- Văn bản
- Lịch sử
A. Building the proposed architectu
A. Building the proposed architecture
In this paper we will address the problem of deploying multiple instances of an IDS within a cloud computing system, allowing to rely on multiple security observation points. Eucalyptus, the cloud computing system used for the implementation of the experimental scenario, is character- ized by the presence of a frontend, which also operates as a NAT, traversed by all traffic flowing to, and coming from, virtual hosts inside the cloud. Therefore, it is reasonable to think of an IDS installation which only relies on a single IDS installed near the frontend. Such an IDS would be able to see all the traffic related to virtual hosts hosted in the cloud, and provide a very good point of observation. The availability of such a large and significant amount of data, indeed, is obtained at the cost of high computational resources consumption. In fact, by forcing the analysis of all traffic to be performed at a single point, the machine physically hosting the IDS can be easily overloaded, losing packets, and producing inaccurate detection results. On the other hand, it is possible to deploy a network based IDS close to each of the physical machines. This configuration helps in reducing the load each IDS is subject to, thus helping to overcome the issue of packet loss. In fact, even though a virtual host can be subject to a Denial of Service attack, IDS’s installed on other physical machines will not be affected, therefore preserving their detection power intact.
1) Snort: The IDS we chose to deploy in the proposed architecture is Snort [10]. Snort is a popular signature-based network intrusion detection system, mainly implementing the misuse based detection paradigm. Its modular archi- tecture makes it easily extendable, and has fostered the integration of anomaly based detection plugins as well. In general, Snort’s behavior is determined by rules, describing significant characteristics of events or specific attack sig- natures. Snort rules are organized in several groups, trying to separate them both in terms of the targeted attack type or application scenario. For the sake of efficiency, rules are mainly structured in two parts: a header part, and a body part. The rule header contains information about the type of action to perform when the rule is matched. Such actions include, but are not limited to, the possibility of generating an alert. Furthermore, the header contains information about source and destination IP addresses and ports, thus allowing to apply each rule to restricted subsets of the analyzed traffic flows. The rule body, instead, contains information about the type of action to perform on packets in order to check whether they match the rule; furthermore, it can also contain byte sequences to check against the packet’s payload. Typically, attack signatures are searched for in the payload of packets, and rules matching the content of such payloads are logged using one of the many available logging facilities, alongside with information allowing the identification of the traffic flow ransporting attack-related traffic.
In order to identify which rules have to be evaluated for a packet, a fast multi-pattern search for the longest content string of each rule of a packets port group is performed on the packets payload. If this initial string matching algorithm finds a potentially matching rule, other mandatory fields of the rule (e.g., source and destination IP addresses) are checked and, upon success, the optional conditions of that rule are validated. This processing can include an expensive pattern matching operation which uses all the keywords of a rule and also validates their position. This two-phase approach has the advantage that not all rules need to be fully evaluated. Therefore, any deployment strategy allowing to reduce the load of each instance of the IDS, yet preserving the overall detection capabilities of the IDS ensemble, is worth investigating, since it can allow for a more effective detection of ongoing attacks.
In this paper we will address the problem of deploying multiple instances of an IDS within a cloud computing system, allowing to rely on multiple security observation points. Eucalyptus, the cloud computing system used for the implementation of the experimental scenario, is character- ized by the presence of a frontend, which also operates as a NAT, traversed by all traffic flowing to, and coming from, virtual hosts inside the cloud. Therefore, it is reasonable to think of an IDS installation which only relies on a single IDS installed near the frontend. Such an IDS would be able to see all the traffic related to virtual hosts hosted in the cloud, and provide a very good point of observation. The availability of such a large and significant amount of data, indeed, is obtained at the cost of high computational resources consumption. In fact, by forcing the analysis of all traffic to be performed at a single point, the machine physically hosting the IDS can be easily overloaded, losing packets, and producing inaccurate detection results. On the other hand, it is possible to deploy a network based IDS close to each of the physical machines. This configuration helps in reducing the load each IDS is subject to, thus helping to overcome the issue of packet loss. In fact, even though a virtual host can be subject to a Denial of Service attack, IDS’s installed on other physical machines will not be affected, therefore preserving their detection power intact.
