Ανάπτυξη συστήματος για την ανίχνευση επιθέσεων σε IP δίκτυα με χρήση αναγνώρισης ανώμαλης συμπεριφοράς

Βαλεοντής, Ευτύχιος

09 June 2008

Σε αυτή τη μεταπτυχιακή εργασία γίνεται ανάπτυξη ενός κατανεμημένου συστήματος ανίχνευσης δικτυακών επιθέσεων με χρήση αναγνώρισης ανώμαλης συμπεριφοράς. Προτείνονται δύο διαφορετικές προσεγγίσεις που έχουν αναπτυχθεί στην ίδια πλατφόρμα. Αρχικά (Κεφ. 1) γίνεται μια παρουσίαση του επιπέδου ασφάλειας στο διαδίκτυο σήμερα, καθώς και κάποιων γενικών αρχών ασφαλείας και των μοντέλων που θα χρησιμοποιήσουμε στο υπόλοιπο της εργασίας. Στο συνέχεια (Κεφ. 2) προχωρούμε στην ανάλυση της μεθοδολογία μιας δικτυακής επίθεσης ενώ στο επόμενο κεφάλαιο (Κεφ. 3) παρατίθενται ενδεικτικοί τρόποι προστασίας από τέτοιου είδους επιθέσεις. Το τέταρτο Κεφάλαιο αναπτύσσεται η πλατφόρμα πάνω στην οποία έχουν αναπτυχθεί οι δύο προτάσεις. Η εμπειρική προσέγγιση αναλύεται στο Κεφάλαιο 5 και στο Κεφάλαιο 6 γίνεται η παρουσίαση της προσέγγισης με μαθηματικό μοντέλο. Η συμβολή και η ιδιαιτερότητα του προτεινόμενου συστήματος έγκειται στο γεγονός ότι γίνεται ανίχνευση επιθέσεων χωρίς χρήση γνωστών pattern επιθέσεων με ανταγωνιστικά ποσοστά false positive και false negative. / In this Master Thesis we develop a distributed intrusion detection system using recognition of abnormal behaviour. Two different approaches are proposed, both developed on the same platform. First of all (Chap. 1) we present the current security status of the Internet along with some general security principles and models which will be used in the rest of our work. Then (Chap. 2) we present in details a hacker’s attack methodology, while in the next chapter (Chap. 3) several representative security solutions against such attacks are proposed. In the fourth Chapter the platform that was used for both approaches is discussed. The empirical approach is analysed in Chapter 5 and in Chapter 6 we present the approach that uses a mathematical model. Our contribution lies in the fact of detecting network attacks without using known attack patterns with competitive false positive and false negative ratios.

Ανίχνευση

Επιθέσεις

Δίκτυο

Ασφάλεια

005.8

Detection

Intrusion

Network

Security

Ανάλυση επιθέσεων πλαγίου καναλιού σε κρυπτοσύστημα AES με χρήση προσομοιωτή επεξεργαστή

