- Văn bản
- Lịch sử
B. Experimental evaluationIn order
B. Experimental evaluation
In order to evaluate the dependency of IDS performance on its position in the network, we imagined two different test scenario. In the former, we installed the IDS close to the Cloud Controller, thereby allowing it to sniff and analyze all the traffic flowing to and coming from virtual hosts. At the Cloud Controller’s side, VLAN tags are removed by the virtual bridge, as discussed in previous sections. Therefore, all traffic is visible and the correspondent VLAN is indistinguishable. In the latter, instead, a Network IDS has been installed close to each of the two physical ma- chines. Since each physical cloud node can potentially host virtual hosts belonging to different security groups, the IDS has to perform VLAN tag stripping, before being able to correctly analyze each packet. For each configuration, we evaluated the detection capabilities of the IDS with respect to the selected INVITE flooding attack. In both cases, the IDS’s were able to correctly detect attack instances, issuing alerts communicating the result of packet analysis. Yet, it is interesting to point out how “expensive” such detection process is, showing some interesting properties and giving some insight. In particular, we observed CPU usage, in order to show whether the system hosting the IDS still has some resources to dedicate to detection during a flooding attack. Such an evaluation is useful since modern attacks consist very often in coordinated actions aimed at hitting big targets and totally disrupting networks and services. Furthermore, in the case of cloud computing, where the typical customer can be a company outsourcing service hosting, unfair com- petition between enterprises can become a good motivation for perpetrating dramatically effective attack campaigns. The first thing to point out in the tests’ result discussion is that in both scenarios we were able to detect that a SIP flooding attack was in act. We are confident that such a result is caused by the relatively small impact of the attack itself, which was indeed able to saturate the resources of the SIP server, but not our cloud’s physical resources. In figure 5 we show the CPU load of the physical machine hosting the virtual machine containing the SIP server under attack. The graph clearly shows a significant increment in CPU usage due to both the presence of the virtual machine and of the administrative domain (Dom0). This remains true until the Dom0 is able to perform both packet forwarding actions
(i.e. forwarding packets from the physical NIC to the virtual machine’s virtual NIC) and packet analysis through the IDS. When Dom0 reaches its physical performance limit, it is no more able to forward packets to the attacked virtual machine, and that’s why such machine’s CPU load decreases significantly. Clearly, the shown Dom0 performance pattern is caused by the absence of countermeasures subsequent to attack detection. It is worth pointing out that during the attack, other virtual machines running concurrently with the attacked one underwent a performance degradation, because of the Dom0’s overload. On the other hand, the second physical machine was totally unaffected by the attack. Looking at the second scenario, where the IDS is deployed close to the Cluster Controller, we must take into account that each performance degradation is reflected on the entire cloud. Figure 6 shows the impact of running Snort co-located with the Cluster Controller. The CPU “system-level” load is caused by the packet forwarding activity, while the “user- level” load is mainly caused by the IDS’s activity. During the attack the IDS uses a double amount of CPU time with respect to the system’s CPU time, even though our attack instance is not very powerful. Since an overloaded Cluster Controller is a bottle-neck for the cluster, we should avoid to add such big load on it. Even installing the IDS on a separate machine next to the Cluster Controller would result in an overloaded machine, since it should analyze all the traffic, therefore being prevented from operating properly.
