DDoS attack detection in the context of a large-scale cloud service provider
Détection d'attaques DDoS dans le contexte d'un fournisseur cloud de grande envergure
Résumé
The objective of this thesis is the conception and development of a system for detecting volumetric DDoS attacks, integrated within a cloud infrastructure. This novel proposition aims to supplant an existing system deemed to be inadequately adaptable and operationally complex for OVHcloud engineers. To achieve this objective, the thesis is structured around four primary axes.Firstly, a comprehensive review of the scientific literature is undertaken to apprehend the issues associated with detecting volumetric attacks within the specific context of cloud environments. Since their emergence in the early 2000s, DDoS attacks have continually increased in sophistication and magnitude. Environments such as OVHcloud are subjected to hundreds of daily DDoS attacks, with some exceeding the terabit traffic threshold. In a primary contribution, a detailed examination of a year's worth of attacks targeting the OVHcloud infrastructure reveals that few prior works take such levels of volume into account. This initial observation underscores the necessity of adapting existing state-of-the-art solutions for application in high-performance environments.In a secondary facet, it is demonstrated that the available datasets for research lack statistical compatibility with the observed conditions within this study's framework. Widely employed metrics in scientific literature fail to capture everyday realities. This shortfall generates issues both in terms of devising context-specific solutions and in reproducing research outcomes. From the perspective of hosting providers, the absence of suitable datasets is partially attributed to the difficulties faced by the academic community in accessing industrial infrastructures, predominantly under the purview of major private-sector multinationals. Considerations linked to the confidentiality of personally identifiable information within such datasets also impede progress. Thus, in a significant tertiary contribution, a traffic generator proposal is formulated, adhering to the specific statistical properties of the studied cloud infrastructure.Leveraging this heightened comprehension of the intrinsic challenges faced by cloud service providers in detecting DDoS attacks, as well as the obstacles posed by the replication of real-world scenarios, encompassing both normal traffic and attacks, a fourth and final facet, presented in the form of an industrial patent, is devoted to delineating an architecture for detecting volumetric DDoS attacks. This architecture must facilitate the integration of detection algorithms while remaining maintainable by domain experts. Furthermore, it should be designed to address issues pertaining to the network load engendered by an infrastructure accommodating millions of clients across the globe.
L'objet de cette thèse est la conception et le développement d'un système de détection des attaques DDoS volumétriques, intégré au sein d'une infrastructure en nuage (cloud). Cette nouvelle proposition vise à remplacer un système préexistant qui a été jugé peu adaptable et complexe à exploiter par les ingénieurs d'OVHcloud. Afin d'atteindre cet objectif, le travail de thèse est articulé autour de quatre axes majeurs.Tout d'abord, une revue exhaustive de la littérature scientifique est entreprise pour appréhender les problématiques associées à la détection des attaques volumétriques dans le contexte spécifique des environnements en nuage. Les attaques DDoS, depuis leur avènement au début des années 2000, n'ont cessé de gagner en sophistication et en ampleur. Les environnements tels que celui d'OVHcloud font l'objet de centaines d'attaques DDoS quotidiennes, dont certaines dépassent le seuil du téraoctet de trafic. Dans une première contribution, l'examen détaillé d'une année d'attaques visant l'infrastructure d'OVHcloud révèle que peu de travaux antérieurs tiennent compte de tels niveaux de volumétrie. Cette constatation initiale met en évidence la nécessité d'adapter les solutions de pointe existantes afin qu'elles puissent être appliquées dans des environnements à haute performance.Dans un second volet, il est démontré que les ensembles de données disponibles pour la recherche sont peu compatibles sur le plan statistique avec les conditions observées dans le cadre de cette étude. Les métriques largement utilisées dans la littérature scientifique ne parviennent pas à capturer la réalité quotidienne. Cette lacune génère des problématiques, tant du point de vue de la conception de solutions adaptées à ce contexte spécifique que de la reproductibilité des travaux de recherche. Du point de vue des hébergeurs, l'absence de jeux de données appropriés s'explique partiellement par les difficultés rencontrées par le milieu académique pour accéder aux infrastructures industrielles, majoritairement sous l'égide de grandes multinationales du secteur privé. Les considérations liées à la confidentialité des données à caractère personnel présentes dans de tels jeux de données constituent également un frein. C'est ainsi que dans un troisième apport significatif, une proposition de générateur de trafic est formulée, respectant les propriétés statistiques spécifiques à l'infrastructure cloud étudiée.Fort de cette compréhension accrue des problématiques internes aux fournisseurs de services en nuage pour la détection des attaques DDoS, ainsi que des défis liés à la reproduction de situations réelles, incluant à la fois le trafic nominal et les attaques, un quatrième et dernier volet, sous la forme d'un brevet industriel, est consacré à la description d'une architecture de système de détection des attaques DDoS volumétriques. Cette architecture doit permettre l'intégration d'algorithmes de détection, tout en restant maintenable par les experts métier. De plus, elle doit être conçue pour résoudre les problématiques relatives à la charge réseau générée par une infrastructure accueillant des millions de clients à travers le monde.
Origine : Version validée par le jury (STAR)