Καλόγριας, Απόστολος

07 June 2010

Ένας από τους πιο ευρέως γνωστούς αλγορίθμους κρυπτογράφησης είναι ο AES (Advanced Encryption Standard). Το πρότυπο κρυπτογράφησης AES περιγράφει μια διαδικασία κρυπτογράφησης ηλεκτρονικής πληροφορίας βασισμένη στην λογική της κωδικοποίησης ομάδων δεδομένων με κάποιο μυστικό κλειδί. Μέχρι τον Μάιο του 2009, οι μόνες επιτυχημένες δημοσιευμένες επιθέσεις ενάντια στο πρότυπο AES ήταν επιθέσεις πλάγιου-καναλιού σε συγκεκριμένες εφαρμογές. Η βασική ιδέα των επιθέσεων πλαγίου καναλιού είναι ότι κάποιος μπορεί να παρατηρήσει έναν αλγόριθμο ο οποίος εκτελείται σε ένα σύστημα επεξεργασίας και να εξάγει μερικές ή πλήρεις πληροφορίες για την κατάσταση του αλγορίθμου ή το κλειδί. Ένας συγκεκριμένος τύπος επιθέσεων πλάγιου καναλιού, cache επιθέσεις, βασίζεται στην παρακολούθηση της συμπεριφοράς της μνήμης cache των συστημάτων (την μετακίνηση των δεδομένων μέσα και έξω από την μνήμη cache). Σε αυτή την διπλωματική αναπτύχθηκε ένα πρόγραμμα κρυπτογράφησης/αποκρυπτογράφησης AES και μελετήθηκε η συμπεριφορά διάφορων μνημών cache μέσω ενός προσομοιωτή επεξεργαστή (Simplescalar) κατά την διάρκεια εκτέλεσής του. Σκοπός της διπλωματικής εργασίας ήταν να δείξουμε ότι το κρυπτοσύστημα AES είναι ευάλωτο σε επιθέσεις πλαγίου καναλιού κρυφής μνήμης. / AES (Advanced Encryption Standard) is one of the most popular cryptographic algorithms. AES describes a process of electronic data encryption based on encrypting data using a secret key. Up to May 2009, the only successful published attacks against AES were side-channel attacks. The main concept of side-channel attacks is that someone can observe an algorithm that is being implemented in a system and gain information about the state of the algorithm or the secret key. One particular type of side-channel attacks, cache-based attacks, is based on observing the behavior of the system’s cache memory (tha data that moves in and out of the cache memory). In this thesis an algorithm AES (encryption/decryption) was developed and we examined the behavior of different cache memories using a simulator (Simplescalar) while this algorithm was processing trying to figure out if AES is vulnerable to cache-based side channel attacks. This thesis shows if AES is vulnerable against cache-based side channel attacks.

Κρυπτογραφία

005.8

Advanced Encryption Standard (AES)

Cryptography

Side channel

Cache attacks

Αναγνώριση επιθέσεων web σε web-servers

Στυλιανού, Γεώργιος

09 July 2013

Οι επιθέσεις στο Διαδίκτυο και ειδικά οι επιθέσεις άρνησης εξυπηρέτησης (Denial of Service, DoS) αποτελούν ένα πολύ σοβαρό πρόβλημα για την ομαλή λειτουργία του Διαδικτύου. Αυτό το είδος επιθέσεων στοχεύει στην διατάραξη της καλής λειτουργίας ενός συστήματος, καταναλώνοντας τους πόρους του ή προκαλώντας υπερφόρτωση στο δίκτυο, καθιστώντας το ανίκανο να παρέχει στους πελάτες του τις υπηρεσίες για τις οποίες προορίζεται. Η αντιμετώπιση των επιθέσεων αυτών έχει απασχολήσει πολλούς ερευνητές τα τελευταία χρόνια και έχουν προταθεί πολλές διαφορετικές μέθοδοι πρόληψης, ανίχνευσης, και απόκρισης. Στα πλαίσια της παρούσας διπλωματικής επιχειρείται αρχικά ο ορισμός και η ταξινόμηση των επιθέσεων DoS και DDoS, με ιδιαίτερη αναφορά στις επιθέσεις DoS στον Παγκόσμιο Ιστό. Στη συνέχεια αναλύονται διάφοροι τρόποι αναγνώρισης επιθέσεων, με κύριους άξονες την αναγνώριση υπογραφής και την ανίχνευση ανωμαλιών. Γίνεται εμβάθυνση στο πεδίο της ανίχνευσης ανωμαλιών και πραγματοποιείται η μελέτη ενός συστήματος που ανιχνεύει ανωμαλίες σε δεδομένα κίνησης δικτύου που περιέχουν επιθέσεις. / Attacks in the Internet, and especially Denial of Service attacks, are a very serious threat to the normal function of the Internet. This kind of attack aims to the disruption of the normal function of a system, by consuming its resources or overloading the network, making it incapable to provide services, that is designed for, to the clients. In recent years many researchers have tried to propose solutions to prevent, detect and respond effectively to attacks. In this thesis, first a definition, and then a classification of DoS and DDoS attacks is proposed, with distinctive reference to attacks in the World Wide Web. Several ways of attack detection are analyzed, with signature detection and anomaly detection being the most significant. Afterwards, the field of anomaly detection is thoroughly analyzed, and a system that detects anomalies to a dataset of network traffic that contains attacks, is examined.