In order to evaluate the dependency of IDS performance on its position in the network, we imagined two different test scenario. In the former, we installed the IDS close to the Cloud Controller, thereby allowing it to sniff and analyze all the traffic flowing to and coming from virtual hosts. At the Cloud Controller’s side, VLAN tags are removed by the virtual bridge, as discussed in previous sections. Therefore, all traffic is visible and the correspondent VLAN is indistinguishable. In the latter, instead, a Network IDS has been installed close to each of the two physical ma- chines. Since each physical cloud node can potentially host virtual hosts belonging to different security groups, the IDS has to perform VLAN tag stripping, before being able to correctly analyze each packet. For each configuration, we evaluated the detection capabilities of the IDS with respect to the selected INVITE flooding attack. In both cases, the IDS’s were able to correctly detect attack instances, issuing alerts communicating the result of packet analysis. Yet, it is interesting to point out how “expensive” such detection process is, showing some interesting properties and giving some insight. In particular, we observed CPU usage, in order to show whether the system hosting the IDS still has some resources to dedicate to detection during a flooding attack. Such an evaluation is useful since modern attacks consist very often in coordinated actions aimed at hitting big targets and totally disrupting networks and services. Furthermore, in the case of cloud computing, where the typical customer can be a company outsourcing service hosting, unfair com- petition between enterprises can become a good motivation for perpetrating dramatically effective attack campaigns. The first thing to point out in the tests’ result discussion is that in both scenarios we were able to detect that a SIP flooding attack was in act. We are confident that such a result is caused by the relatively small impact of the attack itself, which was indeed able to saturate the resources of the SIP server, but not our cloud’s physical resources. In figure 5 we show the CPU load of the physical machine hosting the virtual machine containing the SIP server under attack. The graph clearly shows a significant increment in CPU usage due to both the presence of the virtual machine and of the administrative domain (Dom0). This remains true until the Dom0 is able to perform both packet forwarding actions
(i.e. forwarding packets from the physical NIC to the virtual machine’s virtual NIC) and packet analysis through the IDS. When Dom0 reaches its physical performance limit, it is no more able to forward packets to the attacked virtual machine, and that’s why such machine’s CPU load decreases significantly. Clearly, the shown Dom0 performance pattern is caused by the absence of countermeasures subsequent to attack detection. It is worth pointing out that during the attack, other virtual machines running concurrently with the attacked one underwent a performance degradation, because of the Dom0’s overload. On the other hand, the second physical machine was totally unaffected by the attack. Looking at the second scenario, where the IDS is deployed close to the Cluster Controller, we must take into account that each performance degradation is reflected on the entire cloud. Figure 6 shows the impact of running Snort co-located with the Cluster Controller. The CPU “system-level” load is caused by the packet forwarding activity, while the “user- level” load is mainly caused by the IDS’s activity. During the attack the IDS uses a double amount of CPU time with respect to the system’s CPU time, even though our attack instance is not very powerful. Since an overloaded Cluster Controller is a bottle-neck for the cluster, we should avoid to add such big load on it. Even installing the IDS on a separate machine next to the Cluster Controller would result in an overloaded machine, since it should analyze all the traffic, therefore being prevented from operating properly.
0/5000
