Ανίχνευση και αναγνώριση κατανεμημένων επιθέσεων άρνησης παροχής υπηρεσίας στο επίπεδο δεδομένων με χρήση της γλώσσας P4

Σεραφείδης, Χρήστος; Serafeidis, Christos

dc.contributor.author	Σεραφείδης, Χρήστος	el
dc.contributor.author	Serafeidis, Christos	en
dc.date.accessioned	2022-05-18T10:45:00Z
dc.date.available	2022-05-18T10:45:00Z
dc.identifier.uri	https://dspace.lib.ntua.gr/xmlui/handle/123456789/55168
dc.identifier.uri	http://dx.doi.org/10.26240/heal.ntua.22866
dc.rights	Αναφορά Δημιουργού-Μη Εμπορική Χρήση-Όχι Παράγωγα Έργα 3.0 Ελλάδα	*
dc.rights.uri	http://creativecommons.org/licenses/by-nc-nd/3.0/gr/	*
dc.subject	Δίκτυα υπολογιστών	el
dc.subject	Ανίχνευση δικτυακών επιθέσεων	el
dc.subject	Κατανεμημένες επιθέσεις άρνησης παροχής υπηρεσίας	el
dc.subject	Προγραμματισμός επιπέδου δεδομένων	el
dc.subject	Δειγματοληψία	el
dc.subject	Αναγνώριση αποδεκτών κακόβουλης κίνησης	el
dc.subject	P4	en
dc.subject	Data networks	en
dc.subject	Network anomaly detection	en
dc.subject	DDoS	en
dc.subject	Data plane programmability	en
dc.title	Ανίχνευση και αναγνώριση κατανεμημένων επιθέσεων άρνησης παροχής υπηρεσίας στο επίπεδο δεδομένων με χρήση της γλώσσας P4	el
heal.type	bachelorThesis
heal.classification	Ασφάλεια Δικτύων	el
heal.classification	Δίκτυα Υπολογιστών	el
heal.language	el
heal.access	free
heal.recordProvider	ntua	el
heal.publicationDate	2021-11-15
heal.abstract	Οι κατανεμημένες επιθέσεις άρνησης παροχής υπηρεσίας (DDoS) αποτελούν μείζον πρόβλημα στην σύγχρονη εποχή του διαδικτύου καθώς στοχεύουν στην παράλυση υπηρεσιών και στην εξάντληση των πόρων που αυτές χρησιμοποιούν, καθιστώντας τις απροσπέλαστες από τους νόμιμους χρήστες τους. Οι επιθέσεις αυτές εξελίσσονται διαρκώς τόσο σε συχνότητα και όγκο όσο και σε ευφυία δυσχαιρένοντας ακόμη περισσότερο τις προσπάθειες ανίχνευσης και αντιμετώπισής τους επιφέροντας λειτουργικές αλλά και πολλές φορές οικονομικές επιπτώσεις στους πληττόμενους οργανισμούς. Οι διαθέσιμοι μηχανισμοί ανίχνευσης εδράζονται κυρίως στο επίπεδο ελέγχου των δικτυακών υποδομών. Ωστόσο, παρά την ευφυία τέτοιων μηχανισμών, η ανάγκη ετεροχρονισμένης ανάλυσης μεγάλου όγκου κίνησης από εξωτερικούς ελεγκτές απαιτεί πληθώρα υπολογιστικών πόρων και οδηγεί σε καθυστερημένη ανίχνευση των επιθέσεων. Με την ανάπτυξη της δυνατότητας προγραμματισμού στο επίπεδο δεδομένων των δικτυακών συσκευών, δημιουργούνται νέες προοπτικές για τον σχεδιασμό και την υλοποιήση μεθόδων ανίχνευσης επιθέσεων DDoS σε πραγματικό χρόνο κατά τη διέλευση των πακέτων από τις δικτυακές συσκευές, χωρίς την ανάγκη επεξεργασίας από μηχανισμούς του επιπέδου ελέγχου. Στο πλαίσιο αυτό, βασικός στόχος της παρούσας διπλωματικής εργασίας είναι αφενός η επέκταση ενός μηχανισμού ανίχνευσης επιθέσεων άρνησης παροχής υπηρεσίας με την προσθήκη λειτουργιών χρονικής παρακολούθησης των ανωμαλιών της κίνησης και της δυνατότητας ταυτοποίησης του στόχου αλλά και του τύπου της επίθεσης αφετέρου η βελτίωση της ταχύτητας επεξεργασίας πακέτων μέσα από τη χρήση δειγματοληψίας. Ο μηχανισμός ανίχνευσης καταμετρά τις μοναδικές ροές πακέτων (πλειάδες που αποτελούνται από τις IP διευθύνσεις πηγής και προορισμού, το πρωτόκολλο και τις πόρτες πηγής και προορισμού) συνολικά και ανά παρακολοθούμενο υποδίκτυο καθώς και την ασυμμετρία εισερχόμενων - εξερχόμενων πακέτων για κάθε υποδίκτυο. Με χρήση απλής εκθετικής εξομάλυνσης υπολογίζει κατώφλια που αν ξεπεραστούν δημιουργούνται ειδοποιήσεις πιθανής επίθεσης προς το επίπεδο ελέγχου. Διαμορφώνεται έτσι μια χρονοσειρά πλήθους συμβάντων η οποία είναι διαθέσιμη στο επίπεδο ελέγχου. Για την αναγνώριση των θυμάτων των επιθέσεων επιλέχθηκε και