1) Snort: The IDS we chose to deploy in the proposed architecture is Snort [10]. Snort is a popular signature-based network intrusion detection system, mainly implementing the misuse based detection paradigm. Its modular archi- tecture makes it easily extendable, and has fostered the integration of anomaly based detection plugins as well. In general, Snort’s behavior is determined by rules, describing significant characteristics of events or specific attack sig- natures. Snort rules are organized in several groups, trying to separate them both in terms of the targeted attack type or application scenario. For the sake of efficiency, rules are mainly structured in two parts: a header part, and a body part. The rule header contains information about the type of action to perform when the rule is matched. Such actions include, but are not limited to, the possibility of generating an alert. Furthermore, the header contains information about source and destination IP addresses and ports, thus allowing to apply each rule to restricted subsets of the analyzed traffic flows. The rule body, instead, contains information about the type of action to perform on packets in order to check whether they match the rule; furthermore, it can also contain byte sequences to check against the packet’s payload. Typically, attack signatures are searched for in the payload of packets, and rules matching the content of such payloads are logged using one of the many available logging facilities, alongside with information allowing the identification of the traffic flow ransporting attack-related traffic.
In order to identify which rules have to be evaluated for a packet, a fast multi-pattern search for the longest content string of each rule of a packets port group is performed on the packets payload. If this initial string matching algorithm finds a potentially matching rule, other mandatory fields of the rule (e.g., source and destination IP addresses) are checked and, upon success, the optional conditions of that rule are validated. This processing can include an expensive pattern matching operation which uses all the keywords of a rule and also validates their position. This two-phase approach has the advantage that not all rules need to be fully evaluated. Therefore, any deployment strategy allowing to reduce the load of each instance of the IDS, yet preserving the overall detection capabilities of the IDS ensemble, is worth investigating, since it can allow for a more effective detection of ongoing attacks.
0/5000
A. xây dựng kiến trúc được đề xuấtTrong bài này chúng tôi sẽ giải quyết vấn đề của việc triển khai nhiều trường hợp của một ID trong một đám mây máy tính hệ thống, cho phép dựa vào nhiều điểm quan sát an ninh. Bạch đàn, đám mây điện toán hệ thống được sử dụng cho việc thực hiện của các kịch bản thử nghiệm, là nhân vật-ized bởi sự hiện diện của một lối vào, cũng hoạt động như một NAT, ngang của tất cả lưu lượng chảy vào, và đến từ, các máy chủ ảo bên trong đám mây. Vì vậy, nó là hợp lý để suy nghĩ của một cài đặt ID mà chỉ dựa trên một ID duy nhất được cài đặt gần lối vào. Như vậy một ID sẽ có thể xem tất cả lưu lượng truy cập liên quan đến máy chủ ảo được tổ chức trong đám mây, và cung cấp một điểm rất tốt của các quan sát. Sự sẵn có của như vậy lớn và đáng kể số lượng dữ liệu, thực sự, thu được với chi phí của tài nguyên tính toán cao tiêu thụ. Trong thực tế, bằng cách buộc các phân tích của tất cả lưu lượng truy cập được thực hiện ở một điểm duy nhất, máy tính thể chất lưu trữ các ID có thể được dễ dàng bị quá tải, mất gói dữ liệu, và sản xuất kết quả phát hiện không chính xác. Mặt khác, nó có thể triển khai một mạng lưới dựa trên ID gần gũi với mỗi người trong số các máy vật lý. Cấu hình này giúp trong việc giảm tải mỗi ID phải tuân thủ, do đó giúp đỡ để khắc phục vấn đề của mất mát gói. Trong thực tế, ngay cả khi một máy chủ ảo có thể được chủ đề cho một từ chối dịch vụ tấn công, ID của cài đặt trên khác vật lý máy sẽ không bị ảnh hưởng, do đó bảo tồn quyền lực phát hiện của họ còn nguyên vẹn.1) snort: Các