Please use this identifier to cite or link to this item: http://artemis.cslab.ece.ntua.gr:8080/jspui/handle/123456789/18197
Title: Ανίχνευση και αναγνώριση κατανεμημένων επιθέσεων άρνησης παροχής υπηρεσίας στο επίπεδο δεδομένων με χρήση της γλώσσας P4
Authors: Σεραφείδης, Χρήστος
Παπαβασιλείου Συμεών
Keywords: Δίκτυα Υπολογιστών
Ανίχνευση Δικτυακών Επιθέσεων
Κατανεμημένες Επιθέσεις Άρνησης Παροχής Υπηρεσίας
Προγραμματισμός Επιπέδου Δεδομένων
Δειγματοληψία
P4
Αναγνώριση Αποδεκτών Κακόβουλης Κίνησης
Network Anomaly Detection
DDoS
Data plane Programmability
Sampling
Issue Date: 15-Nov-2021
Abstract: Οι κατανεμημένες επιθέσεις άρνησης παροχής υπηρεσίας (DDoS) αποτελούν μείζον πρόβλημα στην σύγχρονη εποχή του διαδικτύου καθώς στοχεύουν στην παράλυση υπηρεσιών και στην εξάντληση των πόρων που αυτές χρησιμοποιούν, καθιστώντας τις απροσπέλαστες από τους νόμιμους χρήστες τους. Οι επιθέσεις αυτές εξελίσσονται διαρκώς τόσο σε συχνότητα και όγκο όσο και σε ευφυία δυσχαιρένοντας ακόμη περισσότερο τις προσπάθειες ανίχνευσης και αντιμετώπισής τους επιφέροντας λειτουργικές αλλά και πολλές φορές οικονομικές επιπτώσεις στους πληττόμενους οργανισμούς. Οι διαθέσιμοι μηχανισμοί ανίχνευσης εδράζονται κυρίως στο επίπεδο ελέγχου των δικτυακών υποδομών. Ωστόσο, παρά την ευφυία τέτοιων μηχανισμών, η ανάγκη ετεροχρονισμένης ανάλυσης μεγάλου όγκου κίνησης από εξωτερικούς ελεγκτές απαιτεί πληθώρα υπολογιστικών πόρων και οδηγεί σε καθυστερημένη ανίχνευση των επιθέσεων. Με την ανάπτυξη της δυνατότητας προγραμματισμού στο επίπεδο δεδομένων των δικτυακών συσκευών, δημιουργούνται νέες προοπτικές για τον σχεδιασμό και την υλοποιήση μεθόδων ανίχνευσης επιθέσεων DDoS σε πραγματικό χρόνο κατά τη διέλευση των πακέτων από τις δικτυακές συσκευές, χωρίς την ανάγκη επεξεργασίας από μηχανισμούς του επιπέδου ελέγχου. Στο πλαίσιο αυτό, βασικός στόχος της παρούσας διπλωματικής εργασίας είναι αφενός η επέκταση ενός μηχανισμού ανίχνευσης επιθέσεων άρνησης παροχής υπηρεσίας με την προσθήκη λειτουργιών χρονικής παρακολούθησης των ανωμαλιών της κίνησης και της δυνατότητας ταυτοποίησης του στόχου αλλά και του τύπου της επίθεσης αφετέρου η βελτίωση της ταχύτητας επεξεργασίας πακέτων μέσα από τη χρήση δειγματοληψίας. Ο μηχανισμός ανίχνευσης καταμετρά τις μοναδικές ροές πακέτων (πλειάδες που αποτελούνται από τις IP διευθύνσεις πηγής και προορισμού, το πρωτόκολλο και τις πόρτες πηγής και προορισμού) συνολικά και ανά παρακολοθούμενο υποδίκτυο καθώς και την ασυμμετρία εισερχόμενων - εξερχόμενων πακέτων για κάθε υποδίκτυο. Με χρήση απλής εκθετικής εξομάλυνσης υπολογίζει κατώφλια που αν ξεπεραστούν δημιουργούνται ειδοποιήσεις πιθανής επίθεσης προς το επίπεδο ελέγχου. Διαμορφώνεται έτσι μια χρονοσειρά πλήθους συμβάντων η οποία είναι διαθέσιμη στο επίπεδο ελέγχου. Για την αναγνώριση των θυμάτων των επιθέσεων επιλέχθηκε και ενσωματώθηκε ο μηχανισμός HashPipe που ανιχενύει τις ``top k" ροές κίνησης με βάση τον όγκο τους και περιέχει πληροφορία για την IP διεύθυνση των αποδεκτών της επίθεσης αλλά και για την πόρτα της υπηρεσίας που πλήττεται. Ο μηχανισμός επιτυγχάνει να αναγνωρίσει άμεσα την έναρξη της επίθεσης καθώς και το μεγαλύτερο μέρος της διάρκειάς της ειδοποιώντας το επίπεδο ελέγχου ώστε να λάβει μέτρα αντιμετώπισης, χωρίς να παράγει αξιοσημείωτο ποσοστό λανθασμένων ειδοποιήσεων. Η εφαρμογή δειγματοληψίας ακόμη και με μεγάλο ρυθμό βελτιώνει αισθητά την ταχύτητα επεξεργασίας των πακέτων από τη δικτυακή συσκευή χωρίς να επιδρά σημαντικά στην ακρίβεια της ανίχνευσης και στο ποσοστό λανθασμένων ειδοποιήσεων.
URI: http://artemis.cslab.ece.ntua.gr:8080/jspui/handle/123456789/18197
Appears in Collections:Διπλωματικές Εργασίες - Theses

Files in This Item:
File Description SizeFormat 
Serafeidis_Diploma_Thesis.pdf1.78 MBAdobe PDFView/Open


Items in Artemis are protected by copyright, with all rights reserved, unless otherwise indicated.