Towards a general approach for cyberattack detection using programmable data planes
| Autor(a) principal: | |
|---|---|
| Data de Publicação: | 2022 |
| Tipo de documento: | Dissertação |
| Idioma: | eng |
| Título da fonte: | Biblioteca Digital de Teses e Dissertações da UFRGS |
| Texto Completo: | http://hdl.handle.net/10183/249485 |
Resumo: | Distributed Denial-of-Service (DDoS) e Advanced Persistent Threats (APTs) são categorias de ataques cibernéticos cada vez mais proeminentes e graves, que causam danos e perdas relevantes a organizações conectadas à Internet. Os ataques DDoS podem comprometer a disponibilidade de links e serviços altamente resilientes. APTs furtivos potencialmente levam a ativos de informação comprometidos e a riscos à incolumidade pública. As defesas existentes exigem interação frequente entre os planos de encaminhamento e controle, dificultando a obtenção de um equilíbrio satisfatório entre precisão, uso de recursos e atraso na resposta da defesa. Além disso, a proteção contra APTs depende de Sistemas de Detecção de Intrusão de Rede (NIDS), cujos recursos de inspeção de tráfego enfrentam problemas de escalabilidade relacionados à necessidade de copiar dados (de pacotes) de dispositivos de encaminhamento para a memória principal de computadores de uso geral. Recentemente, Planos de Dados Programáveis (PDPs) de alto desempenho permitiram o desenvolvimento de uma nova geração de mecanismos para analisar e gerenciar tráfego em taxa de linha. Nesta dissertação, investiga-se o potencial dos PDPs como base para soluções de segurança cibernética. Este trabalho tem duas iterações. Na primeira iteração, propõe-se o EUCLID, um novo mecanismo de detecção e mitigação de ataques DDoS em tempo real que pode ser executado inteiramente em um dispositivo de encaminhamento P4. A avaliação experimental mostra que a solução tem potencial para atender a requisitos de desempenho cada vez mais rigorosos em redes de alto volume. Na segunda iteração, busca se uma abordagem geral para detecção de ataques cibernéticos usando PDPs. Apresenta-se o RNA, uma estrutura inovadora para descarregar operações relacionadas ao NIDS de CPUs de uso geral para PDPs de alto desempenho. O RNA usa os mecanismos de um switch programável para analisar o tráfego, resumir informações sobre ele e enviar esses resumos para um componente baseado em host, que, por sua vez, traduz esses resumos em eventos que o NIDS pode manipular. Usando o switch P4 BMv2 e o Zeek Network Security Monitor como plataformas, construímos uma implementação de prova de conceito da estrutura proposta. Através de uma série de exemplos e estudos de caso, demonstra-se a viabilidade deste projeto e sua integração com o Zeek. Mostra-se que: (i) é possível automatizar a configuração da sessão de monitoramento, (ii) é possível descarregar a inspeção leve de pacotes para o PDP, (iii) o RNA pode encaminhar alarmes EUCLID para o Zeek e (iv) pode-se filtrar o tráfego para Zeek no PDP. Também conclui-se a partir desses exemplos e estudos que é possível adicionar gradualmente ao plano de dados o suporte a mais protocolos e adaptar a estrutura para identificar eventos de rede de nível superior. À medida que os recursos do RNA crescem, reduz-se a necessidade de o Zeek fazer sozinho toda a análise de pacotes com uso intensivo de CPU. |
| id |
URGS_2b2574435654e267915fd1de1300cbbb |
|---|---|
| oai_identifier_str |
oai:www.lume.ufrgs.br:10183/249485 |
| network_acronym_str |
URGS |
| network_name_str |
Biblioteca Digital de Teses e Dissertações da UFRGS |
| repository_id_str |
1853 |
| spelling |
Ilha, Alexandre da SilveiraGaspary, Luciano Paschoal2022-09-30T04:57:16Z2022http://hdl.handle.net/10183/249485001150444Distributed Denial-of-Service (DDoS) e Advanced Persistent Threats (APTs) são categorias de ataques cibernéticos cada vez mais proeminentes e graves, que causam danos e perdas relevantes a organizações conectadas à Internet. Os ataques DDoS podem comprometer a disponibilidade de links e serviços altamente resilientes. APTs furtivos potencialmente levam a ativos de informação comprometidos e a riscos à incolumidade pública. As defesas existentes exigem interação frequente entre os planos de encaminhamento e controle, dificultando a obtenção de um equilíbrio satisfatório entre precisão, uso de recursos e atraso na resposta da defesa. Além disso, a proteção contra APTs depende de Sistemas