Détection d'anomalies de sûreté et sécurité d'un contrôle centralisé de réseau - TEL - Thèses en ligne Accéder directement au contenu
Thèse Année : 2022

Detection of safety and security anomalies of a centralized network control

Détection d'anomalies de sûreté et sécurité d'un contrôle centralisé de réseau

Loïc Desgeorges
Centre de Recherche en Automatique de Nancy

Résumé

Software Defined Networking (SDN) architectures have been introduced with the objective of providing centralized control by a controller. A consequence of this centralization is that only one entity is in charge of control. As a result, this makes the controller the preferred target for an attack on an SDN architecture. Such an attack would allow an attacker to have a global view on the network, to set up a control aimed at degrading the service etc. Moreover, a simple failure of the controller is also a threat to the network since it would deprive it of control. It can be found in the literature that the multi-controller architecture has been introduced to strengthen the control scheme against these threats. However, such an architecture brings new specificities and to ensure consistency between controllers, a communication interface between them is necessary. This interface constitutes a security threat since an attacker can propagate malicious and erroneous information about the network to other controllers. With this in mind, this work aims to introduce a multi-controller architecture without a communication interface between them. This architecture is composed of a nominal controller in charge of computing the data plan and a second one in charge of detecting anomalies in the decisions taken by the main controller. For this purpose, the behavior of the control activity has been formalized in the form of a extit{template}: in response to a request from the network infrastructure, the controller must set up a data plan within a certain time interval. To be considered abnormal, the controller must respect this but it is not enough. The content of the data plan must then be checked and for this structural properties defining what is considered to be a consistent data plan are introduced. These properties are necessary but not sufficient and consequently a detection method has been proposed according to the type of control considered: deterministic or not. In the deterministic case, the internal variables of the controller are estimated from the coherent decisions taken and observed. Then, it is necessary to verify that the controller does not contradict himself because of the determinism hypothesis. This method is therefore no longer applicable to the non-deterministic case and we propose to establish a likelihood score for the decisions taken by the controller. This score is established according to a multi-criteria approach whose choice of criteria depends on the application case. Here, two criteria have been proposed: verification that the impact of the decisions taken by the controller is plausible and verification that the sequence of decisions taken by the controller is plausible. This method is evaluated according to two types of metrics: reactivity and number of correct decisions made by the controller (precision and recall) in various study cases. In conclusion, the performances show that the proposed methods are applicable but have limitations. Moreover, this work lays the foundations of a detection method but each application is specific to the case study considered.
Les architectures réseau de type Software Defined Networking (SDN) ont été introduites dans l'objectif de proposer un contrôle centralisé par un contrôleur. Une conséquence de cette centralisation est le fait qu'une seule entité soit en charge du contrôle. Par conséquent, cela fait du contrôleur la cible privilégiée en cas d'attaque sur une architecture SDN. Une telle attaque permettrait à un attaquant d'avoir une vue globale sur le réseau, mettre en place un contrôle visant à dégrader le service, etc. De plus, une simple défaillance du contrôleur est également une menace sur le réseau puisque cela le priverait de contrôle. On peut trouver dans la littérature que l'architecture multicontrôleur a été introduite afin de renforcer le plan de contrôle contre ces menaces. Cependant, une telle architecture amène de nouvelles spécificités et pour assurer la cohérence entre les contrôleurs, une interface de communication entre eux est nécessaire. Cette interface constitue une menace pour la sécurité puisqu'un attaquant peut propager des informations malveillantes et erronées sur le réseau aux autres contrôleurs. Dans cet objectif, ces travaux visent à introduire une architecture multicontrôleur sans interface de communication entre eux. Cette architecture est composée d'un contrôleur nominal en charge du calcul du plan de données et un second en charge de la détection d'anomalies dans les décisions prises par le contrôleur principal. Pour cela, le comportement de l'activité de la commande a été formalisé sous la forme d'un extit{template} : en réponse à une requête des infrastructures réseau, le contrôleur doit mettre en place un plan de données dans un certain intervalle de temps. Pour être considéré comme anormal, le contrôleur doit respecter ça, mais ce n'est pas suffisant. Il faut ensuite vérifier le contenu du plan de données et pour cela des propriétés structurelles définissant ce qu'on considère comme étant un plan de données cohérent sont introduites. Ces propriétés sont nécessaires, mais pas suffisantes et en conséquence une méthode de détection a été proposée selon le type de contrôle considéré : déterministe ou non. Dans le cas déterministe, on estime les variables internes du contrôleur à partir des décisions cohérentes prises et observées. Ensuite, il faut vérifier que le contrôleur ne se contredit pas du fait de l'hypothèse de déterminisme. Cette méthode n'est donc plus applicable au cas non déterministe et on propose d'établir un score de vraisemblance aux décisions prises par le contrôleur. Ce score est établi suivant une approche multi critères dont le choix des critères dépend du cas d'application. Ici, deux critères ont étés proposés : vérification que l'impact des décisions prises par le contrôleur est vraisemblable et vérification que la séquence des décisions prises par le contrôleur est vraisemblable. Cette méthode est évaluée selon deux types de métriques : réactivité et nombre de bonnes décisions prises par le contrôleur (précision et rappel) sur divers cas d'étude. En conclusion, les performances montrent que les méthodes proposées sont applicables, mais présentent des limites. De plus, ces travaux posent les fondements d'une méthode de détection, mais chaque application est propre au cas d'étude considéré.

Domaines

Réseaux et télécommunications [cs.NI] Cryptographie et sécurité [cs.CR] Automatique / Robotique
Fichier principal
Vignette du fichier
DDOC_T_2022_0150_DESGEORGES.pdf (5.17 Mo) Télécharger le fichier
Origine : Fichiers produits par l'(les) auteur(s)

Thèses UL  : Connectez-vous pour contacter le contributeur

https://hal.univ-lorraine.fr/tel-03879678

Soumis le : mercredi 30 novembre 2022-15:38:10

Dernière modification le : vendredi 2 février 2024-16:08:13

Archivage à long terme le : jeudi 2 mars 2023-01:01:31

Télécharger pour visualiser

Dates et versions

tel-03879678 , version 1 (30-11-2022)

Identifiants

  • HAL Id : tel-03879678 , version 1

Citer

Loïc Desgeorges. Détection d'anomalies de sûreté et sécurité d'un contrôle centralisé de réseau. Réseaux et télécommunications [cs.NI]. Université de Lorraine, 2022. Français. ⟨NNT : 2022LORR0150⟩. ⟨tel-03879678⟩

Exporter

BibTeX XML-TEI Dublin Core DC Terms EndNote DataCite

Collections

CNRS CRAN UNIV-LORRAINE TDS-MACS LUE-UL THESES-UL GDR_MACS ANR CRAN-MPSI
130 Consultations
41 Téléchargements

Partager

Gmail Facebook X LinkedIn More