computer network community due to resource abuse and malicious flows intrusion. Nowadays, cryptography is being widely used as a standard for securing data exchange on the Internet. However, attackers are improving methods by using encryption over malicious packets or flows so that it may be more difficult to being detected. Furthermore, those attacks are more effective on their malicious purposes when cryptography is used. Usually, before a network or a system is attacked, to perform a denial of service, for example, a port scan is performed to discover vulnerabilities, such as open ports. Several studies have addressed Intrusion Detection Systems (IDS) and Intrusion Prevention Systems (IPS) methods for detecting and preventing attacks, based on flows or packet data analysis. However, typically those methods lead to an increase in switching latency, due to the need to analyze flows or packets before routing them. This may also increase network overhead when flows or packets are duplicated to be parsed by an external IDS. On the one hand, an IDS/IPS may be a bottleneck on the network and may not be useful, specially if traffic is encrypted. On the other hand, the new paradigm called Software-Defined Networking (SDN) provides statistical information about the network that may be used for detecting malicious activities. Hence, this work presents an approach for detecting encrypted malicious activity in SDN, such as port scan, denial of service and generic attacks, based on switch counters data. Thus, the developed methods are nonintrusive and lightweight, with low network overhead and low memory and processing power consumption. The results show that our methods are effective on detecting such attacks by discovering anomalies on the network activities, even when flows or packets are encrypted.Submitted by PPG Ciência da Computação (ppgcc@pucrs.br) on 2019-07-15T13:47:53Z No. of bitstreams: 1 CHARLES VARLEI NEU_TES.pdf: 2545999 bytes, checksum: d5b91987a1aa8febdea0376083862606 (MD5)Approved for entry into archive by Sheila Dias (sheila.dias@pucrs.br) on 2019-07-18T13:24:50Z (GMT) No. of bitstreams: 1 CHARLES VARLEI NEU_TES.pdf: 2545999 bytes, checksum: d5b91987a1aa8febdea0376083862606 (MD5)Made available in DSpace on 2019-07-18T13:39:29Z (GMT). No. of bitstreams: 1 CHARLES VARLEI NEU_TES.pdf: 2545999 bytes, checksum: d5b91987a1aa8febdea0376083862606 (MD5) Previous issue date: 2019-01-22application/pdfhttp://tede2.pucrs.br:80/tede2/retrieve/175991/CHARLES%20VARLEI%20NEU_TES.pdf.jpgengPontifícia Universidade Católica do Rio Grande do SulPrograma de Pós-Graduação em Ciência da ComputaçãoPUCRSBrasilEscola PolitécnicaSDNEncrypted ThreatsSecurityIDS/IPSEncrypted Traffic ClassificationDoS/DDoSPort ScanEncrypted AttacksAtaques CriptografadosSegurançaClassificação de Trafego CriptografadoCIENCIA DA COMPUTACAO::TEORIA DA COMPUTACAODetecting encrypted attacks in software-defined networkinginfo:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/doctoralThesisTrabalho não apresenta restrição para publicação-4570527706994352458500500-862078257083325301info:eu-repo/semantics/openAccessreponame:Biblioteca Digital de Teses e Dissertações da PUC_RSinstname:Pontifícia Universidade Católica do Rio Grande do Sul (PUCRS)instacron:PUC_RSTHUMBNAILCHARLES VARLEI NEU_TES.pdf.jpgCHARLES VARLEI NEU_TES.pdf.jpgimage/jpeg5629http://tede2.pucrs.br/tede2/bitstream/tede/8809/4/CHARLES+VARLEI+NEU_TES.pdf.jpg332cbb83c6ee43b70954ace4e18c3c40MD54TEXTCHARLES VARLEI NEU_TES.pdf.txtCHARLES VARLEI NEU_TES.pdf.txttext/plain278195http://tede2.pucrs.br/tede2/bitstream/tede/8809/3/CHARLES+VARLEI+NEU_TES.pdf.txt42a6e91d6ce50de9f4d90d001ebb1983MD53ORIGINALCHARLES VARLEI NEU_TES.pdfCHARLES VARLEI