HEAL DSpace

Ανίχνευση και αναγνώριση κατανεμημένων επιθέσεων άρνησης παροχής υπηρεσίας στο επίπεδο δεδομένων με χρήση της γλώσσας P4

Αποθετήριο DSpace/Manakin

Εμφάνιση απλής εγγραφής

dc.contributor.author Σεραφείδης, Χρήστος el
dc.contributor.author Serafeidis, Christos en
dc.date.accessioned 2022-05-18T10:45:00Z
dc.date.available 2022-05-18T10:45:00Z
dc.identifier.uri https://dspace.lib.ntua.gr/xmlui/handle/123456789/55168
dc.identifier.uri http://dx.doi.org/10.26240/heal.ntua.22866
dc.rights Αναφορά Δημιουργού-Μη Εμπορική Χρήση-Όχι Παράγωγα Έργα 3.0 Ελλάδα *
dc.rights.uri http://creativecommons.org/licenses/by-nc-nd/3.0/gr/ *
dc.subject Δίκτυα υπολογιστών el
dc.subject Ανίχνευση δικτυακών επιθέσεων el
dc.subject Κατανεμημένες επιθέσεις άρνησης παροχής υπηρεσίας el
dc.subject Προγραμματισμός επιπέδου δεδομένων el
dc.subject Δειγματοληψία el
dc.subject Αναγνώριση αποδεκτών κακόβουλης κίνησης el
dc.subject P4 en
dc.subject Data networks en
dc.subject Network anomaly detection en
dc.subject DDoS en
dc.subject Data plane programmability en
dc.title Ανίχνευση και αναγνώριση κατανεμημένων επιθέσεων άρνησης παροχής υπηρεσίας στο επίπεδο δεδομένων με χρήση της γλώσσας P4 el
heal.type bachelorThesis
heal.classification Ασφάλεια Δικτύων el
heal.classification Δίκτυα Υπολογιστών el
heal.language el
heal.access free
heal.recordProvider ntua el
heal.publicationDate 2021-11-15
heal.abstract Οι κατανεμημένες επιθέσεις άρνησης παροχής υπηρεσίας (DDoS) αποτελούν μείζον πρόβλημα στην σύγχρονη εποχή του διαδικτύου καθώς στοχεύουν στην παράλυση υπηρεσιών και στην εξάντληση των πόρων που αυτές χρησιμοποιούν, καθιστώντας τις απροσπέλαστες από τους νόμιμους χρήστες τους. Οι επιθέσεις αυτές εξελίσσονται διαρκώς τόσο σε συχνότητα και όγκο όσο και σε ευφυία δυσχαιρένοντας ακόμη περισσότερο τις προσπάθειες ανίχνευσης και αντιμετώπισής τους επιφέροντας λειτουργικές αλλά και πολλές φορές οικονομικές επιπτώσεις στους πληττόμενους οργανισμούς. Οι διαθέσιμοι μηχανισμοί ανίχνευσης εδράζονται κυρίως στο επίπεδο ελέγχου των δικτυακών υποδομών. Ωστόσο, παρά την ευφυία τέτοιων μηχανισμών, η ανάγκη ετεροχρονισμένης ανάλυσης μεγάλου όγκου κίνησης από εξωτερικούς ελεγκτές απαιτεί πληθώρα υπολογιστικών πόρων και οδηγεί σε καθυστερημένη ανίχνευση των επιθέσεων. Με την ανάπτυξη της δυνατότητας προγραμματισμού στο επίπεδο δεδομένων των δικτυακών συσκευών, δημιουργούνται νέες προοπτικές για τον σχεδιασμό και την υλοποιήση μεθόδων ανίχνευσης επιθέσεων DDoS σε πραγματικό χρόνο κατά τη διέλευση των πακέτων από τις δικτυακές συσκευές, χωρίς την ανάγκη επεξεργασίας από μηχανισμούς του επιπέδου ελέγχου. Στο πλαίσιο αυτό, βασικός στόχος της παρούσας διπλωματικής εργασίας είναι αφενός η επέκταση ενός μηχανισμού ανίχνευσης επιθέσεων άρνησης παροχής υπηρεσίας με την προσθήκη λειτουργιών χρονικής παρακολούθησης των ανωμαλιών της κίνησης και της δυνατότητας ταυτοποίησης του στόχου αλλά και του τύπου της επίθεσης αφετέρου η βελτίωση της ταχύτητας επεξεργασίας πακέτων μέσα από τη χρήση δειγματοληψίας. Ο μηχανισμός ανίχνευσης καταμετρά τις μοναδικές ροές πακέτων (πλειάδες που αποτελούνται από τις IP διευθύνσεις πηγής και προορισμού, το πρωτόκολλο και τις πόρτες πηγής και προορισμού) συνολικά και ανά παρακολοθούμενο υποδίκτυο καθώς και την ασυμμετρία εισερχόμενων - εξερχόμενων πακέτων για κάθε υποδίκτυο. Με χρήση απλής εκθετικής εξομάλυνσης υπολογίζει κατώφλια που αν ξεπεραστούν δημιουργούνται ειδοποιήσεις πιθανής επίθεσης προς το επίπεδο ελέγχου. Διαμορφώνεται έτσι μια χρονοσειρά πλήθους συμβάντων η οποία είναι διαθέσιμη στο επίπεδο ελέγχου. Για την αναγνώριση των θυμάτων των επιθέσεων επιλέχθηκε και ενσωματώθηκε ο μηχανισμός HashPipe που ανιχενύει τις ``top k" ροές κίνησης με βάση τον όγκο τους και περιέχει πληροφορία για την IP διεύθυνση των αποδεκτών της επίθεσης αλλά και για την πόρτα της υπηρεσίας που πλήττεται. Ο μηχανισμός επιτυγχάνει να αναγνωρίσει άμεσα την έναρξη της επίθεσης καθώς και το μεγαλύτερο μέρος της διάρκειάς της ειδοποιώντας το επίπεδο ελέγχου ώστε να λάβει μέτρα αντιμετώπισης, χωρίς να παράγει αξιοσημείωτο ποσοστό λανθασμένων ειδοποιήσεων. Η εφαρμογή δειγματοληψίας ακόμη και με μεγάλο ρυθμό βελτιώνει αισθητά την ταχύτητα επεξεργασίας των πακέτων από τη δικτυακή συσκευή χωρίς να επιδρά σημαντικά στην ακρίβεια της ανίχνευσης και στο ποσοστό λανθασμένων ειδοποιήσεων. el
