Vers une détection à la source des activités malveillantes dans les clouds publics : application aux attaques de déni de service
par Badis Hammi
Thèse de doctorat en Réseaux, Connaissances, Organisations
Sous la direction de Guillaume Doyen et de Rida Khatoun.
Soutenue le 29-09-2015
à Troyes , dans le cadre de Ecole doctorale Sciences pour l'Ingénieur (Troyes, Aube) , en partenariat avec Région Champagne-Ardenne (Collectivité territoriales) et de Institut Charles Delaunay / ICD (laboratoire) .
Le président du jury était Bernard Cousin.
Le jury était composé de Guillaume Doyen, Rida Khatoun, Bernard Cousin, Isabelle Chrisment, Hervé Debar, Wissam Mallouli.
Les rapporteurs étaient Isabelle Chrisment, Hervé Debar.
- Informatique dans les nuages
- Réseaux d'ordinateurs -- Mesures de sûreté
- Attaques par déni de service
- Expériences
- Informatique dans les nuages
- Réseaux d'ordinateurs -- Mesures de sûreté
- Attaques par déni de service
mots clés
-
Résumé
Le cloud computing, solution souple et peu couteuse, est aujourd'hui largement adopté pour la production à grande échelle de services IT. Toutefois, des utilisateurs malveillants tirent parti de ces caractéristiques pour bénéficier d'une plate-forme d'attaque prête à l'emploi dotée d'une puissance colossale. Parmi les plus grands bénéficiaires de cette conversion en vecteur d’attaque, les botclouds sont utilisés pour perpétrer des attaques de déni de service distribuées (DDoS) envers tout tiers connecté à Internet.Si les attaques de ce type, perpétrées par des botnets ont été largement étudiées par le passé, leur mode opératoire et leur contexte de mise en œuvre sont ici différents et nécessitent de nouvelles solutions. Pour ce faire, nous proposons dans le travail de thèse exposé dans ce manuscrit, une approche distribuée pour la détection à la source d'attaques DDoS perpétrées par des machines virtuelles hébergées dans un cloud public. Nous présentons tout d'abord une étude expérimentale qui a consisté à mettre en œuvre deux botclouds dans un environnement de déploiement quasi-réel hébergeant une charge légitime. L’analyse des données collectées permet de déduire des invariants comportementaux qui forment le socle d'un système de détection à base de signature, fondé sur une analyse en composantes principales. Enfin, pour satisfaire au support du facteur d'échelle, nous proposons une solution de distribution de notre détecteur sur la base d'un réseau de recouvrement pair à pair structuré qui forme une architecture hiérarchique d'agrégation décentralisée
- Cloud computing
- Computer networks -- Security measures
- Denial of service attacks
- Experimental approach
mots clés
-
Titre traduit
Toward a source based detection of malicious activities in public clouds : application to denial of service attacks
-
Résumé
Currently, cloud computing is a flexible and cost-effective solution widely adopted for the large-scale production of IT services. However, beyond a main legitimate usage, malicious users take advantage of these features in order to get a ready-to-use attack platform, offering a massive power. Among the greatest beneficiaries of this cloud conversion into an attack support, botclouds are used to perpetrate Distributed Denial of Service (DDoS) attacks toward any third party connected to the Internet.Although such attacks, when perpetrated by botnets, have been extensively studied in the past, their operations and their implementation context are different herein and thus require new solutions. In order to achieve such a goal, we propose in the thesis work presented in this manuscript, a distributed approach for a source-based detection of DDoS attacks perpetrated by virtual machines hosted in a public cloud. Firstly, we present an experimental study that consists in the implementation of two botclouds in a real deployment environment hosting a legitimate workload. The analysis of the collected data allows the deduction of behavioural invariants that form the basis of a signature based detection system. Then, we present in the following a detection system based on the identification of principal components of the deployed botclouds. Finally, in order to deal with the scalability issues, we propose a distributed solution of our detection system, which relies on a mesh peer-to- peer architecture resulting from the overlap of several overlay trees
Il est disponible au sein de la bibliothèque de l'établissement de soutenance.