The ID, chúng tôi đã chọn để triển khai kiến trúc được đề xuất là Snort [10]. Snort là hệ thống phát hiện xâm nhập mạng dựa trên chữ ký phổ biến, chủ yếu là thực hiện các mô hình dựa trên phát hiện sử dụng sai. Mô-đun archi-tecture làm cho nó dễ dàng mở rộng, và đã bồi dưỡng sự tích hợp của bất thường dựa trên phát hiện bổ sung là tốt. Nói chung, hành vi của Snort được xác định bởi quy tắc, mô tả các đặc điểm quan trọng của sự kiện hoặc tấn công cụ thể sig-bản chất. Snort quy tắc được tổ chức trong một số nhóm, cố gắng để tách chúng cả hai trong điều khoản của các cuộc tấn công nhắm mục tiêu loại hoặc ứng dụng kịch bản. Vì lợi ích của hiệu quả, quy định là chủ yếu là có cấu trúc trong hai phần: một phần tiêu đề, và một phần cơ thể. Tiêu đề quy tắc chứa thông tin về loại hành động để thực hiện khi các quy tắc được kết hợp. Hành động như vậy bao gồm, nhưng không giới hạn, khả năng tạo ra một cảnh báo. Hơn nữa, tiêu đề chứa thông tin về mã nguồn và điểm đến địa chỉ IP và cổng, do đó cho phép để áp dụng mỗi quy tắc để hạn chế tập hợp con của lưu lượng truy cập phân tích chảy. Nội quy tắc, thay vào đó, chứa thông tin về loại hành động để thực hiện trên gói dữ liệu để kiểm tra cho dù họ phù hợp với các quy tắc; hơn nữa, nó cũng có thể chứa các byte chuỗi để kiểm tra đối với tải trọng của gói. Thông thường, chữ ký tấn công được tìm kiếm trong trọng tải gói dữ liệu, và quy tắc phù hợp với nội dung của dữ liệu như vậy sẽ được lưu lại bằng cách sử dụng một trong các cơ sở khai thác gỗ có sẵn nhiều, cùng với thông tin cho phép xác định giao liên quan đến cuộc tấn công ransporting dòng chảy của giao thông.In order to identify which rules have to be evaluated for a packet, a fast multi-pattern search for the longest content string of each rule of a packets port group is performed on the packets payload. If this initial string matching algorithm finds a potentially matching rule, other mandatory fields of the rule (e.g., source and destination IP addresses) are checked and, upon success, the optional conditions of that rule are validated. This processing can include an expensive pattern matching operation which uses all the keywords of a rule and also validates their position. This two-phase approach has the advantage that not all rules need to be fully evaluated. Therefore, any deployment strategy allowing to reduce the load of each instance of the IDS, yet preserving the overall detection capabilities of the IDS ensemble, is worth investigating, since it can allow for a more effective detection of ongoing attacks.
đang được dịch, vui lòng đợi..
A. Xây dựng kiến trúc đề xuất
Trong bài báo này, chúng tôi sẽ giải quyết các vấn đề về việc triển khai nhiều trường hợp của một IDS trong một hệ thống điện toán đám mây, cho phép dựa trên nhiều điểm quan sát an ninh. Bạch đàn, các hệ thống điện toán đám mây sử dụng cho việc thực hiện các kịch bản thử nghiệm, được trưng trưng bởi sự hiện diện của một lối vào, mà còn hoạt động như một NAT, đi qua bởi tất cả lưu lượng chảy vào, và đến từ đâu, máy ảo bên trong đám mây. Vì vậy, nó là hợp lý để nghĩ về một cài đặt IDS mà chỉ dựa vào một IDS duy nhất được cài đặt gần lối vào. Một IDS như vậy sẽ có thể xem tất cả các lưu lượng truy cập có liên quan đến máy chủ ảo được lưu trữ trong đám mây, và cung cấp một điểm rất tốt của sự quan sát. Tính sẵn có của một số lượng lớn và có ý nghĩa như thế trên, quả thật, được lấy tại các chi phí tiêu thụ tài nguyên tính toán cao. Trong thực tế, bằng cách buộc các phân tích của tất cả các lưu lượng truy cập được thực hiện tại một điểm duy nhất, các máy vật lý lưu trữ các IDS có thể được dễ dàng quá tải, mất gói tin, và sản xuất các kết quả phát hiện không chính xác. Mặt khác, nó có thể triển khai một mạng IDS dựa trên đóng cho mỗi máy vật lý. Cấu hình này giúp trong việc giảm tải mỗi IDS là đối tượng, do đó giúp khắc phục các vấn đề mất gói tin. Trong thực tế, mặc dù một máy chủ ảo có thể phải chịu một cuộc tấn công từ chối dịch vụ, cài đặt trên máy vật lý khác sẽ không bị ảnh hưởng, do đó bảo tồn năng lượng phát hiện của họ còn nguyên vẹn IDS.
