Container-level Intrusion detection for multi-tenant environments

Detalhes bibliográficos
Autor(a) principal: Flora, José Eduardo Ferreira
Data de Publicação: 2019
Tipo de documento: Dissertação
Idioma: eng
Título da fonte: Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
Texto Completo: http://hdl.handle.net/10316/88108
Resumo: Dissertação de Mestrado em Segurança Informática apresentada à Faculdade de Ciências e Tecnologia
id RCAP_0dbc425da1b1a257e5903c9af7de7b43
oai_identifier_str oai:estudogeral.uc.pt:10316/88108
network_acronym_str RCAP
network_name_str Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
repository_id_str 7160
spelling Container-level Intrusion detection for multi-tenant environmentsContainer-level Intrusion detection for multi-tenant environmentsSegurança na NuvemAvaliação de SegurançaDetecção de IntrusãoContainersDetecção de AnomaliasCloud SecuritySecurity EvaluationIntrusion DetectionContainersAnomaly DetectionDissertação de Mestrado em Segurança Informática apresentada à Faculdade de Ciências e TecnologiaA computação em nuvem fornece um serviço conveniente, on-demand, elástico e ubíquo, através de sistemas de virtualização de alto desempenho, entre outros recursos. Houve um crescimento no uso de containers nos últimos anos, mesmo em cenários críticos para o negócio. A sua instanciação leve, fácil e eficiente permite não apenas um uso elástico e on-demand de recursos, mas também uma administração facilitada. No entanto, a adoção de containers também aumenta os riscos de segurança agravados pelos ambientes de multi-tenancy que devem ser analisados cuidadosamente. Os ataques realizados por outros inquilinos presentes na mesma infraestrutura são particularmente preocupantes e medidas preventivas, como sistemas de deteção de intrusão, devem ser implementadas ao nível dos containers. Neste trabalho, estudamos a eficácia e a aplicabilidade de técnicas de deteção de intrusão em sistemas multi-tenant baseados em containers. Para isso, propomos uma metodologia baseada na injeção de ataques que utiliza cargas de trabalho representativas e exploração de ataques num sistema baseado em containers, para gerar os dados necessários para treinar e testar os classificadores. Seguindo a metodologia proposta, desenvolvemos uma campanha experimental para avaliar três algoritmos de deteção de intrusões de estado da arte e amplamente utilizados: BoSC, STIDE e HMM. Uma versão do MariaDB com vulnerabilidades conhecidas foi colocada em containers e submetida a duas variações da carga de trabalho do TPC-C. Em cada slot de ataque, um de cinco ataques representativos foi executado de acordo com o procedimento de injeção do ataque. A experiência também foi realizada numa configuração tradicional do sistema operativo, para estudar vantagens e desvantagens. Os resultados do trabalho experimental indicam que os algoritmos são aplicáveis neste domínio, pois várias configurações obtiveram muito bons resultados em todos os cenários: nas configurações do Docker (recall >=0,98, precision >=0,72) e um pouco pior, mas ainda satisfatório no LXC. Os resultados observados para a configuração do SO foram piores, indicando a dificuldade de definir adequadamente a superfície de monitorização. Os nossos resultados indicam que a deteção de intrusões com base em anomalias é eficaz neste ambiente, abrindo caminho para a aplicação de outras técnicas de segurança, como tolerância a intrusões.Cloud computing provides a convenient, on-demand, elastic and ubiquitous service enabled by high-performance virtualisation systems among other features. There has been a growth in containers’ use over the last years, even in business-critical scenarios. Their lightweight, easier and more efficient instantiation empowers not only an elastic and on-demand use of resources, but also a straightforward resource administration. However, the adoption of containers also increases security risks exacerbated by multi-tenant environments that should be carefully analysed. Attacks led by other tenants present in the same infrastructure are particularly concerning, and counter-measures such as intrusion detection systems should be deployed at container-level.In this work, we study the effectiveness and applicability of intrusion detection techniques in container-based multi-tenant systems. For this, we propose a methodology based on attack injection that uses representative workloads and attacks exploits in a container-based system, to generate the traces required to train and