B. thử nghiệm đánh giáĐể đánh giá sự phụ thuộc của ID hiệu suất trên vị trí của nó trong mạng, chúng tôi tưởng tượng hai kịch bản thử nghiệm khác nhau. Trong trước đây, chúng tôi cài đặt các ID gần gũi với bộ điều khiển đám mây, do đó cho phép nó để sniff và phân tích tất cả lưu lượng chảy đến và đi từ máy chủ ảo. Bộ điều khiển đám mây bên, VLAN tags được gỡ bỏ bằng cách cầu ảo, như được thảo luận trong phần trước. Do đó, lưu lượng truy cập tất cả là có thể nhìn thấy và phóng viên VLAN là không thể phân biệt. Trong sau này, thay vào đó, một ID mạng đã được cài đặt gần gũi với mỗi vật lý hai ma-cằm. Kể từ khi mỗi nút vật lý đám mây có thể có khả năng lưu trữ máy chủ ảo thuộc nhóm bảo mật khác nhau, các ID đã thực hiện từ khóa VLAN tước, trước khi có thể phân tích một cách chính xác mỗi gói tin. Cho mỗi cấu hình, chúng tôi đánh giá khả năng phát hiện của các ID đối với lời mời đã chọn lũ lụt tấn công. Trong cả hai trường hợp, các ID đã có thể để phát hiện một cách chính xác các trường hợp tấn công, phát hành thông báo giao tiếp là kết quả của gói phân tích. Tuy vậy, nó là thú vị để chỉ ra như thế nào "đắt" như quá trình phát hiện là, Hiển thị một số thú vị thuộc tính và đưa ra một số cái nhìn sâu sắc. Đặc biệt, chúng tôi quan sát thấy CPU sử dụng, để hiển thị cho dù hệ thống lưu trữ các ID vẫn còn có một số nguồn lực dành để phát hiện trong một cuộc tấn công lũ lụt. Một đánh giá là hữu ích kể từ khi cuộc tấn công hiện đại bao gồm rất thường xuyên trong phối hợp hành động nhằm mục đích đánh các mục tiêu lớn và hoàn toàn làm gián đoạn mạng và dịch vụ. Hơn nữa, trong trường hợp của điện toán đám mây, nơi khách hàng điển hình có thể là một công ty gia công phần mềm dịch vụ lưu trữ, com không lành mạnh-đơn khởi kiện giữa các doanh nghiệp có thể trở thành một động lực tốt cho perpetrating chiến dịch tấn công hiệu quả đáng kể. Việc đầu tiên để chỉ ra trong các bài kiểm tra kết quả thảo luận là trong các tình huống cả hai chúng tôi đã có thể phát hiện rằng một SIP lũ lụt tấn công vào hành động. Chúng tôi rất tự tin rằng một kết quả như vậy do tác động tương đối nhỏ của các cuộc tấn công chính nó, mà đã thực sự có thể thấm vào trong các nguồn tài nguyên của máy chủ SIP, nhưng không tài nguyên vật lý của đám mây của chúng tôi. Trong hình 5 chúng tôi hiển thị tải CPU của máy vật lý lưu trữ máy ảo có máy chủ SIP bị tấn công. Đồ thị rõ ràng cho thấy một tăng đáng kể trong việc sử dụng CPU do cả hai sự hiện diện của máy ảo và của vùng hành chính (Dom0). Điều này vẫn đúng cho đến khi Dom0 có thể thực hiện cả hai gói chuyển tiếp hành động(i.e. forwarding packets from the physical NIC to the virtual machine’s virtual NIC) and packet analysis through the IDS. When Dom0 reaches its physical performance limit, it is no more able to forward packets to the attacked virtual machine, and that’s why such machine’s CPU load decreases significantly. Clearly, the shown Dom0 performance pattern is caused by the absence of countermeasures subsequent to attack detection. It is worth pointing out that during the attack, other virtual machines running concurrently with the attacked one underwent a performance degradation, because of the Dom0’s overload. On the other hand, the second physical machine was totally unaffected by the attack. Looking at the second scenario, where the IDS is deployed close to the Cluster Controller, we must take into account that each performance degradation is reflected on the entire cloud. Figure 6 shows the impact of running Snort co-located with the Cluster Controller. The CPU “system-level” load is caused by the packet forwarding activity, while the “user- level” load is mainly caused by the IDS’s activity. During the attack the IDS uses a double amount of CPU time with respect to the system’s CPU time, even though our attack instance is not very powerful. Since an overloaded Cluster Controller is a bottle-neck for the cluster, we should avoid to add such big load on it. Even installing the IDS on a separate machine next to the Cluster Controller would result in an overloaded machine, since it should analyze all the traffic, therefore being prevented from operating properly.
đang được dịch, vui lòng đợi..
Đánh giá thực nghiệm B.