1) Snort: Các IDS, chúng tôi đã chọn để triển khai trong kiến trúc đề xuất Snort là [10]. Snort là một mạng lưới hệ thống phát hiện xâm nhập dựa trên chữ ký phổ biến, chủ yếu là thực hiện các mô hình phát hiện sử dụng sai dựa. Tecture trúc mô-đun của nó làm cho nó dễ dàng mở rộng, và đã nuôi dưỡng sự tích hợp các plugin phát hiện bất thường dựa là tốt. Nói chung, hành vi của Snort được xác định bởi các quy tắc, mô tả đặc điểm quan trọng của sự kiện hoặc tính chất tấn công cụ thể Sigma. Snort quy tắc này được tổ chức trong một vài nhóm, cố gắng tách chúng cả về kiểu tấn công nhắm mục tiêu hoặc kịch bản ứng dụng. Vì lợi ích của hiệu quả, quy tắc chủ yếu được cấu trúc theo hai phần: phần đầu trang, và một phần cơ thể. Các tiêu đề quy tắc chứa thông tin về các loại hành động để thực hiện khi các quy tắc được khớp lệnh. Hành động này bao gồm, nhưng không giới hạn, khả năng tạo ra một cảnh báo. Hơn nữa, tiêu đề chứa thông tin về IP nguồn và địa chỉ đích và cổng, do đó cho phép áp dụng từng quy tắc để hạn chế các tập hợp con của các luồng giao thông phân tích. Các cơ quan quy định, thay vào đó, có chứa thông tin về các loại hành động để thực hiện các gói để kiểm tra xem chúng phù hợp với quy tắc; Hơn nữa, nó cũng có thể chứa các trình tự byte kiểm tra đối với tải trọng của gói tin. Thông thường, dấu hiệu tấn được tìm kiếm trong payload của gói tin, và các quy tắc phù hợp với các nội dung trọng tải như vậy được đăng nhập bằng một trong những phương tiện khai thác gỗ nhiều có sẵn, cùng với thông tin cho phép xác định các luồng giao thông ransporting giao thông tấn công liên quan.
Để để xác định các quy tắc phải được đánh giá một gói tin, tìm kiếm đa mẫu nhanh cho chuỗi dài nhất nội dung của từng quy tắc của một nhóm các gói cảng được thực hiện trên các gói tải trọng. Nếu thuật toán chuỗi kết hợp ban đầu này phát hiện ra một quy tắc phù hợp với khả năng, lĩnh vực bắt buộc khác của qui tắc (ví dụ, IP nguồn và địa chỉ đích) được kiểm tra, và khi thành công, các điều kiện bắt buộc của quy tắc đó được xác nhận. Quá trình này có thể bao gồm một mô hình phù hợp với hoạt động tốn kém mà sử dụng tất cả các từ khóa của một quy tắc và cũng xác nhận vị trí của họ. Tiếp cận theo hai giai đoạn này có lợi thế mà không phải tất cả các quy tắc cần phải được đánh giá đầy đủ. Vì vậy, bất kỳ chiến lược triển khai cho phép để giảm tải của mỗi thể hiện của IDS, chưa bảo khả năng phát hiện tổng thể của quần thể IDS, là giá trị điều tra, vì nó có thể cho phép một phát hiện hiệu quả hơn các cuộc tấn công liên tục.
Trong bài báo này, chúng tôi sẽ giải quyết các vấn đề về việc triển khai nhiều trường hợp của một IDS trong một hệ thống điện toán đám mây, cho phép dựa trên nhiều điểm quan sát an ninh. Bạch đàn, các hệ thống điện toán đám mây sử dụng cho việc thực hiện các kịch bản thử nghiệm, được trưng trưng bởi sự hiện diện của một lối vào, mà còn hoạt động như một NAT, đi qua bởi tất cả lưu lượng chảy vào, và đến từ đâu, máy ảo bên trong đám mây. Vì vậy, nó là hợp lý để nghĩ về một cài đặt IDS mà chỉ dựa vào một IDS duy nhất được cài đặt gần lối vào. Một IDS như vậy sẽ có thể xem tất cả các lưu lượng truy cập có liên quan đến máy chủ ảo được lưu trữ trong đám mây, và cung cấp một điểm rất tốt của sự quan sát. Tính sẵn có của một số lượng lớn và có ý nghĩa như thế trên, quả thật, được lấy tại các chi phí tiêu thụ tài nguyên tính toán cao. Trong thực tế, bằng cách buộc các phân tích của tất cả các lưu lượng truy cập được thực hiện tại một điểm duy nhất, các máy vật lý lưu trữ các IDS có thể được dễ dàng quá tải, mất gói tin, và sản xuất các kết quả phát hiện không chính xác. Mặt khác, nó có thể triển khai một mạng IDS dựa trên đóng cho mỗi máy vật lý. Cấu hình này giúp trong việc giảm tải mỗi IDS là đối tượng, do đó giúp khắc phục các vấn đề mất gói tin. Trong thực tế, mặc dù một máy chủ ảo có thể phải chịu một cuộc tấn công từ chối dịch vụ, cài đặt trên máy vật lý khác sẽ không bị ảnh hưởng, do đó bảo tồn năng lượng phát hiện của họ còn nguyên vẹn IDS.