ενσωματώθηκε ο μηχανισμός HashPipe που ανιχενύει τις ``top k" ροές κίνησης με βάση τον όγκο τους και περιέχει πληροφορία για την IP διεύθυνση των αποδεκτών της επίθεσης αλλά και για την πόρτα της υπηρεσίας που πλήττεται. Ο μηχανισμός επιτυγχάνει να αναγνωρίσει άμεσα την έναρξη της επίθεσης καθώς και το μεγαλύτερο μέρος της διάρκειάς της ειδοποιώντας το επίπεδο ελέγχου ώστε να λάβει μέτρα αντιμετώπισης, χωρίς να παράγει αξιοσημείωτο ποσοστό λανθασμένων ειδοποιήσεων. Η εφαρμογή δειγματοληψίας ακόμη και με μεγάλο ρυθμό βελτιώνει αισθητά την ταχύτητα επεξεργασίας των πακέτων από τη δικτυακή συσκευή χωρίς να επιδρά σημαντικά στην ακρίβεια της ανίχνευσης και στο ποσοστό λανθασμένων ειδοποιήσεων.	el
heal.abstract	Distributed denial of service attacks (DDoS) pose a major threat for data networks. They intend to disrupt the normal operation of online services by flooding them with malicious traffic and consuming all available resources, causing these services to be unavailable to legitimate end-users. These attacks tend to use more advanced logic and grow both in frequency and volume, creating functional and economical loses on the organizations under attack. Most available detection mechanisms reside on the network control plane. Despite their intelligence, the need for delayed traffic analysis requires a great amount of resources and usually fails to instantaneously detect the oncoming attack. The introduction of data plane programmability techniques creates new opportunities for the design and implementation of more robust, real time detection strategies during packet processing. This thesis extends a DDoS detection mechanism by introducing new functionalities for observing the incidents timeseries and identifying the attack's type and victims. It also tries to enhance the speed of packet processing with the use of packet sampling. The detection mechanism tracks and counts total and per monitored subnet unique flows (tuples that consist of source and destination IP addresses, protocol and source and destination ports) and incoming - outgoing packet asymmetry per subnet. With the use of the simple exponential smoothing statistical technique, the mechanism calculates thresholds that when exceeded trigger the creation of notifications to the control plane indicating possible attacks. These events compose a timeseries that is available to the control plane. To point out the attack's victims, HashPipe, a mechanism that detects ``top k" flows with regards to their volume, was implemented and embedded. It holds information about the victim's IP address and the network port of the service under attack. The proposed mechanism succeeds in instantly detecting the beginning of the attack and also most of its duration, notifying the control plane in order to take mitigation actions, while keeping the percentage of false notifications significantly low. The use of packet sampling, even with high frequency, achieves the boost of the packet processing speed while affecting minimally the detection accuracy and the percentage of false notifications.	en
heal.advisorName	Παπαβασιλείου, Συμεών	el
heal.committeeMemberName	Παπαβασιλείου, Συμεών	el
heal.committeeMemberName	Συκάς, Ευστάθιος	el
heal.committeeMemberName	Κοζύρης, Νεκτάριος	el
heal.academicPublisher	Εθνικό Μετσόβιο Πολυτεχνείο. Σχολή Ηλεκτρολόγων Μηχανικών και Μηχανικών Υπολογιστών. Τομέας Επικοινωνιών, Ηλεκτρονικής και Συστημάτων Πληροφορικής. Εργαστήριο Διαχείρισης και Βέλτιστου Σχεδιασμού Δικτύων	el
heal.academicPublisherID	ntua
heal.numberOfPages	80 σ.	el
heal.fullTextAvailability	false