de Detecção de Intrusão de Rede (NIDS), cujos recursos de inspeção de tráfego enfrentam problemas de escalabilidade relacionados à necessidade de copiar dados (de pacotes) de dispositivos de encaminhamento para a memória principal de computadores de uso geral. Recentemente, Planos de Dados Programáveis (PDPs) de alto desempenho permitiram o desenvolvimento de uma nova geração de mecanismos para analisar e gerenciar tráfego em taxa de linha. Nesta dissertação, investiga-se o potencial dos PDPs como base para soluções de segurança cibernética. Este trabalho tem duas iterações. Na primeira iteração, propõe-se o EUCLID, um novo mecanismo de detecção e mitigação de ataques DDoS em tempo real que pode ser executado inteiramente em um dispositivo de encaminhamento P4. A avaliação experimental mostra que a solução tem potencial para atender a requisitos de desempenho cada vez mais rigorosos em redes de alto volume. Na segunda iteração, busca se uma abordagem geral para detecção de ataques cibernéticos usando PDPs. Apresenta-se o RNA, uma estrutura inovadora para descarregar operações relacionadas ao NIDS de CPUs de uso geral para PDPs de alto desempenho. O RNA usa os mecanismos de um switch programável para analisar o tráfego, resumir informações sobre ele e enviar esses resumos para um componente baseado em host, que, por sua vez, traduz esses resumos em eventos que o NIDS pode manipular. Usando o switch P4 BMv2 e o Zeek Network Security Monitor como plataformas, construímos uma implementação de prova de conceito da estrutura proposta. Através de uma série de exemplos e estudos de caso, demonstra-se a viabilidade deste projeto e sua integração com o Zeek. Mostra-se que: (i) é possível automatizar a configuração da sessão de monitoramento, (ii) é possível descarregar a inspeção leve de pacotes para o PDP, (iii) o RNA pode encaminhar alarmes EUCLID para o Zeek e (iv) pode-se filtrar o tráfego para Zeek no PDP. Também conclui-se a partir desses exemplos e estudos que é possível adicionar gradualmente ao plano de dados o suporte a mais protocolos e adaptar a estrutura para identificar eventos de rede de nível superior. À medida que os recursos do RNA crescem, reduz-se a necessidade de o Zeek fazer sozinho toda a análise de pacotes com uso intensivo de CPU.Distributed Denial-of-Service (DDoS) and Advanced Persistent Threat (APT) are increas ingly prominent and severe cyberattack categories that cause relevant damages and losses to Internet-connected organizations. DDoS attacks can compromise the availability of otherwise highly-resilient links and services. Stealthy APTs potentially lead to compro mised information assets and public safety hazards. Existing defenses require frequent interaction between forwarding and control planes, making it difficult to reach a satisfac tory trade-off between accuracy, resource usage, and defense response delay. Moreover, protection against APTs relies on Network Intrusion Detection Systems (NIDS), whose traffic inspection capabilities face scalability concerns related to the need to copy packet data from forwarding devices to the main memory of general-purpose computers. Recently, high-performance Programmable Data Planes (PDPs) enabled the development of a new generation of mechanisms to analyze and manage traffic at line rate. In this thesis, we investigate the potential of PDPs as a foundation for cybersecurity solutions. Our work has two iterations. In the first iteration, we propose EUCLID, a novel real-time DDoS attack detection and mitigation mechanism that can be executed entirely in a P4 forwarding device. Our experimental evaluation shows that our P4-based design has the potential to meet increasingly strict performance requirements in high-volume networks. In the second iteration, we pursue a general approach for cyberattack detection using PDPs. We introduce RNA, an innovative framework to offload NIDS-related operations from general-purpose CPUs to high-performance PDPs. RNA uses the mechanisms of a programmable switch to analyze traffic, summarize information about it, and send these summaries to a host-based component, which, in turn, translates these summaries into events the NIDS can handle. Using the BMv2 P4 switch and the Zeek Network Security Monitor as platforms, we built a proof-of-concept implementation of our framework. Through a series of examples and case studies, we demonstrated