Để đánh giá sự phụ thuộc của hiệu suất IDS vào vị trí của nó trong mạng, chúng tôi tưởng tượng hai kịch bản thử nghiệm khác nhau. Trong cựu, chúng ta cài đặt IDS gần Controller Cloud, do đó cho phép nó để đánh hơi và phân tích tất cả các luồng lưu lượng đến và đi từ máy chủ ảo. Tại phía Controller của Cloud, thẻ VLAN được loại bỏ bởi các cầu ảo, như đã thảo luận trong phần trước. Vì vậy, tất cả lưu lượng truy cập có thể nhìn thấy và các VLAN phóng viên là không thể phân biệt. Năm thứ hai, thay vào đó, một Network IDS đã được cài đặt gần nhau của hai chines ma- vật lý. Vì mỗi nút đám mây vật chất có khả năng có thể lưu trữ máy ảo thuộc nhóm an ninh khác nhau, các IDS có để thực hiện các VLAN tag tước, trước khi có thể phân tích một cách chính xác mỗi gói. Đối với mỗi cấu hình, chúng tôi đánh giá khả năng phát hiện của IDS đối với việc tấn công lũ lụt chọn INVITE với. Trong cả hai trường hợp, của IDS có thể phát hiện chính xác các trường hợp tấn công, phát hành báo giao các kết quả phân tích gói tin. Tuy nhiên, nó là thú vị để chỉ ra làm thế nào "đắt" quá trình phát hiện như vậy được, cho thấy một số đặc tính thú vị và đưa ra một số cái nhìn sâu sắc. Đặc biệt, chúng tôi quan sát sử dụng CPU, để hiển thị cho dù các hệ thống lưu trữ IDS vẫn có một số tài nguyên để dành cho phát hiện trong một cuộc tấn công lũ lụt. Việc đánh giá đó là hữu ích vì các cuộc tấn công hiện đại bao gồm rất thường xuyên trong phối hợp hành động nhằm đánh trúng mục tiêu lớn và hoàn toàn phá vỡ mạng lưới và dịch vụ. Hơn nữa, trong trường hợp của điện toán đám mây, nơi mà khách hàng tiêu biểu có thể là một công ty dịch vụ gia công phần mềm lưu trữ, sự cạnh tranh không lành mạnh giữa các doanh nghiệp có thể trở thành một động lực tốt cho phạm vào các chiến dịch tấn công hiệu quả đáng kể. Điều đầu tiên chỉ ra trong cuộc thảo luận kết quả của bài kiểm tra là trong cả hai kịch bản, chúng tôi đã có thể phát hiện ra rằng một cuộc tấn công SIP lũ lụt là trong hành động. Chúng tôi tin tưởng rằng kết quả như vậy là do sự tác động tương đối nhỏ của các cuộc tấn công chính nó, mà là thực sự có thể thấm vào trong các nguồn tài nguyên của máy chủ SIP, nhưng không phải tài nguyên vật lý đám mây của chúng tôi. Trong hình 5, chúng ta thấy các tải CPU của máy vật lý lưu trữ máy ảo chứa các máy chủ SIP bị tấn công. Biểu đồ cho thấy rõ ràng một tăng đáng kể trong việc sử dụng CPU do cả sự hiện diện của các máy ảo và các lĩnh vực hành chính (Dom0). Điều này vẫn đúng cho đến khi Dom0 có thể thực hiện cả hai hành động chuyển tiếp gói tin
(tức là các gói tin chuyển tiếp từ các NIC vật lý để NIC ảo của máy ảo) và phân tích gói tin thông qua các IDS. Khi Dom0 đạt đến giới hạn hoạt động thể chất của nó, nó không thể chuyển tiếp các gói tin đến máy ảo tấn công nhiều hơn, và đó là lý do tại sao tải CPU máy của người đó sẽ giảm đáng kể. Rõ ràng, mô hình hiệu suất Dom0 thể hiện được gây ra bởi sự vắng mặt của các biện pháp đối phó tiếp theo để tấn công phát hiện. Đó là giá trị chỉ ra rằng trong cuộc tấn công, các