Gestión de la confianza en redes colaborativas centradas en el intercambio seguro de alertas para la detección de ataques distribuidos

Abstract

Las alertas que los IDSs necesitan intercambiar para la detección de ataques distribuidos deben ser evaluadas antes de que sean aceptadas como verdaderas. Comportamientos maliciosos de un IDS, enviando alertas fraudulentas, haría sospechar al sistema de intentos de alteración de sus políticas de seguridad, cuando no es así. La gestión de la confianza para modelar el comportamiento de los IDSs se convierte en una herramienta obligatoria en la evaluación de las alertas. Además, también se deben proteger los canales de comunicación entre los IDSs para que el intercambio de alertas se realice de manera segura, garantizando que no se comprometa la confidencialidad e integridad de las alertas intercambiadas ni que sean enviadas por IDSs no legítimos del sistema. En este contexto, el objetivo de esta tesis doctoral es la definición, diseño y puesta en marcha de un Sistema Colaborativo de Alertas (CAS) para detectar ataques distribuidos, con el intercambio seguro de las alertas generadas por IDSs confiables en entornos multidominio. Concretamente: Sobre la seguridad en el intercambio de las alertas: Analizar las limitaciones para garantizar la autenticidad de los IDSs como entidades legítimas del CAS, así como la confidencialidad e integridad de las alertas intercambiadas. Diseñar un algoritmo para la validación de certificados X.509 en entornos multidominio. Implantar y evaluar en rendimiento el algoritmo de construcción y validación de caminos de certificación. Sobre la confianza en las alertas generadas por los IDSs: Estudiar y analizar mecanismos para el modelado del comportamiento de un IDS. Desarrollar un modelo para detectar alertas fraudulentas, generadas por IDSs maliciosos. Diseñar un modelo para la asignación inicial de la confianza a nuevas unidades de detección.  Analizar las principales técnicas de optimización en la detección de ataques distribuidos y proporcionar un sistema con el que maximizar la calidad de los procesos de detección. Desplegar y evaluar los modelos de confianza basados en reputación para maximizar el ratio en la identificación de falsos positivos, debido a comportamientos malintencionados. Para ello, se ha empleado la siguiente metodología: Análisis crítico de los principales retos ante los que se enfrentan los sistemas de detección de ataques distribuidos, sobre todo en el intercambio seguro de las alertas. Identificación de los fallos y las oportunidades en las tecnologías existentes para la correcta detección de ataques distribuidos. Definición de modelos de confianza para el intercambio seguro de las alertas, así como la identificación de comportamientos maliciosos de los emisores de dichas alertas. Evaluación minuciosa de todas las propuestas realizadas mediante intensas simulaciones y pruebas experimentales. A continuación se enumeran los principales resultados que se han obtenido durante el desarrollo de esta tesis doctoral. Gestión de la seguridad en el intercambio de las alertas con criptografía de clave pública. Propuesta sobre la definición de los certificados X.509 mediante una serie de requisitos para una correcta interoperabilidad entre los dominios de seguridad de una federación de PKIs. Sobre esta federación, se propone un algoritmo de construcción y validación de caminos de certificación, como parte de un Servicio de Validación, para validar certificados en entornos multidominio. Su evaluación se ha hecho analizando 268.048 certificados de la federación de PKI más representativa en la actualidad, la Federal Bridge Certification Authority. Gestión de la confianza basada en reputación para la detección de alertas fraudulentas. Sistema de reputación con el que modelar el comportamiento que tienen los IDSs a la hora de publicar y compartir sus alertas. La gestión de esta confianza se ha realizado mediante dos mecanismos basados en reputación. Uno a nivel intradominio, para ver la probabilidad que las alertas intercambiadas entre los IDSs de un dominio de seguridad son verdaderas, y otro a nivel interdominio, con el que confirmar la confianza entre los dominios de seguridad y/o administrativos al evaluar como cierta las alertas que intercambian. La evaluación de los dos modelos arroja la posibilidad de detectar hasta un 95% de falsos positivos. Asignación de un valor inicial de la confianza de una nueva unidad de detección. Sistema con el que evaluar la confianza que se puede depositar en una nueva unidad de detección. Sobre todo, en nuevos sistemas de detección instalados en los dispositivos móviles de los usuarios finales. La evaluación del sistema propuesto confirma la correcta identificación de comportamientos maliciosos de hasta un 30% de los dispositivos móviles, pudiendo aislarlos a partir de entonces sin tener en cuenta las alertas fraudulentas que pudieran generar. Sistema adaptativo para maximizar la calidad de las alertas con el despliegue de la mejor configuración de monitorización posible. Sistema de reputación basado en la diversidad de la confianza entre todos los valores de reputación de los IDSs, con el que obtener y aplicar el mejor modelo de despliegue posible de los IDSs para maximizar la confianza en sus procesos de detección. Mediante la evaluación realizada se ratifica que la diversidad de la confianza, como métrica heurística para medir la calidad en la detección, permite obtener el mejor modelo de despliegue de los IDSs para tener mejores evidencias sobre sus alertas, con el fin último de detectar ataques distribuidos de la manera más precisa posible.