the feasibility of our design and its integration with Zeek. We showed that: (i) we can automate monitoring session setup, (ii) it is possible to offload lightweight packet inspection to the PDP, (iii) RNA can forward EUCLID alarms to Zeek, and (iv) we can filter traffic for Zeek in the PDP. We also concluded from these examples and studies that we can gradually add data plane support for more protocols and adapt our framework to identify higher-level network events. As RNA capabilities grow, we reduce the need for Zeek to do all the CPU-intensive packet analysis by itself.application/pdfengAtaques cibernéticosMitigaçãoP4Detecção : IntrusãoSeguranca : Redes : ComputadoresDDoS attacksDetectionMitigationProgrammable data planesEntropy analysisAdvanced persistent threatsNetwork Intrusion Detection SystemsZeekTowards a general approach for cyberattack detection using programmable data planesRumo a uma solução geral para detecção de ataques cibernéticos baseada em planos de dados programáveis info:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesisUniversidade Federal do Rio Grande do SulInstituto de InformáticaPrograma de Pós-Graduação em ComputaçãoPorto Alegre, BR-RS2022mestradoinfo:eu-repo/semantics/openAccessreponame:Biblioteca Digital de Teses e Dissertações da UFRGSinstname:Universidade Federal do Rio Grande do Sul (UFRGS)instacron:UFRGSTEXT001150444.pdf.txt001150444.pdf.txtExtracted Texttext/plain212257http://www.lume.ufrgs.br/bitstream/10183/249485/2/001150444.pdf.txt925d85a0e432caeb8c8d8b48df3d02dfMD52ORIGINAL001150444.pdfTexto completo (inglês)application/pdf1499568http://www.lume.ufrgs.br/bitstream/10183/249485/1/001150444.pdf14e29d6dbaeeb6b0d4c17b788b6011a8MD5110183/2494852022-10-01 05:09:53.13537oai:www.lume.ufrgs.br:10183/249485Biblioteca Digital de Teses e Dissertaçõeshttps://lume.ufrgs.br/handle/10183/2PUBhttps://lume.ufrgs.br/oai/requestlume@ufrgs.br||lume@ufrgs.bropendoar:18532022-10-01T08:09:53Biblioteca Digital de Teses e Dissertações da UFRGS - Universidade Federal do Rio Grande do Sul (UFRGS)false |
| dc.title.pt_BR.fl_str_mv |
Towards a general approach for cyberattack detection using programmable data planes |
| dc.title.alternative.pt.fl_str_mv |
Rumo a uma solução geral para detecção de ataques cibernéticos baseada em planos de dados programáveis |
| title |
Towards a general approach for cyberattack detection using programmable data planes |
| spellingShingle |
Towards a general approach for cyberattack detection using programmable data planes Ilha, Alexandre da Silveira Ataques cibernéticos Mitigação P4 Detecção : Intrusão Seguranca : Redes : Computadores DDoS attacks Detection Mitigation Programmable data planes Entropy analysis Advanced persistent threats Network Intrusion Detection Systems Zeek |
| title_short |
Towards a general approach for cyberattack detection using programmable data planes |
| title_full |
Towards a general approach for cyberattack detection using programmable data planes |
| title_fullStr |
Towards a general approach for cyberattack detection using programmable data planes |
| title_full_unstemmed |
Towards a general approach for cyberattack detection using programmable data planes |
| title_sort |
Towards a general approach for cyberattack detection using programmable data planes |
| author |
Ilha, Alexandre da Silveira |
| author_facet |
Ilha, Alexandre da Silveira |
| author_role |
author |
| dc.contributor.author.fl_str_mv |
Ilha, Alexandre da Silveira |
| dc.contributor.advisor1.fl_str_mv |
Gaspary, Luciano Paschoal |
| contributor_str_mv |
Gaspary, Luciano Paschoal |
| dc.subject.por.fl_str_mv |
Ataques cibernéticos Mitigação P4 Detecção : Intrusão Seguranca : Redes : Computadores |
| topic |
Ataques cibernéticos Mitigação P4 Detecção : Intrusão Seguranca : Redes : Computadores DDoS attacks Detection Mitigation Programmable data planes Entropy analysis Advanced persistent threats Network Intrusion Detection Systems Zeek |
| dc.subject.eng.fl_str_mv |
DDoS attacks Detection Mitigation Programmable data planes Entropy analysis Advanced persistent threats Network Intrusion Detection Systems Zeek |
| description |
