Towards a general approach for cyberattack detection using programmable data planes

Abstract

Distributed Denial-of-Service (DDoS) and Advanced Persistent Threat (APT) are increas ingly prominent and severe cyberattack categories that cause relevant damages and losses to Internet-connected organizations. DDoS attacks can compromise the availability of otherwise highly-resilient links and services. Stealthy APTs potentially lead to compro mised information assets and public safety hazards. Existing defenses require frequent interaction between forwarding and control planes, making it difficult to reach a satisfac tory trade-off between accuracy, resource usage, and defense response delay. Moreover, protection against APTs relies on Network Intrusion Detection Systems (NIDS), whose traffic inspection capabilities face scalability concerns related to the need to copy packet data from forwarding devices to the main memory of general-purpose computers. Recently, high-performance Programmable Data Planes (PDPs) enabled the development of a new generation of mechanisms to analyze and manage traffic at line rate. In this thesis, we investigate the potential of PDPs as a foundation for cybersecurity solutions. Our work has two iterations. In the first iteration, we propose EUCLID, a novel real-time DDoS attack detection and mitigation mechanism that can be executed entirely in a P4 forwarding device. Our experimental evaluation shows that our P4-based design has the potential to meet increasingly strict performance requirements in high-volume networks. In the second iteration, we pursue a general approach for cyberattack detection using PDPs. We introduce RNA, an innovative framework to offload NIDS-related operations from general-purpose CPUs to high-performance PDPs. RNA uses the mechanisms of a programmable switch to analyze traffic, summarize information about it, and send these summaries to a host-based component, which, in turn, translates these summaries into events the NIDS can handle. Using the BMv2 P4 switch and the Zeek Network Security Monitor as platforms, we built a proof-of-concept implementation of our framework. Through a series of examples and case studies, we demonstrated the feasibility of our design and its integration with Zeek. We showed that: (i) we can automate monitoring session setup, (ii) it is possible to offload lightweight packet inspection to the PDP, (iii) RNA can forward EUCLID alarms to Zeek, and (iv) we can filter traffic for Zeek in the PDP. We also concluded from these examples and studies that we can gradually add data plane support for more protocols and adapt our framework to identify higher-level network events. As RNA capabilities grow, we reduce the need for Zeek to do all the CPU-intensive packet analysis by itself.

Distributed Denial-of-Service (DDoS) e Advanced Persistent Threats (APTs) são categorias de ataques cibernéticos cada vez mais proeminentes e graves, que causam danos e perdas relevantes a organizações conectadas à Internet. Os ataques DDoS podem comprometer a disponibilidade de links e serviços altamente resilientes. APTs furtivos potencialmente levam a ativos de informação comprometidos e a riscos à incolumidade pública. As defesas existentes exigem interação frequente entre os planos de encaminhamento e controle, dificultando a obtenção de um equilíbrio satisfatório entre precisão, uso de recursos e atraso na resposta da defesa. Além disso, a proteção contra APTs depende de Sistemas de Detecção de Intrusão de Rede (NIDS), cujos recursos de inspeção de tráfego enfrentam problemas de escalabilidade relacionados à necessidade de copiar dados (de pacotes) de dispositivos de encaminhamento para a memória principal de computadores de uso geral. Recentemente, Planos de Dados Programáveis (PDPs) de alto desempenho permitiram o desenvolvimento de uma nova geração de mecanismos para analisar e gerenciar tráfego em taxa de linha. Nesta dissertação, investiga-se o potencial dos PDPs como base para soluções de segurança cibernética. Este trabalho tem duas iterações. Na primeira iteração, propõe-se o EUCLID, um novo mecanismo de detecção e mitigação de ataques DDoS em tempo real que pode ser executado inteiramente em um dispositivo de encaminhamento P4. A avaliação experimental mostra que a solução tem potencial para atender a requisitos de desempenho cada vez mais rigorosos em redes de alto volume. Na segunda iteração, busca se uma abordagem geral para detecção de ataques cibernéticos usando PDPs. Apresenta-se o RNA, uma estrutura inovadora para descarregar operações relacionadas ao NIDS de CPUs de uso geral para PDPs de alto desempenho. O RNA usa os mecanismos de um switch programável para analisar o tráfego, resumir informações sobre ele e enviar esses resumos para um componente baseado em host, que, por sua vez, traduz esses resumos em eventos que o NIDS pode manipular. Usando o switch P4 BMv2 e o Zeek Network Security Monitor como plataformas, construímos uma implementação de prova de conceito da estrutura proposta. Através de uma série de exemplos e estudos de caso, demonstra-se a viabilidade deste projeto e sua integração com o Zeek. Mostra-se que: (i) é possível automatizar a configuração da sessão de monitoramento, (ii) é possível descarregar a inspeção leve de pacotes para o PDP, (iii) o RNA pode encaminhar alarmes EUCLID para o Zeek e (iv) pode-se filtrar o tráfego para Zeek no PDP. Também conclui-se a partir desses exemplos e estudos que é possível adicionar gradualmente ao plano de dados o suporte a mais protocolos e adaptar a estrutura para identificar eventos de rede de nível superior. À medida que os recursos do RNA crescem, reduz-se a necessidade de o Zeek fazer sozinho toda a análise de pacotes com uso intensivo de CPU.