Please use this identifier to cite or link to this item: https://hdl.handle.net/10316/81235
Title: A Prediction-based Approach for Anomaly Detection in the Cloud
Other Titles: Uma abordagem baseada em predição para Detecção de Anomalias na Nuvem
Authors: Dalmazo, Bruno Lopes 
Orientador: Vilela, João P.
Curado, Marília
Keywords: Security; Cloud Computing; Network Traffic Prediction; Intrusion Detection System; Alarm Management; Segurança; Computação em Nuvem; Predição de Tráfego de Rede; Sistemas de Detecção de Intrusão; Gerenciamento de Alarmes
Issue Date: 1-Oct-2018
Project: info:eu-repo/grantAgreement/FCT/3599-PPCDT/110953/PT/TRONE - Trustworthy and Resilient Operations in a Network Environment 
metadata.degois.publication.location: Coimbra
Abstract: Computer networks are present everywhere, making them a key aspect to the proper functioning of products and services that are often served exclusively through the Internet. The pervasive nature of computer networks makes them particularly suitable to attacks. Therefore, more than just functional systems, we are also looking for systems that are reliable, available, scalable and secure. A solution to meet the growing demands of industries and customers alike is cloud computing. Among several other advantages of this paradigm, the possibility of increased profits by reducing costs with infrastructure and software licenses, while allowing for virtually unlimited growth is particularly relevant. However, these advantages are many times shadowed by the increased security risks that steam from having different entities involved, with relationships and responsibilities not properly identified. This may lead to misuse or malicious attacks against cloud computing, which may compromise sensitive information that is stored in shared third party facilities, and many open issues still prevail. Due to these and other issues, it is extremely important to devise new solutions that increase the trustworthiness of cloud computing environments and help to keep the continued growth in demand for virtualized resources. Facing this challenge, this work aims to study, analyze, propose, develop and evaluate several models and mechanisms to fill these gaps. Firstly, a systematic approach for selecting a group of candidate predictors that is suitable for cloud network traffic prediction is proposed. On the basis of this scenario, a predictor model for cloud network traffic that involves a tradeoff between prediction error, historical data dependence, computational costs, and timely response is proposed. Next, an Anomaly Detection System to support decision-making and counter attack malicious actions against cloud computing systems is presented. This contribution relies on network traffic prediction to obtain features that represent the expected appropriate behaviour of the cloud network traffic used jointly with a Support Vector Machine model for detecting anomalous events in the cloud environment. Finally, a mechanism for determining the similarity level between features of the alarms is proposed. This mechanism aims to optimize the efficiency for generating alarms, decreasing the network data traffic to manage the IDS and its associated transfer costs. The benefits and drawbacks of the contributions were demonstrated in realistic simulations using data from real network traces. Furthermore, the evaluations were conducted with well-known metrics and the results show that all the proposed mechanisms were able to outperform similar proposals in literature.
Redes de computadores estão presentes por todos os lados, se tornando um ponto chave para o funcionamento adequado de produtos e serviços que são oferecidos exclusivamente através da Internet. A natureza pervasiva das redes de computadores as tornam sujeitas a ataques. Desse modo, mais que apenas sistemas funcionais, também estamos a procura de sistemas que são confiáveis, disponíveis, escaláveis e seguros. Uma solução que vai de encontro com a crescente demanda da indústria e clientes é a computação em nuvem. Entre muitas outras vantagens desse paradigma, a possibilidade de aumentar lucros através da redução de custos com infraestrutura e licenças de software, ao mesmo tempo que permite um crescimento praticamente ilimitado é relevante. No entanto, essas vantagens são muitas vezes obstruídas pelo aumento dos riscos de segurança que cobrem as entidades envolvidas, com relacionamentos e responsabilidades não propriamente estabelecidos. Isso pode levar a abusos ou ataques maliciosos contra a computação em nuvem, o qual pode comprometer informação sensível que é armazenada e em instalações de terceiros compartilhada. Devido a esses e outros problemas, é de extrema importância conceber novas soluções que aumentem a confiança do ambiente de computação em nuvem e ajude a manter um crescimento contínuo na demanda por esses recursos. Diante deste desafio, esta tese tem como objetivo estudar, analisar, propor, desenvolver e avaliar vários modelos e mecanismos para preencher essas lacunas. Em primeiro lugar, uma abordagem sistemática para a seleção de um grupo de preditores candidatos adequados para a previsão do tráfego da rede em nuvem é proposta. Com base nesse cenário, um modelo de predição para o tráfego de rede em nuvem que envolve uma relação entre erro de predição, dependência histórica de dados, custos computacionais e tempo de resposta é proposto. Em seguida, um Sistema de Detecção de Anomalias para apoiar a tomada de decisões e combater ações mal intencionadas contra sistemas na nuvem é apresentado. Esta contribuição baseia-se na previsão de tráfego de rede para obter variáveis que representam o comportamento adequado esperado do tráfego de rede usado em conjunto com um modelo de Máquina de Vetores de Suporte para a detecção de eventos anômalos no ambiente da nuvem. Finalmente, um mecanismo para determinar o nível de similaridade entre as variáveis que descrevem um alarme é proposto. Este mecanismo visa otimizar a eficiência na geração de alarmes, diminuindo o tráfego de dados para gerenciar um IDS e seus custos de transferência associados. Os benefícios e desvantagens das contribuições foram demonstrados em simulações realistas usando dados de rede reais. Além disso, as avaliações foram realizadas com métricas bem conhecidas e os resultados mostram que os mecanismos propostos foram capazes de superar propostas similares na literatura.
Description: PhD Thesis in Information Science and Technology submitted to the University of Coimbra
URI: https://hdl.handle.net/10316/81235
Rights: openAccess
Appears in Collections:FCTUC Eng.Informática - Teses de Doutoramento

Files in This Item:
Show full item record

Page view(s) 1

3,900
checked on Oct 29, 2024

Download(s) 1

15,622
checked on Oct 29, 2024

Google ScholarTM

Check


Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.