Distributed Denial-of-Service (DDoS) e Advanced Persistent Threats (APTs) são categorias de ataques cibernéticos cada vez mais proeminentes e graves, que causam danos e perdas relevantes a organizações conectadas à Internet. Os ataques DDoS podem comprometer a disponibilidade de links e serviços altamente resilientes. APTs furtivos potencialmente levam a ativos de informação comprometidos e a riscos à incolumidade pública. As defesas existentes exigem interação frequente entre os planos de encaminhamento e controle, dificultando a obtenção de um equilíbrio satisfatório entre precisão, uso de recursos e atraso na resposta da defesa. Além disso, a proteção contra APTs depende de Sistemas de Detecção de Intrusão de Rede (NIDS), cujos recursos de inspeção de tráfego enfrentam problemas de escalabilidade relacionados à necessidade de copiar dados (de pacotes) de dispositivos de encaminhamento para a memória principal de computadores de uso geral. Recentemente, Planos de Dados Programáveis (PDPs) de alto desempenho permitiram o desenvolvimento de uma nova geração de mecanismos para analisar e gerenciar tráfego em taxa de linha. Nesta dissertação, investiga-se o potencial dos PDPs como base para soluções de segurança cibernética. Este trabalho tem duas iterações. Na primeira iteração, propõe-se o EUCLID, um novo mecanismo de detecção e mitigação de ataques DDoS em tempo real que pode ser executado inteiramente em um dispositivo de encaminhamento P4. A avaliação experimental mostra que a solução tem potencial para atender a requisitos de desempenho cada vez mais rigorosos em redes de alto volume. Na segunda iteração, busca se uma abordagem geral para detecção de ataques cibernéticos usando PDPs. Apresenta-se o RNA, uma estrutura inovadora para descarregar operações relacionadas ao NIDS de CPUs de uso geral para PDPs de alto desempenho. O RNA usa os mecanismos de um switch programável para analisar o tráfego, resumir informações sobre ele e enviar esses resumos para um componente baseado em host, que, por sua vez, traduz esses resumos em eventos que o NIDS pode manipular. Usando o switch P4 BMv2 e o Zeek Network Security Monitor como plataformas, construímos uma implementação de prova de conceito da estrutura proposta. Através de uma série de exemplos e estudos de caso, demonstra-se a viabilidade deste projeto e sua integração com o Zeek. Mostra-se que: (i) é possível automatizar a configuração da sessão de monitoramento, (ii) é possível descarregar a inspeção leve de pacotes para o PDP, (iii) o RNA pode encaminhar alarmes EUCLID para o Zeek e (iv) pode-se filtrar o tráfego para Zeek no PDP. Também conclui-se a partir desses exemplos e estudos que é possível adicionar gradualmente ao plano de dados o suporte a mais protocolos e adaptar a estrutura para identificar eventos de rede de nível superior. À medida que os recursos do RNA crescem, reduz-se a necessidade de o Zeek fazer sozinho toda a análise de pacotes com uso intensivo de CPU. |
| publishDate |
2022 |
| dc.date.accessioned.fl_str_mv |
2022-09-30T04:57:16Z |
| dc.date.issued.fl_str_mv |
2022 |
| dc.type.status.fl_str_mv |
info:eu-repo/semantics/publishedVersion |
| dc.type.driver.fl_str_mv |
info:eu-repo/semantics/masterThesis |
| format |
masterThesis |
| status_str |
publishedVersion |
| dc.identifier.uri.fl_str_mv |
http://hdl.handle.net/10183/249485 |
| dc.identifier.nrb.pt_BR.fl_str_mv |
001150444 |
| url |
http://hdl.handle.net/10183/249485 |
| identifier_str_mv |
001150444 |
| dc.language.iso.fl_str_mv |
eng |
| language |
eng |
| dc.rights.driver.fl_str_mv |
info:eu-repo/semantics/openAccess |
| eu_rights_str_mv |
openAccess |
| dc.format.none.fl_str_mv |
application/pdf |
| dc.source.none.fl_str_mv |
reponame:Biblioteca Digital de Teses e Dissertações da UFRGS instname:Universidade Federal do Rio Grande do Sul (UFRGS) instacron:UFRGS |
| instname_str |
Universidade Federal do Rio Grande do Sul (UFRGS) |
| instacron_str |
UFRGS |
| institution |
UFRGS |
| reponame_str |
Biblioteca Digital de Teses e Dissertações da UFRGS |
| collection |
Biblioteca Digital de Teses e Dissertações da UFRGS |
| bitstream.url.fl_str_mv |
http://www.lume.ufrgs.br/bitstream/10183/249485/2/001150444.pdf.txt http://www.lume.ufrgs.br/bitstream/10183/249485/1/001150444.pdf |
| bitstream.checksum.fl_str_mv |
925d85a0e432caeb8c8d8b48df3d02df 14e29d6dbaeeb6b0d4c17b788b6011a8 |
| bitstream.checksumAlgorithm.fl_str_mv |
MD5 MD5 |
| repository.name.fl_str_mv |
Biblioteca Digital de Teses e Dissertações da UFRGS - Universidade Federal do Rio Grande do Sul (UFRGS) |
| repository.mail.fl_str_mv |
lume@ufrgs.br||lume@ufrgs.br |
| _version_ |
1810085597714317312 |