NEU_TES.pdfapplication/pdf2545999http://tede2.pucrs.br/tede2/bitstream/tede/8809/2/CHARLES+VARLEI+NEU_TES.pdfd5b91987a1aa8febdea0376083862606MD52LICENSElicense.txtlicense.txttext/plain; charset=utf-8590http://tede2.pucrs.br/tede2/bitstream/tede/8809/1/license.txt220e11f2d3ba5354f917c7035aadef24MD51tede/88092019-07-18 12:01:34.406oai:tede2.pucrs.br:tede/8809QXV0b3JpemE/P28gcGFyYSBQdWJsaWNhPz9vIEVsZXRyP25pY2E6IENvbSBiYXNlIG5vIGRpc3Bvc3RvIG5hIExlaSBGZWRlcmFsIG4/OS42MTAsIGRlIDE5IGRlIGZldmVyZWlybyBkZSAxOTk4LCBvIGF1dG9yIEFVVE9SSVpBIGEgcHVibGljYT8/byBlbGV0cj9uaWNhIGRhIHByZXNlbnRlIG9icmEgbm8gYWNlcnZvIGRhIEJpYmxpb3RlY2EgRGlnaXRhbCBkYSBQb250aWY/Y2lhIFVuaXZlcnNpZGFkZSBDYXQ/bGljYSBkbyBSaW8gR3JhbmRlIGRvIFN1bCwgc2VkaWFkYSBhIEF2LiBJcGlyYW5nYSA2NjgxLCBQb3J0byBBbGVncmUsIFJpbyBHcmFuZGUgZG8gU3VsLCBjb20gcmVnaXN0cm8gZGUgQ05QSiA4ODYzMDQxMzAwMDItODEgYmVtIGNvbW8gZW0gb3V0cmFzIGJpYmxpb3RlY2FzIGRpZ2l0YWlzLCBuYWNpb25haXMgZSBpbnRlcm5hY2lvbmFpcywgY29ucz9yY2lvcyBlIHJlZGVzID9zIHF1YWlzIGEgYmlibGlvdGVjYSBkYSBQVUNSUyBwb3NzYSBhIHZpciBwYXJ0aWNpcGFyLCBzZW0gP251cyBhbHVzaXZvIGFvcyBkaXJlaXRvcyBhdXRvcmFpcywgYSB0P3R1bG8gZGUgZGl2dWxnYT8/byBkYSBwcm9kdT8/byBjaWVudD9maWNhLgo=Biblioteca Digital de Teses e Dissertaçõeshttp://tede2.pucrs.br/tede2/PRIhttps://tede2.pucrs.br/oai/requestbiblioteca.central@pucrs.br\|\|opendoar:2019-07-18T15:01:34Biblioteca Digital de Teses e Dissertações da PUC_RS - Pontifícia Universidade Católica do Rio Grande do Sul (PUCRS)false
dc.title.por.fl_str_mv	Detecting encrypted attacks in software-defined networking
title	Detecting encrypted attacks in software-defined networking
spellingShingle	Detecting encrypted attacks in software-defined networking Neu, Charles Varlei SDN Encrypted Threats Security IDS/IPS Encrypted Traffic Classification DoS/DDoS Port Scan Encrypted Attacks Ataques Criptografados Segurança Classificação de Trafego Criptografado CIENCIA DA COMPUTACAO::TEORIA DA COMPUTACAO
title_short	Detecting encrypted attacks in software-defined networking
title_full	Detecting encrypted attacks in software-defined networking
title_fullStr	Detecting encrypted attacks in software-defined networking
title_full_unstemmed	Detecting encrypted attacks in software-defined networking
title_sort	Detecting encrypted attacks in software-defined networking
author	Neu, Charles Varlei
author_facet	Neu, Charles Varlei
author_role	author
dc.contributor.advisor1.fl_str_mv	Zorzo, Avelino Francisco
dc.contributor.advisor1Lattes.fl_str_mv	http://lattes.cnpq.br/4315350764773182
dc.contributor.authorLattes.fl_str_mv	http://lattes.cnpq.br/9283349357180299
dc.contributor.author.fl_str_mv	Neu, Charles Varlei
contributor_str_mv	Zorzo, Avelino Francisco
dc.subject.eng.fl_str_mv	SDN Encrypted Threats Security IDS/IPS Encrypted Traffic Classification DoS/DDoS Port Scan Encrypted Attacks
topic	SDN Encrypted Threats Security IDS/IPS Encrypted Traffic Classification DoS/DDoS Port Scan Encrypted Attacks Ataques Criptografados Segurança Classificação de Trafego Criptografado CIENCIA DA COMPUTACAO::TEORIA DA COMPUTACAO
dc.subject.por.fl_str_mv	Ataques Criptografados Segurança Classificação de Trafego Criptografado
dc.subject.cnpq.fl_str_mv	CIENCIA DA COMPUTACAO::TEORIA DA COMPUTACAO
description	A segurança é uma das principais preocupações da comunidade de redes de computadores devido ao aumento de fluxos maliciosos. Atualmente, a criptografia está sendo amplamente usada como padrão para a troca de dados segura na Internet. No entanto, os atacantes também estão utilizando a criptografia em seus ataques para dificultar a detecção e tornar os ataques mais eficazes em seus propósitos maliciosos. Normalmente, antes de atacar uma rede ou um sistema de computação, para executar um ataque de negação de serviços, por exemplo, uma varredura de portas é executada