Modely důvěry pro distibuované sdílení dat v nedůvěryhodné síti

Abstract

Systémy pro odhalení průniku (IPS) slouží k hledání a blokování síťových útoků. Ačkoliv může v jedné síti být více zařízení vybavených systémem IPS, v současném stavu techniky nevíme o žádném sytému IPS, který by spolupracoval s ostatními a sdílel své nálezy. V této diplomové práci jsme navrhli a vytvořili P2P protokol Dovecot pro sdílení dat o síťových útocích. V našem protokolu se jednotlivé systémy IPS stávají členy Dovecot P2P sítě, posílají si navzájem své nálezy a používají je ke zpřesnění a zlepšení vlastních rozhodnutí. Ačkoliv předmětem protokolu je posílání dat, daleko důležitější je správné vyhodnocení toho, nakolik jsou získaná data důvěryuhodná. Kvůli ochraně sítě před škodlivými členy jsme navrhli model důvěry $\Omega$-Trust, který určuje důvěryhodnost každého člena na základě jeho síťového provozu. Pokud by škodliví členové zůstali v síti bez povšimnutí, mohli by rozesílat nepravdivé nálezy a tím znehodnotit rozhodovací schopnosti IPS. Výstupem protokolu pro danou IP adresu jsou hodnoty $\Omega$-score a $\Omega$-confidence, získané sloučením nálezů od členů sítě, s přihlédnutím k jejich důvěryhodnosti. Tyto hodnoty vyjadřují názor členů sítě na danou IP adresu, a nakolik si jsou členové sítě touto hodnotou jisti. Systém IPS obě hodnoty využije při rozhodování o blokování konkrétní IP adresy. Metody popsané v této práci jsme implementovali a zveřejnili. První částí implementace je modul Dovecot pro svobodný IPS software Slips v jazyce Python, druhou částí je síťová knihovna Pigeon, psaná v jazyce Go. Obě komponenty spolu komunikují skrz databázový systém Redis. Implementací obou částí byla do systému Slips přidána možnost připojit se do P2P sítě a využívat nálezy ostatních členů. Účinnost protokolu Dovecot jsme ověřili v uměle vytvořeném prostředí, kdy jsme zkoušeli různé taktiky útočníka i škodlivých členů sítě. Pro porovnání přesnosti jsme použili samostatný systém IPS bez P2P sdílení, který byl schopný správně rozlišit útočníka od běžného zařízení s úspěšností 75 procent. V sítích, kde byli všichni členové sítě škodliví, lze vybrat takové parametry, aby přesnost pod 75 procent nikdy neklesla. Pokud předpokládáme, že většina členů sítě nemá škodlivé úmysly, lze parametry nastavit tak, že systém dokáže rozlišit útočníka od běžného zařízení s přesností až 92.5 procenta.

Intrusion Prevention Systems (IPSs) are used to detect and block attacks in the network, and it is not uncommon to have multiple devices with an IPS present in a network. However, as far as we know in the current state-of-the-art IPSs, none of them help each other by sharing the attacks they have encountered. In this thesis, we propose, design and implement a complete P2P protocol, called Dovecot, to share detection information between IPSs. Individual IPSs become peers in the Dovecot P2P network, and they share their detections and use data from others to improve their blocking decisions. Although sharing data is important, the main problem is how much that data can be trusted. To protect the peers from adversaries that are trying to manipulate their decisions, we design the $\Omega$-Trust trust model for Dovecot, that computes the trust of a peer based on its network behavior. Identifying malicious peers is important, because otherwise adversaries could corrupt the decisions of the IPS. Contrary to other solutions, our trust computation can not be externally manipulated by the remote peers. The trust on each peer is used to weight the data they send and compute the local $\Omega$-score and $\Omega$-confidence of each IP address. These values represent what the network believes about the IP address and how trustworthy the information is, and they are later used by the local IPS as a network opinion to either block or not block the IP address. The proposed methods were implemented as a Dovecot module for the free software Stratosphere Linux IPS (Slips), along with a networking library named Pigeon. This enables Slips to share detection data and take advantage of shared knowledge, while making the implementation available for others to build on. The module is written in Python, Pigeon is written in GoLang, and the two processes interact with each other and Slips through Redis channels. We evaluated the performance of Dovecot in a simulated environment, testing multiple attack strategies and malicious peer strategies. We assume the attacker has multiple devices, some of them running the attack and others sharing false reports to confuse the IPS. We simulate 5 scenarios, each with a different strategy of the malicious reporters. The number of malicious reporter peers varies from none to nine and they use three different types of reputation attacks. The detection accuracy of the Dovecot framework was compared to the performance of an IPS without any P2P mechanism in place, which was 75\%. In the worst-case scenario where \textit{all} the peers in the p2p network are malicious and they lie about \textit{every} data they send, Dovecot can still give the same performance as an IPS alone. In a normal network, where it is likely that no malicious peers will be encountered, Dovecot can have a performance of 92.5\% if a small amount of false positives is allowed. The same results are achieved even with malicious peers in the network, as long as the majority of peers is honest. If the user assumes that the probability of a malicious peer joining the Dovecot network is low, then Dovecot can greatly improve the detections of IPS systems.