A Prediction-based Approach for Anomaly Detection in the Cloud

Abstract

Computer networks are present everywhere, making them a key aspect to the proper functioning of products and services that are often served exclusively through the Internet. The pervasive nature of computer networks makes them particularly suitable to attacks. Therefore, more than just functional systems, we are also looking for systems that are reliable, available, scalable and secure. A solution to meet the growing demands of industries and customers alike is cloud computing. Among several other advantages of this paradigm, the possibility of increased profits by reducing costs with infrastructure and software licenses, while allowing for virtually unlimited growth is particularly relevant. However, these advantages are many times shadowed by the increased security risks that steam from having different entities involved, with relationships and responsibilities not properly identified. This may lead to misuse or malicious attacks against cloud computing, which may compromise sensitive information that is stored in shared third party facilities, and many open issues still prevail. Due to these and other issues, it is extremely important to devise new solutions that increase the trustworthiness of cloud computing environments and help to keep the continued growth in demand for virtualized resources. Facing this challenge, this work aims to study, analyze, propose, develop and evaluate several models and mechanisms to fill these gaps. Firstly, a systematic approach for selecting a group of candidate predictors that is suitable for cloud network traffic prediction is proposed. On the basis of this scenario, a predictor model for cloud network traffic that involves a tradeoff between prediction error, historical data dependence, computational costs, and timely response is proposed. Next, an Anomaly Detection System to support decision-making and counter attack malicious actions against cloud computing systems is presented. This contribution relies on network traffic prediction to obtain features that represent the expected appropriate behaviour of the cloud network traffic used jointly with a Support Vector Machine model for detecting anomalous events in the cloud environment. Finally, a mechanism for determining the similarity level between features of the alarms is proposed. This mechanism aims to optimize the efficiency for generating alarms, decreasing the network data traffic to manage the IDS and its associated transfer costs. The benefits and drawbacks of the contributions were demonstrated in realistic simulations using data from real network traces. Furthermore, the evaluations were conducted with well-known metrics and the results show that all the proposed mechanisms were able to outperform similar proposals in literature.

Redes de computadores estão presentes por todos os lados, se tornando um ponto chave para o funcionamento adequado de produtos e serviços que são oferecidos exclusivamente através da Internet. A natureza pervasiva das redes de computadores as tornam sujeitas a ataques. Desse modo, mais que apenas sistemas funcionais, também estamos a procura de sistemas que são confiáveis, disponíveis, escaláveis e seguros. Uma solução que vai de encontro com a crescente demanda da indústria e clientes é a computação em nuvem. Entre muitas outras vantagens desse paradigma, a possibilidade de aumentar lucros através da redução de custos com infraestrutura e licenças de software, ao mesmo tempo que permite um crescimento praticamente ilimitado é relevante. No entanto, essas vantagens são muitas vezes obstruídas pelo aumento dos riscos de segurança que cobrem as entidades envolvidas, com relacionamentos e responsabilidades não propriamente estabelecidos. Isso pode levar a abusos ou ataques maliciosos contra a computação em nuvem, o qual pode comprometer informação sensível que é armazenada e em instalações de terceiros compartilhada. Devido a esses e outros problemas, é de extrema importância conceber novas soluções que aumentem a confiança do ambiente de computação em nuvem e ajude a manter um crescimento contínuo na demanda por esses recursos. Diante deste desafio, esta tese tem como objetivo estudar, analisar, propor, desenvolver e avaliar vários modelos e mecanismos para preencher essas lacunas. Em primeiro lugar, uma abordagem sistemática para a seleção de um grupo de preditores candidatos adequados para a previsão do tráfego da rede em nuvem é proposta. Com base nesse cenário, um modelo de predição para o tráfego de rede em nuvem que envolve uma relação entre erro de predição, dependência histórica de dados, custos computacionais e tempo de resposta é proposto. Em seguida, um Sistema de Detecção de Anomalias para apoiar a tomada de decisões e combater ações mal intencionadas contra sistemas na nuvem é apresentado. Esta contribuição baseia-se na previsão de tráfego de rede para obter variáveis que representam o comportamento adequado esperado do tráfego de rede usado em conjunto com um modelo de Máquina de Vetores de Suporte para a detecção de eventos anômalos no ambiente da nuvem. Finalmente, um mecanismo para determinar o nível de similaridade entre as variáveis que descrevem um alarme é proposto. Este mecanismo visa otimizar a eficiência na geração de alarmes, diminuindo o tráfego de dados para gerenciar um IDS e seus custos de transferência associados. Os benefícios e desvantagens das contribuições foram demonstrados em simulações realistas usando dados de rede reais. Além disso, as avaliações foram realizadas com métricas bem conhecidas e os resultados mostram que os mecanismos propostos foram capazes de superar propostas similares na literatura.