para descobrir vulnerabilidades. Vários estudos abordaram os sistemas de detecção de intrusão (Intrusion Detection Systems - IDS) e os sistemas de prevenção de intrusão (IPS - Intrusion Prevention System) para detecção e prevenção de ataques, com base na análise de dados de fluxos ou pacotes. Entretanto, normalmente, esses métodos levam a um aumento na latência para encaminhar os dados, devido à necessidade de analisar fluxos ou pacotes antes de roteálos. Isso também pode aumentar a sobrecarga de rede quando fluxos ou pacotes são duplicados para serem analisados por um IDS externo. Por um lado, um IDS/IPS pode ser um gargalo na rede e pode não ser útil, especialmente se o tráfego for criptografado. Por outro lado, o novo paradigma chamado SDN (Software-Defined Networking) provê informações estatísticas sobre a rede que podem ser usadas para detectar atividades maliciosas. Assim, este trabalho apresenta uma abordagem para detectar atividade maliciosa criptografada em SDN, como varreduras de porta, negação de serviços e ataques genéricos, com base em dados de contadores dos swithes. Os resultados mostram que nossos métodos são eficazes na detecção de tais ataques, descobrindo anomalias nas atividades da rede, mesmo quando os fluxos ou pacotes são criptografados. Além disso, geram baixa sobrecarga de rede e necessitam pouco consumo de memória e processamento.
publishDate	2019
dc.date.accessioned.fl_str_mv	2019-07-18T13:39:29Z
dc.date.issued.fl_str_mv	2019-01-22
dc.type.status.fl_str_mv	info:eu-repo/semantics/publishedVersion
dc.type.driver.fl_str_mv	info:eu-repo/semantics/doctoralThesis
format	doctoralThesis
status_str	publishedVersion
dc.identifier.uri.fl_str_mv	http://tede2.pucrs.br/tede2/handle/tede/8809
url	http://tede2.pucrs.br/tede2/handle/tede/8809
dc.language.iso.fl_str_mv	eng
language	eng
dc.relation.program.fl_str_mv	-4570527706994352458
dc.relation.confidence.fl_str_mv	500 500
dc.relation.cnpq.fl_str_mv	-862078257083325301
dc.rights.driver.fl_str_mv	info:eu-repo/semantics/openAccess
eu_rights_str_mv	openAccess
dc.format.none.fl_str_mv	application/pdf
dc.publisher.none.fl_str_mv	Pontifícia Universidade Católica do Rio Grande do Sul
dc.publisher.program.fl_str_mv	Programa de Pós-Graduação em Ciência da Computação
dc.publisher.initials.fl_str_mv	PUCRS
dc.publisher.country.fl_str_mv	Brasil
dc.publisher.department.fl_str_mv	Escola Politécnica
publisher.none.fl_str_mv	Pontifícia Universidade Católica do Rio Grande do Sul
dc.source.none.fl_str_mv	reponame:Biblioteca Digital de Teses e Dissertações da PUC_RS instname:Pontifícia Universidade Católica do Rio Grande do Sul (PUCRS) instacron:PUC_RS
instname_str	Pontifícia Universidade Católica do Rio Grande do Sul (PUCRS)
instacron_str	PUC_RS
institution	PUC_RS
reponame_str	Biblioteca Digital de Teses e Dissertações da PUC_RS
collection	Biblioteca Digital de Teses e Dissertações da PUC_RS
bitstream.url.fl_str_mv	http://tede2.pucrs.br/tede2/bitstream/tede/8809/4/CHARLES+VARLEI+NEU_TES.pdf.jpg http://tede2.pucrs.br/tede2/bitstream/tede/8809/3/CHARLES+VARLEI+NEU_TES.pdf.txt http://tede2.pucrs.br/tede2/bitstream/tede/8809/2/CHARLES+VARLEI+NEU_TES.pdf http://tede2.pucrs.br/tede2/bitstream/tede/8809/1/license.txt
bitstream.checksum.fl_str_mv	332cbb83c6ee43b70954ace4e18c3c40 42a6e91d6ce50de9f4d90d001ebb1983 d5b91987a1aa8febdea0376083862606 220e11f2d3ba5354f917c7035aadef24
bitstream.checksumAlgorithm.fl_str_mv	MD5 MD5 MD5 MD5
repository.name.fl_str_mv	Biblioteca Digital de Teses e Dissertações da PUC_RS - Pontifícia Universidade Católica do Rio Grande do Sul (PUCRS)
repository.mail.fl_str_mv	biblioteca.central@pucrs.br\|\|
_version_	1799765341259169792

Detecting encrypted attacks in software-defined networking

Registros relacionados