máy ảo khác đang chạy đồng thời với một trong những tấn công trải qua một cuộc suy thoái hiệu suất, vì tình trạng quá tải của Dom0. Mặt khác, các máy vật lý thứ hai là hoàn toàn không bị ảnh hưởng bởi các cuộc tấn công. Nhìn vào kịch bản thứ hai, nơi IDS được triển khai gần Controller Cluster, chúng ta phải đưa vào tài khoản mà mỗi suy giảm hiệu suất được phản ánh trên toàn bộ đám mây. Hình 6 cho thấy tác động của Snort chạy đồng vị trí với các điều khiển Cluster. Các CPU "hệ thống cấp" tải được gây ra bởi các hoạt động chuyển tiếp gói tin, trong khi các "mức user-" tải chủ yếu là do hoạt động của IDS. Trong cuộc tấn công IDS sử dụng một số tiền gấp đôi thời gian của CPU theo thời gian CPU của hệ thống với, mặc dù dụ tấn công của chúng tôi không phải là rất mạnh mẽ. Kể từ khi một cụm điều khiển quá tải là một nút cổ chai cho các cluster, chúng ta nên tránh để thêm tải lớn như vậy vào nó. Ngay cả việc cài đặt IDS trên một máy tính riêng biệt bên cạnh các điều khiển cụm sẽ cho kết quả trong một máy quá tải, vì nó phải phân tích tất cả các lưu lượng truy cập, do đó bị ngăn cản hoạt động đúng cách.
Để đánh giá sự phụ thuộc của hiệu suất IDS vào vị trí của nó trong mạng, chúng tôi tưởng tượng hai kịch bản thử nghiệm khác nhau. Trong cựu, chúng ta cài đặt IDS gần Controller Cloud, do đó cho phép nó để đánh hơi và phân tích tất cả các luồng lưu lượng đến và đi từ máy chủ ảo. Tại phía Controller của Cloud, thẻ VLAN được loại bỏ bởi các cầu ảo, như đã thảo luận trong phần trước. Vì vậy, tất cả lưu lượng truy cập có thể nhìn thấy và các VLAN phóng viên là không thể phân biệt. Năm thứ hai, thay vào đó, một Network IDS đã được cài đặt gần nhau của hai chines ma- vật lý. Vì mỗi nút đám mây vật chất có khả năng có thể lưu trữ máy ảo thuộc nhóm an ninh khác nhau, các IDS có để thực hiện các VLAN tag tước, trước khi có thể phân tích một cách chính xác mỗi gói. Đối với mỗi cấu hình, chúng tôi đánh giá khả năng phát hiện của IDS đối với việc tấn công lũ lụt chọn INVITE với. Trong cả hai trường hợp, của IDS có thể phát hiện chính xác các trường hợp tấn công, phát hành báo giao các kết quả phân tích gói tin. Tuy nhiên, nó là thú vị để chỉ ra làm thế nào "đắt" quá trình phát hiện như vậy được, cho thấy một số đặc tính thú vị và đưa ra một số cái nhìn sâu sắc. Đặc biệt, chúng tôi quan sát sử dụng CPU, để hiển thị cho dù các hệ thống lưu trữ IDS vẫn có một số tài nguyên để dành cho phát hiện trong một cuộc tấn công lũ lụt. Việc đánh giá đó là hữu ích vì các cuộc tấn công hiện đại bao gồm rất thường xuyên trong phối hợp hành động nhằm đánh trúng mục tiêu lớn và hoàn toàn phá vỡ mạng lưới và dịch vụ. Hơn nữa, trong trường hợp của điện toán đám mây, nơi mà khách hàng tiêu biểu có thể là một công ty dịch vụ gia công phần mềm lưu trữ, sự cạnh tranh không lành mạnh giữa các doanh nghiệp có thể trở thành một động lực tốt cho phạm vào các chiến dịch tấn công hiệu quả đáng kể. Điều đầu tiên chỉ ra trong cuộc thảo luận kết quả của bài kiểm tra là trong cả hai kịch bản, chúng tôi đã