test the classifiers. Following the proposed methodology, we devised an experimental campaign to evaluate three state-of-the-art and widely used intrusion detection algorithms: BoSC, STIDE, and HMM. A version of MariaDB with known vulnerabilities was deployed into containers and submitted to two variations of the TPC-C workload. In each attack slot, one of five diverse attacks was executed following the attack injection procedure. The experiment was also performed in a traditional OS setup, to study advantages and drawbacks.The results of the experimental campaign indicate that the algorithms are applicable in this domain since several configurations obtained very good results in all scenarios: in Docker setups (recall >=0.98, precision >=0.72), and slightly worse, but yet satisfactory in LXC. The observed results for the OS setup were worse, indicating that difficulty of properly defining the monitoring surface. Our results indicate that anomaly-based intrusion detection is effective in this environment, leading the way to the application of other security techniques such as intrusion tolerance.Outro - This work is partially supported by the project METRICS (POCI-01-0145-FEDER-032504), co-funded by the Portuguese Foundation for Science and Technology (FCT) and by the Fundo Europeu de Desenvolvimento Regional (FEDER) through Portugal 2020 - Programa Operacional Competitividade e Internacionalização (POCI).2019-09-11info:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesishttp://hdl.handle.net/10316/88108http://hdl.handle.net/10316/88108TID:202307131engFlora, José Eduardo Ferreirainfo:eu-repo/semantics/openAccessreponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãoinstacron:RCAAP2021-05-07T09:18:51Zoai:estudogeral.uc.pt:10316/88108Portal AgregadorONGhttps://www.rcaap.pt/oai/openaireopendoar:71602024-03-19T21:08:53.554192Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãofalse
dc.title.none.fl_str_mv Container-level Intrusion detection for multi-tenant environments
Container-level Intrusion detection for multi-tenant environments
title Container-level Intrusion detection for multi-tenant environments
spellingShingle Container-level Intrusion detection for multi-tenant environments
Flora, José Eduardo Ferreira
Segurança na Nuvem
Avaliação de Segurança
Detecção de Intrusão
Containers
Detecção de Anomalias
Cloud Security
Security Evaluation
Intrusion Detection
Containers
Anomaly Detection
title_short Container-level Intrusion detection for multi-tenant environments
title_full Container-level Intrusion detection for multi-tenant environments
title_fullStr Container-level Intrusion detection for multi-tenant environments
title_full_unstemmed Container-level Intrusion detection for multi-tenant environments
title_sort Container-level Intrusion detection for multi-tenant environments
author Flora, José Eduardo Ferreira
author_facet Flora, José Eduardo Ferreira
author_role author
dc.contributor.author.fl_str_mv Flora, José Eduardo Ferreira
dc.subject.por.fl_str_mv Segurança na Nuvem
Avaliação de Segurança
Detecção de Intrusão
Containers
Detecção de Anomalias
Cloud Security
Security Evaluation
Intrusion Detection
Containers
Anomaly Detection
topic Segurança na Nuvem
Avaliação de Segurança
Detecção de Intrusão
Containers
Detecção de Anomalias
Cloud Security
Security Evaluation
Intrusion Detection
Containers
Anomaly Detection
description Dissertação de Mestrado em Segurança Informática apresentada à Faculdade de Ciências e Tecnologia
publishDate 2019
dc.date.none.fl_str_mv 2019-09-11
dc.type.status.fl_str_mv info:eu-repo/semantics/publishedVersion
dc.type.driver.fl_str_mv info:eu-repo/semantics/masterThesis
format masterThesis
status_str publishedVersion
dc.identifier.uri.fl_str_mv http://hdl.handle.net/10316/88108
http://hdl.handle.net/10316/88108
TID:202307131
url http://hdl.handle.net/10316/88108
identifier_str_mv TID:202307131
dc.language.iso.fl_str_mv eng
language eng
dc.rights.driver.fl_str_mv info:eu-repo/semantics/openAccess
eu_rights_str_mv openAccess
dc.source.none.fl_str_mv reponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação
instacron:RCAAP
instname_str Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação
instacron_str RCAAP
institution RCAAP
reponame_str Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
collection Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
repository.name.fl_str_mv Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação
repository.mail.fl_str_mv
_version_ 1799133981777592320