Detecting encrypted attacks in software-defined networking

Detalhes bibliográficos
Ano de defesa: 2019
Autor(a) principal: Neu, Charles Varlei lattes
Orientador(a): Zorzo, Avelino Francisco lattes
Banca de defesa: Não Informado pela instituição
Tipo de documento: Tese
Tipo de acesso: Acesso aberto
Idioma: eng
Instituição de defesa: Pontifícia Universidade Católica do Rio Grande do Sul
Programa de Pós-Graduação: Programa de Pós-Graduação em Ciência da Computação
Departamento: Escola Politécnica
País: Brasil
Palavras-chave em Português:
Palavras-chave em Inglês:
SDN
Área do conhecimento CNPq:
Link de acesso: http://tede2.pucrs.br/tede2/handle/tede/8809
Resumo: A segurança é uma das principais preocupações da comunidade de redes de computadores devido ao aumento de fluxos maliciosos. Atualmente, a criptografia está sendo amplamente usada como padrão para a troca de dados segura na Internet. No entanto, os atacantes também estão utilizando a criptografia em seus ataques para dificultar a detecção e tornar os ataques mais eficazes em seus propósitos maliciosos. Normalmente, antes de atacar uma rede ou um sistema de computação, para executar um ataque de negação de serviços, por exemplo, uma varredura de portas é executada para descobrir vulnerabilidades. Vários estudos abordaram os sistemas de detecção de intrusão (Intrusion Detection Systems - IDS) e os sistemas de prevenção de intrusão (IPS - Intrusion Prevention System) para detecção e prevenção de ataques, com base na análise de dados de fluxos ou pacotes. Entretanto, normalmente, esses métodos levam a um aumento na latência para encaminhar os dados, devido à necessidade de analisar fluxos ou pacotes antes de roteálos. Isso também pode aumentar a sobrecarga de rede quando fluxos ou pacotes são duplicados para serem analisados por um IDS externo. Por um lado, um IDS/IPS pode ser um gargalo na rede e pode não ser útil, especialmente se o tráfego for criptografado. Por outro lado, o novo paradigma chamado SDN (Software-Defined Networking) provê informações estatísticas sobre a rede que podem ser usadas para detectar atividades maliciosas. Assim, este trabalho apresenta uma abordagem para detectar atividade maliciosa criptografada em SDN, como varreduras de porta, negação de serviços e ataques genéricos, com base em dados de contadores dos swithes. Os resultados mostram que nossos métodos são eficazes na detecção de tais ataques, descobrindo anomalias nas atividades da rede, mesmo quando os fluxos ou pacotes são criptografados. Além disso, geram baixa sobrecarga de rede e necessitam pouco consumo de memória e processamento.