có thể phát hiện ra rằng một cuộc tấn công SIP lũ lụt là trong hành động. Chúng tôi tin tưởng rằng kết quả như vậy là do sự tác động tương đối nhỏ của các cuộc tấn công chính nó, mà là thực sự có thể thấm vào trong các nguồn tài nguyên của máy chủ SIP, nhưng không phải tài nguyên vật lý đám mây của chúng tôi. Trong hình 5, chúng ta thấy các tải CPU của máy vật lý lưu trữ máy ảo chứa các máy chủ SIP bị tấn công. Biểu đồ cho thấy rõ ràng một tăng đáng kể trong việc sử dụng CPU do cả sự hiện diện của các máy ảo và các lĩnh vực hành chính (Dom0). Điều này vẫn đúng cho đến khi Dom0 có thể thực hiện cả hai hành động chuyển tiếp gói tin
(tức là các gói tin chuyển tiếp từ các NIC vật lý để NIC ảo của máy ảo) và phân tích gói tin thông qua các IDS. Khi Dom0 đạt đến giới hạn hoạt động thể chất của nó, nó không thể chuyển tiếp các gói tin đến máy ảo tấn công nhiều hơn, và đó là lý do tại sao tải CPU máy của người đó sẽ giảm đáng kể. Rõ ràng, mô hình hiệu suất Dom0 thể hiện được gây ra bởi sự vắng mặt của các biện pháp đối phó tiếp theo để tấn công phát hiện. Đó là giá trị chỉ ra rằng trong cuộc tấn công, các máy ảo khác đang chạy đồng thời với một trong những tấn công trải qua một cuộc suy thoái hiệu suất, vì tình trạng quá tải của Dom0. Mặt khác, các máy vật lý thứ hai là hoàn toàn không bị ảnh hưởng bởi các cuộc tấn công. Nhìn vào kịch bản thứ hai, nơi IDS được triển khai gần Controller Cluster, chúng ta phải đưa vào tài khoản mà mỗi suy giảm hiệu suất được phản ánh trên toàn bộ đám mây. Hình 6 cho thấy tác động của Snort chạy đồng vị trí với các điều khiển Cluster. Các CPU "hệ thống cấp" tải được gây ra bởi các hoạt động chuyển tiếp gói tin, trong khi các "mức user-" tải chủ yếu là do hoạt động của IDS. Trong cuộc tấn công IDS sử dụng một số tiền gấp đôi thời gian của CPU theo thời gian CPU của hệ thống với, mặc dù dụ tấn công của chúng tôi không phải là rất mạnh mẽ. Kể từ khi một cụm điều khiển quá tải là một nút cổ chai cho các cluster, chúng ta nên tránh để thêm tải lớn như vậy vào nó. Ngay cả việc cài đặt IDS trên một máy tính riêng biệt bên cạnh các điều khiển cụm sẽ cho kết quả trong một máy quá tải, vì nó phải phân tích tất cả các lưu lượng truy cập, do đó bị ngăn cản hoạt động đúng cách.
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- this orange tastes sweet
- Marry me , just marry me
- Như trao đổi trước đây, chúng tôi khi nh
- Tôi không tìm thấy người dùng nào có ema
- สิ่งดีที่สุดสำหรับแม่
- Cuối tuần
- you know how much your own ability are.
- Tôi không tìm thấy người dùng nào có ema
- Anh à
- you know how much your ability are.
- Bạn đi cấm trại ?
- traffic - Irrigation
- Bố tôi vừa đăng instagram
- Như trao đổi trước đây, chúng tôi khi nh
- I am very sorry because I only know a li
- Như trao đổi trước đây, chúng tôi khi nh
- who planned the economy in the name of s
- triptic digestion
- my younger sister has chosen teach as he
- Mệt mỏi
- Còn bạn
- 아버지는 인스 타 그램을 기록하고있다
- this orange tastes sweet
- High: Slight 50-100%, Moderate 10-50%, S