The alerts that the IDSs need to exchange for detecting distributed attacks should be assessed before endorsing them as true. Malicious behaviors from an IDS, sending out fraudulent alerts, can lead the system to suspect alteration attempts of it security policies, when it is not real. The trust management for modeling the IDSs' behavior is claimed as a must tool in assessing security alerts. Furthermore, the communication channels between the IDSs should also be protected to ensure the exchange of alerts is carried out safely, assuring that the alerts' confidentiality and integrity is not compromised nor these alerts are sent by IDSs not legitimate of the system. In this context, the main objective of this PhD Thesis is the definition, design and start-up of a Collaborative Alert System (CAS) for detecting distributed attacks, with the support of the secure exchange of the alerts produced by reliable IDSs in multi-domain environments. Specifically: Regarding the security in exchanging alerts: Analyze the limitations for ensuring the authenticity of the IDSs as legitimate entities of the CAS, as well as the confidentiality and integrity of the alerts exchanged. Design an algorithm for the X.509 certificate validation in multi-domain environments. Deploy and evaluate in performance the certification path building and validation algorithm. Regarding the confidence on the alerts produced by the IDSs: Study and analyze mechanisms for modeling the behavior of an IDS. Develop a model capable of detecting fraudulent alerts, produced by malicious IDSs. Design a model aimed at assigning an initial trust score to a new detection unit. Analyze the main optimization techniques for detecting distributed attacks and, as a result, provide a system to maximize the quality of the detection processes. Deploy and evaluate the reputation-based trust models to maximize the ratio in identifying false positives, because of malicious behavior. To this end, the following methodology has been conducted: Critical analysis of the major challenges to which the distributed attack detection systems are faced, above all the secure exchange of alerts. Identification of failures and opportunities in existing technologies for a proper detection of distributed attacks. Definition of trust models for securely exchanging alerts, as well as identifying malicious behavior of issuers reporting these alerts. Thorough evaluation of all the proposals made in this PhD Thesis, through conducting a pool of intensive simulations and experimental tests. In the next, we enumerate the main results obtained along the development of this PhD Thesis. Trust management in exchanging alerts based on public key cryptography. Proposal about the definition of X.509 certificates under certain requirements for a proper interoperability between the security domains of a PKI federation. Using this federation, a certification path building and validation algorithm is also proposed, as part of a Validation Service, to validate certificates in multi-domain environments. The evaluation of this proposal is conducted by analyzing 268,048 certificates of the most representative existing PKI federation, the Federal Bridge Certification Authority. Trust management based on reputation for detecting fraudulent alerts. This reputation system shapes the IDSs' behavior when generating and also sharing their alerts. This trust management is performed by two reputation-based mechanisms. One at intra-domain level, for checking the probability that the alerts shared between the IDSs of a security domain are true, and another at inter-domain level, with which to prove the trustworthiness of security and/or administrative domains when assessing the alerts exchanged between them as true. The evaluation of both models yields the possibility of detecting up to 95% false positives. Assignment of an initial trust score to a new detection unit. System with which to assess the confidence that can be deposited on a new detection unit. Above all, the new detection systems installed in the end-users' mobile devices. The evaluation of the proposed system proves the proper identification of malicious behaviors up to 30% mobile devices, thereby isolating them from that point regardless the fraudulent alerts they could produce. Adaptive system to maximize the alerts quality with the deployment of the best possible monitoring configuration. Reputation system based on the trust diversity by considering all the IDSs' reputation scores. This system is able to generate and deploy the best placement model of the IDSs aimed to maximize the confidence on their detection processes. Through the appropriate assessment, it is confirmed that the trust diversity, as a heuristic metric to measure the detection quality, provides the best placement model of the IDSs for collecting better evidences on their alerts, in order to detect distributed attacks more precisely.