Funcionalidades e recursos nativos da computação em nuvem na detecção, identificação e mitigação de ataques a serviços e a clientes: uma contribuição pelo uso de aprendizado de máquina.
Nome: JOÃO HENRIQUE GONÇALVES MEDEIROS CORRÊA
Tipo: Tese de doutorado
Data de publicação: 29/10/2021
Orientador:
Nome |
Papel |
|---|---|
| RODOLFO DA SILVA VILLACA | Orientador |
Banca:
| Nome |
Papel |
|---|---|
| ANILTON SALLES GARCIA | Examinador Externo |
| JUGURTA ROSA MONTALVÃO FILHO | Examinador Externo |
| MAGNOS MARTINELLO | Examinador Interno |
| RAFAEL SILVA GUIMARÃES | Examinador Externo |
| RODOLFO DA SILVA VILLACA | Orientador |
Resumo: Os ataques, sejam eles de negação de serviço ou de intrusão, são desafios permanentes em redes de
computadores, com um agravamento maior devido à migração de serviços para ambientes de computação
em nuvem. Esse novo paradigma de computação, com serviços que compartilham a mesma infraestrutura,
potencializa os problemas gerados por esses ataques, levando a consequências desastrosas para usuários,
empresas e corporações.
Na literatura, normalmente são requeridos middleboxes de rede, como Deep Packet Inspectors (DPI), para
realizar a tarefa de detectar os ataques. Esses sistemas acabam sendo dependentes das assinaturas dos
ataques, dos protocolos utilizados, além disso, têm uma grande dificuldade na localização da coleta do
tráfego dentro do data center. Somado a isso, a inserção desses sistemas acarreta um aumento do tempo
de serviço, afetando métricas relacionadas a Qualidade de Serviço (QoS) e de Experiência (QoE). Se o
tráfego está sendo utilizado em conjunto com algoritmos de criptografia, o funcionamento do DPI fica
prejudicado.
Diversas infraestruturas de nuvem têm sistemas de telemetria nativa poderosos, normalmente utilizados
para monitoramento dos recursos e para realização de faturamento (billing). A Tese aqui defendida é que
algoritmos de aprendizado de máquina auxiliam na análise aprofundada dos imensos volumes de
informações oriundas do serviço nativo de coleta de dados da infraestrutura da nuvem, que disponibiliza o
monitoramento de uma infinidade de métricas tanto de hosts físicos quanto virtuais.
Ou seja, os algoritmos de aprendizado de máquina são utilizados nos datasets coletados do serviço de
telemetria nativa da infraestrutura da nuvem para realizar a detecção e identificação. Esses datasets
contêm informações da máquina virtual, vítima hospedada no ambiente de nuvem. Após realizar a
detecção e identificação, mecanismo do próprio ambiente de nuvem foi aplicado para mitigar os ataques,
como exemplificamos com o autoscaling. Para desenvolver uma Prova de Conceito (PoC), foi utilizado
um ambiente experimental com a plataforma de nuvem \\\\\\\"OpenStack\\\\\\\", com ataques de negação de serviço
e de intrusão. Em relação aos dados da telemetria, estes foram utilizados como entrada de algoritmos de
aprendizado de máquina, para classificar a presença de ataques, resultando em boa acurácia e boa relação
entre os falsos positivos e os verdadeiros positivos. Por fim, verificou-se que o mecanismo de mitigação
ofereceu maior disponibilidade para clientes durante os ataques de negação de serviço.
