Automated monitoring and security services in federated software-defined network infrastructures

Η παρούσα διδακτορική διατριβή μελετά μεθόδους συλλογής δεδομένων, ανίχνευσης και (συνεργατικής) αντιμετώπισης κυβερνοεπιθέσεων μεγάλης κλίμακας και ιδίως κατανεμημένες επιθέσεις άρνησης παροχής υπηρεσίας. Ιδιαίτερη έμφαση δίνεται σε τεχνολογίες για τον προγραμματισμό των δικτυακών συσκευών καθώς και τον έλεγχο τους μέσω λογισμικού, με στόχο τη δημιουργία αυτοματοποιημένων υπηρεσιών ασφάλειας και συλλογής δεδομένων. Αρχικά, προτείνεται μια αρχιτεκτονική για τη συλλογή δεδομένων από κατανεμημένα σημεία εποπτείας – δικτυακές συσκευές – και την μετέπειτα επεξεργασίας τους. Η ανάλυση αυτών γίνεται με απώτερο σκοπό την αυξημένη ικανότητα ανίχνευσης κεντρικών ή τοπικά εστιασμένων δικτυακών ανωμαλιών. Σε δεύτερο χρόνο μελετάται το P4, μια γλώσσα ειδικού σκοπού για το ριζικό προγραμματισμό των δικτυακών συσκευών. Η μελέτη εστιάζει στη μεταφορά μηχανισμών ανίχνευσης επιθέσεων απευθείας στο υλικό όπου και θα εκτελούνται κατανεμημένα, με στόχο την ταχύτερη επεξεργασία δεδομένων. Κατ’ επέκταση, προτείνεται ένας αλγόριθμος ανίχνευσης που συνδυάζει συνήθεις μετρικές (μοναδικές ροές – flows, συμμετρία κίνησης) για ανίχνευση επιθέσεων DDoS. Αυτές οι μετρικές διατηρούνται ανά προστατευόμενο πόρο (κόμβο, υποδίκτυο) σε διάφορα επίπεδα ευκρίνειας και αξιολογούνται ανά τακτά διαστήματα για την έγκαιρη αποστολή μηνυμάτων σε εξωτερικά συστήματα αντιμετώπισης επιθέσεων. Μετά την ανίχνευση των επιθέσεων είναι αναγκαία η αποτελεσματική αντιμετώπιση τους. Αρχικά, ο επόμενος θεματικός άξονας της διατριβής εισάγει έναν μηχανισμό ανάθεσης κανόνων για την αποκοπή ετερογενών επιθέσεων (multi-vector attacks). Βασικός στόχος είναι η ευέλικτη και συνολικά αποδοτικότερη αντιμετώπιση της κακόβουλης κίνησης σε διάφορες συσκευές κατά μήκος του ίχνους της επίθεσης. Συγκεκριμένα, η ανάθεση μοντελοποιείται σαν ένα συνδυαστικό πρόβλημα βελτιστοποίησης ακέραιου προγραμματισμού, με γνώμονα διαχειριστικές πολιτικές και δυνατότητες των δικτυακών συσκευών. Μια σημαντική πτυχή αυτής της προσέγγισης είναι η αυτοματοποιημένη κατανομή κανόνων σε ετερογενή περιβάλλοντα που απαρτίζονται από συσκευές πολλαπλών κατασκευαστών. Συνεπώς, μελετήθηκαν σύγχρονες τεχνικές δικτυακού αυτοματισμού για τη μετάφραση γενικών κανόνων σε ειδικού τύπου οδηγίες και τη διανομή τους στις αντίστοιχες συσκευές. Έπειτα, η προσέγγιση αυτή επεκτείνεται σε πολλαπλές διαχειριστικές περιοχές – Αυτόνομα Συστήματα – με τη μορφή ενός ομόσπονδου περιβάλλοντος για παρόχους δικτυακών υπηρεσιών. Βασικός στόχος είναι η προστασία εξωτερικών ζεύξεων καθώς και οικείων, εντός ΑΣ, αμυντικών μηχανισμών. Η αρχιτεκτονική ενσωματώνει έξυπνα ψηφιακά συμβόλαια (smart contracts) αποτυπωμένα σε αλυσιδωτές δομές συναλλαγών (Blockchain) για την σηματοδοσία, τον συντονισμό και την ενορχήστρωση του συνεργατικού μηχανισμού άμυνας. Η ανάθεση κανόνων αποκοπής στους ομόσπονδους εταίρους γίνεται με γνώμονα τη σημασία της κάθε κακόβουλης ροής καθώς και την αξιοπιστία του πιθανού συνεργάτη-εταίρου. Οι προσεγγίσεις για ανίχνευση και αντιμετώπιση επιθέσεων πιθανώς να αντιμετωπίσουν προβλήματα κλίμακας και επίδοσης, κυρίως λόγω ψευδεπίγραφων διευθύνσεων IP. Με αφορμή αυτό το πρόβλημα, το τελευταίο κομμάτι της διατριβής εστιάζει σε ένα μηχανισμό δυο επιπέδων ο οποίος προσφέρει εξειδικευμένους και κλιμακώσιμους μηχανισμούς αντιμετώπισης επιθέσεων. Το πρώτο επίπεδο βασίζεται στην προγενέστερη προσπάθεια στην γλώσσα P4 και χρησιμοποιείται για την πρωτογενή αναγνώριση του τύπου της επίθεσης και του αμυνόμενου-θύματος. Στην συνέχεια, το δεύτερο επίπεδο προσαρμόζεται στην περίσταση με χρήση προγραμματιζόμενων ενδιάμεσων συσκευών βασισμένες στο περιβάλλον XDP (eXpress Data Path). Δεδομένα που σχετίζονται με την επίθεση συλλέγονται με υψηλή ευκρίνεια και εισάγονται σε ένα μηχανισμό επιβλεπόμενης μηχανικής μάθησης ο οποίος και τα κατηγοριοποιεί ως καλόβουλα ή κακόβουλα. Οι κακόβουλοι συνδυασμοί αποτελούν συνοπτική περιγραφή της επίθεσης και χρησιμοποιούνται για την αποκοπή της. Σημαντικό σημείο διαφοροποίησης είναι πως οι περιγραφές βασίζονται σε εγγενή χαρακτηριστικά της εκάστοτε επίθεσης και όχι σε διευθύνσεις IP. Οι προτεινόμενοι μηχανισμοί αξιολογήθηκαν κάτω από ρεαλιστικές συνθήκες με χρήση πραγματικών δεδομένων καθώς και συνθετικής κίνησης. Η αξιολόγηση τους έγινε σε σύγχρονες πειραματικές υποδομές βασισμένες σε υλικό συμβατό με το P4 και το XDP, μεταγωγείς SDN, καθώς και υπολογιστικούς κόμβους.