Dissertação

{en_GB=Identification of Skype Covert Channels using Sketches in SDNs} {} EVALUATED

{pt=A caracterização de fluxos de rede é relevante para múltiplas aplicações, em particular para aplicações de segurança, tal como a deteção de canais encobertos em tempo-real. Tipicamente, a caracterização de fluxos de rede é realizada por capturar informação de todos os pacotes dos fluxos relevantes e analisando as suas características, por exemplo, realizando classificação com aprendizagem de máquina baseada na distribuição dos seus tamanhos. No entanto, esta solução consome muitos recursos, afetando o desempenho da rede, e tipicamente apenas consegue realizar a classificação posteriormente. Neste trabalho aferimos a possibilidade de explorar os avanços recentes nas redes SDN, nos comutadores programáveis, na linguagem de programação P4 e nas estruturas de dados probabilísticas (também designadas por esboços, do Inglês, sketches) para caracterizar os fluxos no próprio comutador reduzindo assim a quantidade de dados de rede que têm de ser armazenados e analisados para identificar canais encobertos. Apresentamos uma arquitetura de software para comutadores programáveis que permite caracterizar os fluxos utilizando duas camadas de filtragem, cada uma recorrendo a um esboço, para primeiro reduzir a quantidade elevada de fluxos a processar, limitando o número de fluxos que não contêm canais encobertos classificados incorretamente. A nossa solução permite monitorizar 5K fluxos mantendo uma precisão de 0,95 na deteção de fluxos encobertos, representando uma capacidade de análise 20 vezes maior para a mesma quantidade de memória no comutador na ausência de esboços., en=The characterization of network flows is relevant for multiple applications, in particular for security applications, such as the detection of covert channels in real time. Typically, the characterization of network flows is performed by capturing information of all the packets of the relevant flows and analyzing their characteristics, for example, performing machine learning classification based on the distribution of their sizes. However, this solution consumes many resources, affecting network performance, and typically can only perform the classification at a later time. In this work, we evaluate the possibility of exploring the recent advances in SDN networks, programmable switches, the P4 programming language and probabilistic data structures (also called sketches) to characterize the flows in the switch itself thus reducing the amount of network data that need to be stored and analyzed to identify covert channels. We present a software architecture for programmable switches that allows us to characterize flows using two layers of filtering, each using a sketch, to first reduce the high amount of flows being processed, limiting the number of misclassified flows that do not contain covert channels. Our solution allows us to monitor 5K flows while keeping an accuracy of 0.95 in the detection of covert flows, representing an increase in analysis capacity of 20 times for the same amount of memory on the switch in the absence of sketches.}
{pt=Canais Encobertos, Redes Definidas por Software, Comutadores Programáveis, Esboços, en=Covert Channels, Software Defined Networks, Programmable Switches, Sketches}

Novembro 21, 2019, 14:30

Orientação

ORIENTADOR

Luís Eduardo Teixeira Rodrigues

Departamento de Engenharia Informática (DEI)

Professor Catedrático

ORIENTADOR

Nuno Miguel Carvalho dos Santos

Departamento de Engenharia Informática (DEI)

Professor Auxiliar