Αναγνώριση επιθέσεων

Ανίχνευση ανωμαλιών

005.8

Internet attacks

Attack detection

Anomaly detection

Security anomalies

Προστασία συστημάτων από κατανεμημένες επιθέσεις στο Διαδίκτυο / Protecting systems from distributed attacks on the Internet

Στεφανίδης, Κυριάκος

17 March 2014

Η παρούσα διατριβή πραγματεύεται το θέμα των κατανεμημένων επιθέσεων άρνησης υπηρεσιών στο Διαδίκτυο. Αναλύει τα υπάρχοντα συστήματα αντιμετώπισης και τα εργαλεία που χρησιμοποιούνται για την εξαπόλυση τέτοιου είδους επιθέσεων. Μελετά τον τρόπο που οργανώνονται οι επιθέσεις και παρουσιάζει την αρχιτεκτονική και την υλοποίηση ενός πρωτότυπου συστήματος ανίχνευσης των πηγών μιας κατανεμημένης επίθεσης άρνησης υπηρεσιών, καθώς και αντιμετώπισης των επιθέσεων αυτών. Τέλος, ασχολείται με το θέμα της ανεπιθύμητης αλληλογραφίας ως μιας διαφορετικού είδους επίθεση άρνησης υπηρεσιών και προτείνει ένα πρωτότυπο τρόπο αντιμετώπισής της. / In our thesis we deal with the issue of Distributed Denial of Service attacks on the Internet. We analyze the current defense methodologies and the tools that are used to unleash this type of attacks. We study the way that those attacks are constructed and organized and present a novel architecture, and its implementation details, of a system that is able to trace back to the true sources of such an attack as well as effectively filter such attacks in real time. Lastly we deal with the issue of spam e-mail as a different form of a distributed denial of service attack and propose a novel methodology that deals with the problem.

Ασφάλεια δικτύων

005.8

Network security

Παροχή ασφαλών υπηρεσιών με φερέγγυες υποδομές / Secure service provision through trusted infrastructures

Αντωνόπουλος, Αλέξανδρος

17 March 2014

H διατριβή αντιμετωπίζει το πρόβλημα της σχεδίασης ασφαλών υποσυστημάτων που μπορούν να υπάρξουν σε μη-εμπιστεύσιμα συστήματα διασφαλίζοντας τη δική τους ασφάλεια στο μεγαλύτερο δυνατό βαθμό. Στα πλαίσια της διατριβής προσεγγίστικε το πρόβλημα της ασφάλειας γενικά εντοπίζοντας παράλληλα περιοχές οι οποίες κρίθηκαν σημαντικές για περαιτέρω διερεύνηση. Αρχικά παρουσιάζεται η μεθοδολογία που ακολουθήθηκε για το σχεδιασμό και την ανάπτυξη αρχιτεκτονικής ασφάλειας για ένα δικτυο-κεντρικό σύστημα. Εστιάζοντας στα ενσωματωμένα συστήματα εξετάστηκαν θέματα απόδοσης κρυπτογραφίας μνήμης δεδομένου ότι η κρυπτογραφία μνήμης αποτελεί βασικό κομμάτι για την ασφάλεια ενός ενσωματωμένου συστήματος. Στη συνέχεια εξετάζεται ένα είδος επίθεσης πλαγίου καναλιού και εισάγεται μια μεθοδολογία προστασίας από μια τέτοια επίθεση. Δεδομένου ότι θέματα ασφαλείας που υπάρχουν σε συστήματα γενικού σκοπού μπορούν να αποτελέσουν μελλοντικούς κινδύνους για συστήματα ενσωματωμένου σκοπού παράλληλα με την επίβλεψη/υποστήριξη διπλωματικών εργασιών αναπτύχθηκαν λύσεις για ασφαλή εκκίνηση όπως και για τον εντοπισμό και αφαίρεση rootkit. Τέλος ως «τελευταίο» επίπεδο και δεδομένου ότι όλα τα συστήματα χρησιμοποιούνται για την ποιοτική και ασφαλή λειτουργία μιας υπηρεσίας, η διατριβή εστίασε σε θέματα ασφαλειας στο επίπεδο των εφαρμογών. Παρουσιάζεται μια μελέτη του Spam και μεθοδολογία καταπολέμησης του και τέλος επιθέσεις cross-scripting και εφαρμογή για την ανίχνευση μη επιθυμητών συναλλαγών που πραγματοποιούνται από κακόβουλες εφαρμογές. / This dissertation addresses the problem of designing secure subsystems that can exist in non-trusted infrastructures ensuring their own safety to the greatest extent possible. The problem of security was approached in a holistic view identifying areas important for further investigation. Initially we present the methodology used for the design and development of the security architecture for a network-centric system. Later we focus on embedded systems were the performance of memory encryption was examined, since memory encryption can be crucial for embedded system security. Side- channel attacks are also presented and a methodology for protection against such attacks is presented. Keeping in mind that the increase in power in embedded systems makes even more complicated attacks possible solutions were developed for secure boot and for identifying and removing rootkit. At last "last" and with the idea that all sub-systems are used for the qualitative and safe operation of a service, dissertation focused on security issues at the application level. A study of Spam is presented along with a fight-back methodology. Finally cross-scripting attacks are presented.

