Towards a Content-oriented Security Plane for Named Data Networking : Application to Content Poisoning Attack
Sécurité orientée contenu pour les réseaux NDN - application aux attaques par empoisonnement de type CPA
Résumé
Nowadays, the Internet has evolved far from itsinitial design. Motivated by growing change requirementsto its core, the Information- CentricNetworking (ICN) paradigm is proposed as a cleanslateapproach for the Future Internet to address thisissue and Named Data Networking (NDN) is the mostmature proposal of ICN architectures. However, anovel approach also requires a significant effort todeploy, manage, and secure it. In this thesis, weproposed a content-oriented security plane for NDNand chose Content Poisoning Attack as the use-caseto evaluate our proposal. In this context, firstly, wehave proposed a micro detector which indicates if ametric is shifted from its normal behavior. Moreover,we also proposed a correlation engine using aBayesian Network that gathers the alerts from allmetrics and performs an inference to predict if arouter is under attack. Secondly, we have proposeda content-oriented orchestration for the security ofNDN. For this purpose, we defined a TOSCA profil forthe NDN network by extending base nodes to addNDN properties. Moreover, typical NDN securitypolicies are added to TOSCA policies for security orperformance incidents. Finally, we propose a content-oriented security plan to monitor NDN. Morespecifically, security functions can be distributed inNamed Function Networking (NFN), which is a content-oriented network that allows distributing thecomputation task in the network. We use the Bayesiananomaly detection as a use-case to demonstratethat the proposed approach can improve the performance.
Internet a évolué et s’est éloigné de sa conceptioninitiale. Le paradigme de réseau orienté contenu(ICN) est proposé comme une approche pourrésoudre ce problème et Named Data Networking(NDN) est la proposition la plus mature des architecturesICN. Cependant, elle nécessite encore un effortconsidérable pour la déployer, la gérer et lasécuriser. Dans cette thèse, nous proposons un plande sécurité orienté contenu pour les réseaux NDN etavons choisi l’attaque par empoisonnement decontenu CPA comme cas d'utilisation pour évaluernotre proposition. Premièrement, nous avons proposéun micro-détecteur pour déceler les déviationsde métriques par rapport à leur comportement normalet un moteur de corrélation utilisant les réseauxbayésiens afin de combiner les micro-alertes etdétecter l'occurrence d’attaques. Deuxièmement,nous avons proposé une orchestration orientéecontenu pour la sécurité de NDN. Nous avons définiun profil TOSCA en étendant les noeuds de base pourajouter des propriétés NDN et avons ajouté des politiquesde sécurité NDN pour répondre aux incidentsde sécurité ou de performance. Enfin, nous avonsproposé un plan de contrôle de sécurité orientécontenu pour surveiller NDN. Plus spécifiquement,les fonctions de sécurité peuvent être distribuéesdans Named Function Networking qui est un réseauorienté contenu et permet de répartir la tâche decalcul dans le réseau. Nous utilisons la détectiond’anomalie Bayesienne comme cas d'utilisation pourdémontrer que l'approche proposée peut améliorerles performances.
Origine : Version validée par le jury (STAR)