1) Snort: Các IDS, chúng tôi đã chọn để triển khai trong kiến trúc đề xuất Snort là [10]. Snort là một mạng lưới hệ thống phát hiện xâm nhập dựa trên chữ ký phổ biến, chủ yếu là thực hiện các mô hình phát hiện sử dụng sai dựa. Tecture trúc mô-đun của nó làm cho nó dễ dàng mở rộng, và đã nuôi dưỡng sự tích hợp các plugin phát hiện bất thường dựa là tốt. Nói chung, hành vi của Snort được xác định bởi các quy tắc, mô tả đặc điểm quan trọng của sự kiện hoặc tính chất tấn công cụ thể Sigma. Snort quy tắc này được tổ chức trong một vài nhóm, cố gắng tách chúng cả về kiểu tấn công nhắm mục tiêu hoặc kịch bản ứng dụng. Vì lợi ích của hiệu quả, quy tắc chủ yếu được cấu trúc theo hai phần: phần đầu trang, và một phần cơ thể. Các tiêu đề quy tắc chứa thông tin về các loại hành động để thực hiện khi các quy tắc được khớp lệnh. Hành động này bao gồm, nhưng không giới hạn, khả năng tạo ra một cảnh báo. Hơn nữa, tiêu đề chứa thông tin về IP nguồn và địa chỉ đích và cổng, do đó cho phép áp dụng từng quy tắc để hạn chế các tập hợp con của các luồng giao thông phân tích. Các cơ quan quy định, thay vào đó, có chứa thông tin về các loại hành động để thực hiện các gói để kiểm tra xem chúng phù hợp với quy tắc; Hơn nữa, nó cũng có thể chứa các trình tự byte kiểm tra đối với tải trọng của gói tin. Thông thường, dấu hiệu tấn được tìm kiếm trong payload của gói tin, và các quy tắc phù hợp với các nội dung trọng tải như vậy được đăng nhập bằng một trong những phương tiện khai thác gỗ nhiều có sẵn, cùng với thông tin cho phép xác định các luồng giao thông ransporting giao thông tấn công liên quan.
Để để xác định các quy tắc phải được đánh giá một gói tin, tìm kiếm đa mẫu nhanh cho chuỗi dài nhất nội dung của từng quy tắc của một nhóm các gói cảng được thực hiện trên các gói tải trọng. Nếu thuật toán chuỗi kết hợp ban đầu này phát hiện ra một quy tắc phù hợp với khả năng, lĩnh vực bắt buộc khác của qui tắc (ví dụ, IP nguồn và địa chỉ đích) được kiểm tra, và khi thành công, các điều kiện bắt buộc của quy tắc đó được xác nhận. Quá trình này có thể bao gồm một mô hình phù hợp với hoạt động tốn kém mà sử dụng tất cả các từ khóa của một quy tắc và cũng xác nhận vị trí của họ. Tiếp cận theo hai giai đoạn này có lợi thế mà không phải tất cả các quy tắc cần phải được đánh giá đầy đủ. Vì vậy, bất kỳ chiến lược triển khai cho phép để giảm tải của mỗi thể hiện của IDS, chưa bảo khả năng phát hiện tổng thể của quần thể IDS, là giá trị điều tra, vì nó có thể cho phép một phát hiện hiệu quả hơn các cuộc tấn công liên tục.
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- a teacher is a skilled worked who makes
- Động kinh
- l M NOT MAD NET HUG
- chênh lệch giá
- viền chữ trắng
- him not play no telephone
- người bán hàng
- WonderWoman was not very popular at firs
- “nó vừa là phương tiện lưu giữ giá trị,
- học yêu tôi và tôi cũng thế
- If the first year technical support/assi
- If you have finished posting the comment
- The prices of the software are described
- Development Corporation techniques of bu
- Items are on sale for 40% off next Sunda
- VI. RELATED WORKS AND CONCLUSIONThe appl
- hành
- VI. RELATED WORKS AND CONCLUSIONThe appl
- 開立扣款單
- exhibition of vocational colleges and di
- họ yêu tôi và tôi cũng thế
- My friend and former coaching client Ala
- Why does Glasgow become a large city?
- Liegen
