logo EDITE Sujets de doctorat

Un Systéme de Surveillance et Détection de Menaces utilisant le Traitement de Flux comme une Fonction de Réseau virtualle pour le Big Data

Résumé rédigé par
Directeur de thèse:
Doctorant: Martin Esteban ANDREONI LOPEZ
Unité de recherche UMR 7606 Laboratoire d'informatique de Paris 6

Projet

Introduction

Assurer la sécurité du réseau est un besoin croissant pour les réseaux d'entreprise, pour les réseaux de centres de données, pour le cloud computing et les réseaux d'infrastructures essentielles telles que les réseaux intelligents. Les menaces et les attaques de sécurité sont actuellement réparties et ont tendance à augmenter de manière significative à l'avenir avec l'internet des objets (IdO), une fois de plus de 80 milliards d'appareils seront interconnectés d'ici 2025. Ce scénario affiche une gestion de haute et de la complexité de la protection des réseaux de communication, avec plusieurs défis en matière de sécurité et de confidentialité des données [1]. Les milliards de dispositifs génèrent une grande quantité de flux de données, qui doit être gérée, traitée, transférées et stockées d'une manière en temps réel sécurisé. En outre, la vitesse, le volume et la variété des grandes données sont des facteurs qui augmentent le nombre de vulnérabilités. Ces applications de flux sont caractérisées par une séquence illimitée d'événements ou de tuples qui arrivent en continu [2]. Le temps de détection des menaces est de l'essence pour maintenir la sécurité dans les systèmes de communication. L’efficace de détection des menaces exige la surveillance, le traitement et la gestion des gros volumes de données, ce qui permet l'extraction d'informations à partir de la caractérisation du trafic. Cependant, la détection des menaces dans les grandes données nécessite le développement de techniques modernes d'analyse. Les systèmes de sécurité actuels, tels que l'information de sécurité et de gestion des événements (Security Information and Event Management - SIEM), conçu pour recueillir des données et les analyser en un seul point, ne sont pas efficaces, puisque 85% des intrusions dans le réseau sont détectées semaines après qu'ils se sont produits [3]. En outre, la réaction aux menaces après sa détection est très lente, en prenant un temps moyen de 123 heures En plus, les données qui fuient le temps de détection est de 206 jours [3]. Par conséquent, le temps de détection des menaces rend toute sorte de défense infaisable. Les techniques analytiques pour le traitement des flux en temps réel permettent à l'analyse immédiate des différents types de données et, par conséquent, la détection de la menace. Un autre problème habituel des systèmes de sécurité actuels est l'énorme quantité d'alarmes. La plupart de ces alarmes sont de faux positifs, qui sont ignorés. Ce scénario, cependant, accable les analystes de la sécurité et positifs attaques réelles sont également ignorées. Cependant, le débit de l'information qui entre dans le système est variable. Il peut y avoir utilisation des pics du système, qui produit un beaucoup plus grand que le débit de données habituel. Par conséquent, si la quantité de ressources offertes est conçue pour une consommation normale pendant les pics seront une surcharge sur la plateforme, ce qui entraîne des flux non analysés en raison du manque de ressources. Ceci est un grave problème de sécurité parce que si à ce moment là, vous êtes victime d'une attaque, il ne sera pas analysé ou détecté. D'autre part, si les ressources sont disponibles en fonction des temps d'utilisation de pointe, ces ressources restent inactives pendant une grande partie du temps. Ainsi, il y a un gaspillage d'énergie et d'argent pour maintenir ces ressources visant à assurer la sécurité, même si elles ne sont pas utilisées pendant l'utilisation normale du réseau [4]. Pour résoudre ce problème, la virtualization de fonction de réseau (Network Function Virtualization - NFV) fournit, d'une manière rapide et à faible coût d'exploitation, une communication, le traitement et le service de stockage pour Big Data. Cette technologie offre des services de réseau à travers une plateforme logicielle dans un environnement virtualisé et du matériel de base à des fins générales. Comme le centre de NFV est les services d'optimisation de réseau, ce concept est placé complémentaire à l'idée de Réseaux Défini pour Logiciels (Software Defined Networking - SDN), qui offre une plus grande programmabilité pour la gestion du réseau en raison de la vision globale du réseau dans le contrôleur. L'idée de SDN est d'agir, en particulier dans le contrôle et la mise en œuvre de l'acheminement et le traitement des paquets sur le réseau, tandis que NFV agit dans la fourniture de services sur le réseau, tels que les pare-feu, systèmes de détection d'intrusion, NAT, points d'accès, etc. En outre, il y a aussi un fort mouvement dans la direction de fournir des services avec des logiciels source ouverte en utilisant une plateforme de confiance qui intègre le traitement, le stockage et la communication de données. Dans le centre de données de l'opérateur, les technologies optiques peuvent être utilisées pour effectuer la fonction de réseau (NF) chaînage pour les grands flux agrégés en parallèle avec les grains fins des régimes de direction du trafic conventionnel à base de paquets. Lorsque la virtualisation de fonction de réseau (NFV) est activé, les fonctions virtualles (VNF) peut être placé quand et où nécessaire [5]. Afin d'accélérer la fourniture de fonctions de réseau virtualisé, la Fondation Linux développe un projet source ouverte et collaborative appelée Open Platform pour les fonctions de réseau virtualle (Open Platform for Network Functions Virtualization - OPNFV) [6]. L'idée principale est d'utiliser des outils d’OPNFV pour fournir une plate-forme ouverte compatible avec les normes établies par l'European Telecommunications Standards Institute (ETSI).

