Show simple item record

Trust models on adversarial distributed security agents



dc.contributor.advisorGarcía Sebastián
dc.contributor.authorDita Hollmannová
dc.date.accessioned2020-09-04T13:58:22Z
dc.date.available2020-09-04T13:58:22Z
dc.date.issued2020-09-01
dc.identifierKOS-960815772305
dc.identifier.urihttp://hdl.handle.net/10467/90252
dc.description.abstractSystémy pro odhalení průniku (IPS) slouží k hledání a blokování síťových útoků. Ačkoliv může v jedné síti být více zařízení vybavených systémem IPS, v současném stavu techniky nevíme o žádném sytému IPS, který by spolupracoval s ostatními a sdílel své nálezy. V této diplomové práci jsme navrhli a vytvořili P2P protokol Dovecot pro sdílení dat o síťových útocích. V našem protokolu se jednotlivé systémy IPS stávají členy Dovecot P2P sítě, posílají si navzájem své nálezy a používají je ke zpřesnění a zlepšení vlastních rozhodnutí. Ačkoliv předmětem protokolu je posílání dat, daleko důležitější je správné vyhodnocení toho, nakolik jsou získaná data důvěryuhodná. Kvůli ochraně sítě před škodlivými členy jsme navrhli model důvěry $\Omega$-Trust, který určuje důvěryhodnost každého člena na základě jeho síťového provozu. Pokud by škodliví členové zůstali v síti bez povšimnutí, mohli by rozesílat nepravdivé nálezy a tím znehodnotit rozhodovací schopnosti IPS. Výstupem protokolu pro danou IP adresu jsou hodnoty $\Omega$-score a $\Omega$-confidence, získané sloučením nálezů od členů sítě, s přihlédnutím k jejich důvěryhodnosti. Tyto hodnoty vyjadřují názor členů sítě na danou IP adresu, a nakolik si jsou členové sítě touto hodnotou jisti. Systém IPS obě hodnoty využije při rozhodování o blokování konkrétní IP adresy. Metody popsané v této práci jsme implementovali a zveřejnili. První částí implementace je modul Dovecot pro svobodný IPS software Slips v jazyce Python, druhou částí je síťová knihovna Pigeon, psaná v jazyce Go. Obě komponenty spolu komunikují skrz databázový systém Redis. Implementací obou částí byla do systému Slips přidána možnost připojit se do P2P sítě a využívat nálezy ostatních členů. Účinnost protokolu Dovecot jsme ověřili v uměle vytvořeném prostředí, kdy jsme zkoušeli různé taktiky útočníka i škodlivých členů sítě. Pro porovnání přesnosti jsme použili samostatný systém IPS bez P2P sdílení, který byl schopný správně rozlišit útočníka od běžného zařízení s úspěšností 75 procent. V sítích, kde byli všichni členové sítě škodliví, lze vybrat takové parametry, aby přesnost pod 75 procent nikdy neklesla. Pokud předpokládáme, že většina členů sítě nemá škodlivé úmysly, lze parametry nastavit tak, že systém dokáže rozlišit útočníka od běžného zařízení s přesností až 92.5 procenta.cze
dc.description.abstractIntrusion Prevention Systems (IPSs) are used to detect and block attacks in the network, and it is not uncommon to have multiple devices with an IPS present in a network. However, as far as we know in the current state-of-the-art IPSs, none of them help each other by sharing the attacks they have encountered. In this thesis, we propose, design and implement a complete P2P protocol, called Dovecot, to share detection information between IPSs. Individual IPSs become peers in the Dovecot P2P network, and they share their detections and use data from others to improve their blocking decisions. Although sharing data is important, the main problem is how much that data can be trusted. To protect the peers from adversaries that are trying to manipulate their decisions, we design the $\Omega$-Trust trust model for Dovecot, that computes the trust of a peer based on its network behavior. Identifying malicious peers is important, because otherwise adversaries could corrupt the decisions of the IPS. Contrary to other solutions, our trust computation can not be externally manipulated by the remote peers. The trust on each peer is used to weight the data they send and compute the local $\Omega$-score and $\Omega$-confidence of each IP address. These values represent what the network believes about the IP address and how trustworthy the information is, and they are later used by the local IPS as a network opinion to either block or not block the IP address. The proposed methods were implemented as a Dovecot module for the free software Stratosphere Linux IPS (Slips), along with a networking library named Pigeon. This enables Slips to share detection data and take advantage of shared knowledge, while making the implementation available for others to build on. The module is written in Python, Pigeon is written in GoLang, and the two processes interact with each other and Slips through Redis channels. We evaluated the performance of Dovecot in a simulated environment, testing multiple attack strategies and malicious peer strategies. We assume the attacker has multiple devices, some of them running the attack and others sharing false reports to confuse the IPS. We simulate 5 scenarios, each with a different strategy of the malicious reporters. The number of malicious reporter peers varies from none to nine and they use three different types of reputation attacks. The detection accuracy of the Dovecot framework was compared to the performance of an IPS without any P2P mechanism in place, which was 75\%. In the worst-case scenario where \textit{all} the peers in the p2p network are malicious and they lie about \textit{every} data they send, Dovecot can still give the same performance as an IPS alone. In a normal network, where it is likely that no malicious peers will be encountered, Dovecot can have a performance of 92.5\% if a small amount of false positives is allowed. The same results are achieved even with malicious peers in the network, as long as the majority of peers is honest. If the user assumes that the probability of a malicious peer joining the Dovecot network is low, then Dovecot can greatly improve the detections of IPS systems.eng
dc.publisherČeské vysoké učení technické v Praze. Vypočetní a informační centrum.cze
dc.publisherCzech Technical University in Prague. Computing and Information Centre.eng
dc.rightsA university thesis is a work protected by the Copyright Act. Extracts, copies and transcripts of the thesis are allowed for personal use only and at one?s own expense. The use of thesis should be in compliance with the Copyright Act http://www.mkcr.cz/assets/autorske-pravo/01-3982006.pdf and the citation ethics http://knihovny.cvut.cz/vychova/vskp.htmleng
dc.rightsVysokoškolská závěrečná práce je dílo chráněné autorským zákonem. Je možné pořizovat z něj na své náklady a pro svoji osobní potřebu výpisy, opisy a rozmnoženiny. Jeho využití musí být v souladu s autorským zákonem http://www.mkcr.cz/assets/autorske-pravo/01-3982006.pdf a citační etikou http://knihovny.cvut.cz/vychova/vskp.htmlcze
dc.subjectSystém pro odhalení průniku (IPS)cze
dc.subjectPeer-to-Peercze
dc.subjectModel důvěrycze
dc.subjectIntrusion Prevention Systemeng
dc.subjectPeer-to-Peereng
dc.subjectTrust Modeleng
dc.titleModely důvěry pro distibuované sdílení dat v nedůvěryhodné síticze
dc.titleTrust models on adversarial distributed security agentseng
dc.typediplomová prácecze
dc.typemaster thesiseng
dc.contributor.refereeRehák Martin
theses.degree.disciplineKybernetická bezpečnostcze
theses.degree.grantorkatedra počítačůcze
theses.degree.programmeOtevřená informatikacze


Files in this item





This item appears in the following Collection(s)

Show simple item record