Intelligent services for detection and mitigation of distributed denial of service attacks in programmable network environments

Abstract

In this dissertation, we leverage on capabilities offered by the Network Softwarization paradigm and combine them with advanced data analysis techniques, i.e. Machine Learning (ML), towards the development of an integrated protection framework against cyberattacks. We focus on Distributed-Denial of Service (DDoS) attacks and implement mechanisms for efficient network data collection, fast and reliable anomaly detection and effective mitigation. Initially, we design a DDoS detection mechanism entirely offloaded in the data plane using the P4 language. Through traffic features computed and evaluated in-network, DDoS attacks victims are identified rapidly within short timeframes. Detection in the data plane is one step ahead of control plane mechanisms that stall real-time detection and mitigation of network attacks. Detecting the victim of network attacks is only the first step towards mitigating them and is followed by traffic classification procedures. Thus, in this dissertation we introduce a novel signature-based classification and mitigation schema based on softwarized data planes, i.e. eXpress Data Path (XDP). Supervised Learning algorithms (Random Forests, Multilayer-Perceptrons), applied to packet features (signatures), segregate malicious from benign packets. The employed features are pre-selected through an automated process that eliminates inconsequential features. To expedite mitigation performance and ease filtering rules management, source IP-agnostic rules tailored to the attack traffic are generated. This is achieved via a multi-objective optimization problem formulation that reduces filtering rules number with minimal effect on benign traffic. The proposed signature-based mechanism is evaluated in two broad categories of DDoS attacks, protocol (i.e. SYN Flood) and volumetric (i.e. DNS Amplification). Based on experimental evaluations, our innovative approach outperforms the state-of-the-art flow-based protection mechanisms by (i) detecting attacks in shorter time-windows, (ii) optimizing the number and type of filtering rules, and (iii) achieving increased packet filtering performance.Finally, in this dissertation, we extend our signature-based schema to collaborative network environments. Collaborative DDoS detection relies on Federated Learning techniques that enable for cooperative and privacy-aware learning. Collaborative DDoS mitigation is implemented in programmable XDP-based middleboxes featuring a scalable, cost-effective protection as-a-service mechanism. By contrast to traditional protection schemes, we allow data exchange amongst disjoint network domains with respect to data privacy legislations; moreover, we offer a flexible yet efficient firewall solution offloaded in Commercial-off-the-Shelf hardware. Our integrated protection framework is deployed in programmable network hardware and evaluated using production network data from diverse and heterogeneous network environments, featuring fully realistic experimentation.