Ασφάλεια

005.8

Security

Security architecture

Side-channel attacks

Ανάλυση και υλοποίηση τεχνικών υδατογράφησης ψηφιακών εικόνων με ανθεκτικότητα σε γεωμετρικές επιθέσεις

Μητσάκος, Ιωάννης

17 September 2007

Σκοπός της συγκεκριμένης εργασίας είναι η παρουσίαση των σημαντικότερων τεχνικών υδατογράφησης (watermarking techniques) ψηφιακών εικόνων με ανθεκτικότητα σε γεωμετρικούς μετασχηματισμούς και η περιγραφή και υλοποίηση ενός τέτοιου συστήματος. Οι γεωμετρικοί μετασχηματισμοί, στους οποίους δόθηκε περισσότερη έμφαση κατά την υλοποίηση του συστήματος υδατογράφησης ψηφιακών εικόνων που θα παρουσιαστεί παρακάτω, έχουν να κάνουν με την κλιμάκωση (scaling), την περιστροφή (rotation) και τον μετασχηματισμό συντεταγμένων (translation) μιας εικόνας καθώς επίσης και με συνδυασμούς αυτών. Παρόλα αυτά όμως το σύστημα που περιγράφεται αντιμετωπίζει σε ικανοποιητικό βαθμό και άλλες γεωμετρικές επιθέσεις (όπως shearing,aspect ratio change, projective, template remove κ.α.).Η ανθεκτικότητα ενός συστήματος υδατογράφησης σε αυτούς τους μετασχηματισμούς έχει να κάνει με την διατήρηση του υδατογραφήματος και την ικανοποιητική ανίχνευση του σε εικόνες που έχουν υποστεί τέτοιου είδους μετασχηματισμούς. Στην εργασία, αρχικά γίνεται μια εκτενής αναφορά στην τεχνική της υδατογράφησης και τις εφαρμογές της και έπειτα τονίζονται τα σημαντικότερα χαρακτηριστικά των συστημάτων υδατογράφησης ψηφιακού υλικού. Στη συνέχεια, ορίζονται οι γεωμετρικές επιθέσεις σε εικόνες και παρουσιάζονται οι σημαντικότερες μέθοδοι υδατογράφησης ψηφιακών εικόνων, που υπάρχουν στην βιβλιογραφία, με ανθεκτικότητα στις επιθέσεις αυτές. Στην εργασία αυτή υλοποιήθηκε μία από αυτές τις μεθόδους και έγινε προσπάθεια για επέκταση και βελτίωση της σε ορισμένα σημεία που υστερούσε. Η αρχική και βελτιωμένη μέθοδος περιγράφονται αναλυτικά. Στο τέλος ένας αριθμός πειραματικών αποτελεσμάτων αποδεικνύουν την ανθεκτικότητα του νέου βελτιωμένου συστήματος που υλοποιήθηκε σε ένα μεγάλο πλήθος γεωμετρικών επιθέσεων. / The aim of this work is the presentation of the most important watermarking techniques for digital images with robustness to geometric transformations and the description and implementation of such a system. The geometric transformations, to which was given more emphasis at the implementation of the digital images watermarking system, that will be presented below, are the scaling, the rotation and the transformation of coordinates (translation) of an image as well as the combinations of these. Nevertheless, the system that is described faces in satisfactory degree and the other geometric attacks (as the shearing, the aspect ratio change, the projective, the template remove etc.). The robustness of a watermarking system to these transformations it is simply translated as the maintenance of the watermark and its satisfactory detection in images that have existed such type of transformations. In this work, it initially becomes a extensive report to the watermark technique and to its applications and then the more important characteristics of digital material watermarking systems are highlighted. Afterwards, the geometric attacks of digit images are determined and the most important watermarking methods of digital images with robustness to these attacks, that exist in the bibliography, are presented. In this work, one of these methods was implemented and it became some effort for its extension and its improvement in certain points that disadvantages. The initial and improved methods are analytically described. At the end, a number of experimental results are presented, that they prove the robustness of the new improved system to a large number of geometric attacks.