Objectif

Dans cette proposition, nous étudions les techniques et outils pour la détection des menaces en temps réel pour mettre en œuvre comme une fonction du réseau de virtuelle. Les objectifs de doctorat sont divisés en deux domaines principaux: le premier objectif est l'étude des techniques de traitement de flux en temps réel pour détecter les menaces de sécurité dans les réseaux informatiques; le deuxième objectif est de développer un outil de détection des menaces dans les réseaux informatiques en utilisant les techniques précédemment étudiées. Ainsi, l'objectif de la thèse est de développer la technologie pour détecter et réagir rapidement aux menaces de sécurité avec l'analyse technique basé apprentissage de la machine Big Data grande données. Avec ces techniques devrait permettre de réduire les temps de détection de menaces de mois ou de semaines à quelques heures ou minutes, réduisant ainsi les risques et les dommages causés par les attaques de sécurité. Comme un objectif secondaire, il y a la mise en œuvre de la plate-forme comme un réseau de service informatique virtuel. Pour cela, nous allons utiliser la plateforme open source OPNFV pour le développement du prototype. Nous allons mesurer et exécuter le système proposé comme fonction de réseau virtualisé avec d'autres services de réseau afin de valider les services de chaînage. Les auteurs ont déjà des publications dans le domaine de la sécurité du réseau. BroFlow [7] était une détection d'intrusion proposé réseaux oléfines par le logiciel dans les environnements virtualisés. Ce travail a une optimisation de l'emplacement stratégique des nœuds dans le réseau [8]. Le rendement proposé est montré les solives d'expériences qui peuvent détecter des attaques de déni de service par déni de service (Denial of Service - DoS) dans les environnements virtualisés utilisant un minimum de ressources. Un outil de haute performance est évident par rapport aux techniques classiques de sécurité.

Références

[1] Andreoni Lopez, M. and Lobato, A. and Duarte, O. C. M. B., - “A Performance Comparison of Open-Source Stream Processing Platforms,” to appear in IEEE Global Communications Conference: Selected Areas in Communications: Cloud Networks, Oct. 2016.

[2] M. Stonebraker, and U. Çetintemel, and S. Zdonik, - “The 8 requirements of real-time stream processing,” ACM SIGMOD Record, vol. 34, no. 4, pp. 42–47, 2005.

[3] A. Lobato, M. A. Lopez, and O. C. M. B. Duarte, - “An accurate threat detection system through real-time stream processing,” Grupo de Teleinformatica e Automação (GTA), Univeridade Federal do Rio de ˜ Janeiro (UFRJ), Tech. Rep. GTA-16-08, 2016.

[4]Amine Guenane, F. and Jaafar, B. and Nogucira, M. and Pujolle, G., - "Autonomous architecture for managing firewalling Cloud-based service," in International Conference and Workshop on the Network of the Future (NOF), pp.1-5, 3-5 Dec. 2014

[5] M.F. Bari and S.R. Chowdhury and R. Ahmed and R. Boutaba, and O.C.M.B. Duarte. - “Orchestrating Virtualized Network Functions”. IEEE Transactions on Network and Service Management. May 2016.

[6] Linux Foundation (2015). “OPNFV open source platform for network functions virtualization”. https://www.opnfv.org/ Accessed June 2016

[7] Andreoni Lopez, M., and Duarte, O. C. M. B. - "Providing Elasticity to Intrusion Detection Systems in Virtualized Software Defined Networks", in IEEE International Conference on Communications - ICC 2015, pp. 8748-8753, June 2015.

[8] Andreoni Lopez and M., Mattos, D. M. F. and Duarte, O. C. M. B. - "An elastic intrusion detection system for software networks", to be published in Annals of Telecommunications, Springer, ISSN 0003-4347, DOI 10.1007/s12243-016-0506-y, 2016.

[9] Du, Y. and Liu, J. and Liu, F. and Chen, L. - “A real-time anomalies detection system based on streaming technology”. In Sixth International Conference on Intelligent Human-Machine Systems and Cybernetics (IHMSC), volume 2, pages 275–279. IEEE. 2014

[10] Mylavarapu, G., Thomas, J. e TK, A. K. – “Real-time hybrid intrusion detection system using apache storm”. In IEEE 17th International Conference on High Performance Computing and Communications (HPCC), pages” 1436–1441. 2015