La vitrine de diffusion des mémoires et thèses de l'ÉTS
RECHERCHER

Mitigation des attaques de déni de service dans les réseaux définis par logiciel

Dridi, Lobna (2017). Mitigation des attaques de déni de service dans les réseaux définis par logiciel. Mémoire de maîtrise électronique, Montréal, École de technologie supérieure.

[img]
Prévisualisation
PDF
Télécharger (2MB) | Prévisualisation
[img]
Prévisualisation
PDF
Télécharger (558kB) | Prévisualisation

Résumé

La réseautique définie par logiciel (SDN) est une nouvelle technologie réseau offrant la programmation nécessaire pour permettre aux opérateurs réseau de gérer leurs infrastructures d’une façon simple et dynamique. Cependant, malgré ces avantages, ces réseaux sont très vulnérables aux attaques de déni de service (DdS) qui peuvent facilement surcharger le contrôleur SDN et les tables de commutation des commutateurs, ce qui entraîne une dégradation critique des performances du réseau.

Pour résoudre ces problèmes, nous proposons SDN-Guard, une nouvelle approche pour protéger les réseaux SDN contre les attaques de déni de service et atténuer leurs répercussions sur la performance du réseau. SDN-Guard exploite un système de détection d’intrusion (IDS) pour détecter les éventuelles attaques DdS et atténuer efficacement leur impact par le réacheminement du trafic malveillant, l’ajustement des timeout des règles de commutation et l’agrégation de ces règles dans les tables TCAM des commutateurs. De plus, nous cherchons des solutions pour minimiser le trafic entre les commutateurs et l’IDS sans affecter la précision de detection de l’IDS. Nous proposons donc d’utiliser les techniques d’échantillonnage de trafic et nous établissons un Programme Linéaire en Nombres Entiers (PLNE) pour trouver l’emplacement optimal de l’IDS qui permet de déterminer les commutateurs qui devraient dupliquer leurs flux vers l’IDS afin de minimiser la consommation de bande passante du réseau.

Les expériences que nous effectuons montrent que SDN-Guard maintient la performance du réseau pendant les attaques DdS et réussit à réduire leur impact sur la performance du contrôleur, l’utilisation des tables TCAM du commutateur et de la bande passante du plan de contrôle. De plus, SDN-Guard réduit, d’une manière significative, la perte des paquets ainsi que leur temps moyen de transmission dans le réseau durant les attaques DdS. Les résultats prouvent aussi que le fait de placer soigneusement l’IDS et de bien sélectionner les commutateurs, qui vont dupliquer le trafic pour l’analyse, réduit de 90% le trafic entre les commutateurs et l’IDS. Ils montrent également que la précision de l’IDS reste à 100% en analysant seulement 11% du trafic réseau.

Titre traduit

Mitigation of denial of service attacks in software defined network

Résumé traduit

Software Defined Networking (SDN) has recently emerged as a new networking technology offering an unprecedented programmability that allows network operators to dynamically manage their infrastructure. However, despite these benefits, Deny-of-Service (DoS) attacks are considered a major threat to such networks as they can easily overload the SDN controller and flood switch CAM tables, resulting in a critical degradation of the network performance.

To address this issue, we propose SDN-Guard, a novel holistic approach to protect SDN networks against DoS attacks. SDN-Guard leverages an Intrusion Detection System (IDS) to detect potential DoS attacks and then efficiently mitigate their impact by dynamically rerouting malicious traffic, adjusting flow timeouts and aggregating flow rules. Furthermore, we investigate for solutions to minimize the switch-to-IDS traffic without impacting the IDS accuracy. We hence propose to use sampling techniques and devise an Integer Linear Program to find the optimal placement for the IDS and to determine the switches that should mirror the flows towards it so as to minimize network bandwidth consumption.

Extensive experiments show that SDN-Guard maintains network performance during DoS attacks and succeeds in reducing their impact on the controller performance, switch TCAM usage and control plane bandwidth. Moreover, SDN-Guard can significantly reduce packet loss and average packet round trip time in the network during DoS attacks. Furthermore, our results show that carefully placing the IDS and selecting the switches mirroring the traffic can reduce by up to 90% the switch-to-IDS traffic. They also show that the IDS accuracy remains at 100% by analyzing only 11% of the network traffic.

Type de document: Mémoire ou thèse (Mémoire de maîtrise électronique)
Renseignements supplémentaires: "Mémoire présenté à l'École de technologie supérieure comme exigence partielle à l'obtention de la maîtrise avec mémoire en génie concentration réseaux de télécommunications". Bibliographie : pages 73-76.
Mots-clés libres: Attaques par saturation Prévention. Réseaux SDN. Systèmes de détection d'intrusion (Sécurité informatique) Télécommunications Sécurité Mesures. Télécommunications Trafic Gestion. Performance des réseaux (Télécommunications) Réseautique définie par logiciel (SDN), sécurité des réseaux, attaque de Déni de Service (DdS), précision des IDSs, emplacement de l’IDS, échantillonnage de trafic
Directeur de mémoire/thèse:
Directeur de mémoire/thèse
Zhani, Mohamed Faten
Programme: Maîtrise en ingénierie > Génie
Date de dépôt: 05 janv. 2018 16:30
Dernière modification: 05 janv. 2018 16:30
URI: http://espace.etsmtl.ca/id/eprint/1981

Actions (Identification requise)

Dernière vérification avant le dépôt Dernière vérification avant le dépôt

Statistique

Plus de statistique...