Η παρούσα διδακτορική διατριβή ερευνά τεχνολογίες αιχμής των σύγχρονων δικτύων υπολογιστών με έμφαση στις δυνατότητες προγραμματισμού τους και παράλληλα εξετάζει μεθοδολογίες και αλγορίθμους ευφυούς ανάλυσης δικτυακών δεδομένων. Συνδυάζοντας αυτές τις δύο πτυχές έχει ως στόχο την δημιουργία ενός ολοκληρωμένου μηχανισμού προστασίας ενάντια σε κυβερνοεπιθέσεις. Συγκεκριμένα, ασχολείται με τις κατανεμημένες επιθέσεις άρνησης παροχής υπηρεσιών και μελετά μεθόδους αποδοτικής συλλογής δεδομένων, τεχνικές άμεσης και αξιόπιστης ανίχνευσης και κλιμακώσιμους μηχανισμούς αντιμετώπισης επιθέσεων.Αρχικά παρουσιάζεται ένας μηχανισμός ανίχνευσης επιθέσεων σχεδιασμένος εξ' ολοκλήρου στο επίπεδο δεδομένων δικτυακών συσκευών. Μέσα από τη γλώσσα P4, υπολογίζονται μετρικές της δικτυακής κίνησης που μπορούν να υποδείξουν άμεσα το θύμα της εκάστοτε επίθεσης. Οι μηχανισμοί που υλοποιούνται στο επίπεδο δεδομένων επιφέρουν ταχύτερους χρόνους ανίχνευσης σε σχέση με τους παραδοσιακούς μηχανισμούς που βασίζονται στο επίπεδο ελέγχου και μπορούν να οδηγήσουν στην καίρια αντιμετώπιση των επιθέσεων.Ωστόσο, ο εντοπισμός του θύματος αποτελεί μόνο το πρώτο βήμα για την καταστολή μιας επίθεσης, αφού για να γίνει αυτό εφικτό απαιτείται ο διαχωρισμός της δικτυακής κίνησης σε καλόβουλη και κακόβουλη. Συνεπώς, στη συνέχεια της παρούσας διδακτορικής διατριβής προτείνεται ένας καινοτόμος μηχανισμός προστασίας από επιθέσεις που βασίζεται σε χαρακτηριστικά των πακέτων (signatures) και υλοποιείται σε γενικού τύπου εξοπλισμό αξιοποιώντας τις δυνατότητες του framework XDP. Αλγόριθμοι Επιβλεπόμενης Μάθησης αξιοποιούν μόνο τα σημαντικά χαρακτηριστικά των πακέτων και τα κατηγοριοποιούν σε καλόβουλα/κακόβουλα. Για την αντιμετώπιση των επιθέσεων, χρησιμοποιούνται τα ιδιαίτερα χαρακτηριστικά των κακόβουλων πακέτων, όπως αυτά προκύπτουν από μία διαδικασία μείωσης. Συγκεκριμένα, κατασκευάζονται κανόνες αποκοπής που περιγράφουν με όσο το δυνατόν μεγαλύτερη ακρίβεια την εκάστοτε επίθεση χωρίς να επηρεάζουν σημαντικά την καλόβουλη κίνηση. Ο προτεινόμενος μηχανισμός εφαρμόζεται σε δύο μεγάλες κατηγορίες κατανεμημένων επιθέσεων άρνησης παροχής υπηρεσιών, τις volumetric και τις protocol. Η πειραματική αξιολόγηση δείχνει την υπεροχή της συγκεκριμένης μεθοδολογίας έναντι των κλασικών μηχανισμών προστασίας που βασίζονται σε ροές πακέτων: (i) στην ταχύτητα ανίχνευσης επιθέσεων, (ii) στην κατασκευή βέλτιστων φίλτρων απόρριψης της κακόβουλης κίνησης και (iii) στις αυξημένες επιδόσεις σε ρυθμούς απόρριψης πακέτων.Τέλος, ολοκληρώνοντας την παρούσα διατριβή επεκτείνουμε τον μηχανισμό προστασίας που βασίζεται σε χαρακτηριστικά των πακέτων σε συνεργατικά περιβάλλοντα αυτόνομων δικτύων. Η συνεργατική ανίχνευση επιτελείται με τη χρήση τεχνικών Ομόσπονδης Μάθησης που επιτρέπουν την συλλογική κατασκευή μοντέλων Μηχανικής Μάθησης χωρίς την άμεση χρήση των προσωπικών δεδομένων των συνεργαζόμενων. Η συνεργατική αντιμετώπιση βασίζεται και πάλι στο framework XDP και προσφέρεται σαν υπηρεσία στους συνεργαζόμενους φορείς δίνοντας τη δυνατότητα για αποδοτική και κλιμακώσιμη απόρριψη κακόβουλων πακέτων. Σε σύγκριση με τις παραδοσιακές μεθόδους συνεργατικής προστασίας, η μεθοδολογία που ακολουθούμε λαμβάνει υπόψιν της τόσο την ιδιωτικότητα των δεδομένων για την ανίχνευση αλλά και την ευελιξία όσον αφορά τους τύπους των κανόνων αλλά και τους υφιστάμενους πόρους.Αξίζει αναφοράς ότι ο μηχανισμός προστασίας που κατασκευάστηκε στα πλαίσια αυτής της διατριβής δοκιμάστηκε σε πραγματικό δικτυακό εξοπλισμό (έξυπνες κάρτες δικτύου) και οι επιδόσεις του αξιολογήθηκαν βάσει πραγματικών δικτυακών δεδομένων από ετερογενή δικτυακά περιβάλλοντα.