heal.abstract Distributed denial of service attacks (DDoS) pose a major threat for data networks. They intend to disrupt the normal operation of online services by flooding them with malicious traffic and consuming all available resources, causing these services to be unavailable to legitimate end-users. These attacks tend to use more advanced logic and grow both in frequency and volume, creating functional and economical loses on the organizations under attack. Most available detection mechanisms reside on the network control plane. Despite their intelligence, the need for delayed traffic analysis requires a great amount of resources and usually fails to instantaneously detect the oncoming attack. The introduction of data plane programmability techniques creates new opportunities for the design and implementation of more robust, real time detection strategies during packet processing. This thesis extends a DDoS detection mechanism by introducing new functionalities for observing the incidents timeseries and identifying the attack's type and victims. It also tries to enhance the speed of packet processing with the use of packet sampling. The detection mechanism tracks and counts total and per monitored subnet unique flows (tuples that consist of source and destination IP addresses, protocol and source and destination ports) and incoming - outgoing packet asymmetry per subnet. With the use of the simple exponential smoothing statistical technique, the mechanism calculates thresholds that when exceeded trigger the creation of notifications to the control plane indicating possible attacks. These events compose a timeseries that is available to the control plane. To point out the attack's victims, HashPipe, a mechanism that detects ``top k" flows with regards to their volume, was implemented and embedded. It holds information about the victim's IP address and the network port of the service under attack. The proposed mechanism succeeds in instantly detecting the beginning of the attack and also most of its duration, notifying the control plane in order to take mitigation actions, while keeping the percentage of false notifications significantly low. The use of packet sampling, even with high frequency, achieves the boost of the packet processing speed while affecting minimally the detection accuracy and the percentage of false notifications. en
heal.advisorName Παπαβασιλείου, Συμεών el
heal.committeeMemberName Παπαβασιλείου, Συμεών el
heal.committeeMemberName Συκάς, Ευστάθιος el
heal.committeeMemberName Κοζύρης, Νεκτάριος el
heal.academicPublisher Εθνικό Μετσόβιο Πολυτεχνείο. Σχολή Ηλεκτρολόγων Μηχανικών και Μηχανικών Υπολογιστών. Τομέας Επικοινωνιών, Ηλεκτρονικής και Συστημάτων Πληροφορικής. Εργαστήριο Διαχείρισης και Βέλτιστου Σχεδιασμού Δικτύων el
heal.academicPublisherID ntua
heal.numberOfPages 80 σ. el
heal.fullTextAvailability false


Αρχεία σε αυτό το τεκμήριο

Οι παρακάτω άδειες σχετίζονται με αυτό το τεκμήριο:

Αυτό το τεκμήριο εμφανίζεται στην ακόλουθη συλλογή(ές)

Εμφάνιση απλής εγγραφής

Αναφορά Δημιουργού-Μη Εμπορική Χρήση-Όχι Παράγωγα Έργα 3.0 Ελλάδα Εκτός από όπου ορίζεται κάτι διαφορετικό, αυτή η άδεια περιγράφεται ως Αναφορά Δημιουργού-Μη Εμπορική Χρήση-Όχι Παράγωγα Έργα 3.0 Ελλάδα