Υδατογράφηση εικόνων

Ανθεκτικότητα

005.82

Image watermarking

Geometric attacks

Robustness

RTS attacks

Η παράμετρος της κεντρικότητας σε ανεξάρτητα κλίμακας μεγάλα δίκτυα / The centrality metric in large scale-free networks

Γεωργιάδης, Γιώργος

16 May 2007

Ένα φαινόμενο που έκανε την εμφάνισή του τα τελευταία χρόνια είναι η μελέτη μεγάλων δικτύων που εμφανίζουν μια ιεραρχική δομή ανεξαρτήτως κλίμακας (large scale-free networks). Μια παραδοσιακή μέθοδος μοντελοποίησης δικτύων είναι η χρήση γραφημάτων και η χρησιμοποίηση αποτελεσμάτων που προκύπτουν από την Θεωρία Γράφων. Όμως στα κλασικά μοντέλα που έχουν μελετηθεί, δυο κόμβοι του ίδιου γραφήματος έχουν την ίδια πιθανότητα να συνδέονται με οποιουσδήποτε δυο άλλους κόμβους. Αυτός ο τρόπος μοντελοποίησης αποτυγχάνει να περιγράψει πολλά δίκτυα της καθημερινής ζωής, όπως δίκτυα γνωριμιών όπου οι κόμβοι συμβολίζουν ανθρώπους και συνδέονται μεταξύ τους αν γνωρίζονται άμεσα. Σε ένα τέτοιο δίκτυο είναι αναμενόμενο δυο φίλοι κάποιου ατόμου να έχουν μεγαλύτερη πιθανότητα να γνωρίζονται μεταξύ τους από ότι δυο τυχαία επιλεγμένοι ξένοι. Αυτό ακριβώς το φαινόμενο ονομάζεται συσσωμάτωση (clustering) και είναι χαρακτηριστικό για τα εν λόγω δίκτυα. Είναι γεγονός ότι πολλά δίκτυα που συναντώνται στη φύση αλλά και πάρα πολλά ανθρωπογενή δίκτυα εντάσσονται σε αυτήν την κατηγορία. Παραδείγματα τέτοιων είναι τα δίκτυα πρωτεϊνών, δίκτυα τροφικών αλυσίδων, επιδημικής διάδοσης ασθενειών, δίκτυα ηλεκτρικού ρεύματος, υπολογιστών, ιστοσελίδων του Παγκόσμιου Ιστού, δίκτυα γνωριμιών, επιστημονικών αναφορών (citations) κ.α. . Παρότι φαίνεται να άπτονται πολλών επιστημών όπως η Φυσική, η Βιολογία, η Κοινωνιολογία και η Πληροφορική, δεν έχουν τύχει ευρείας μελέτης, καθώς μέχρι στιγμής έλειπαν πραγματικά μεγάλα δίκτυα για πειραματική μελέτη (κενό που καλύφθηκε με την ανάπτυξη του Παγκόσμιου Ιστού). Μέχρι σήμερα δεν έχουν φωτιστεί όλα εκείνα τα σημεία και τα μεγέθη που είναι χαρακτηριστικά για αυτά τα δίκτυα και που πρέπει να εστιάσει η επιστημονική έρευνα, παρόλα αυτά έχει γίνει κάποια πρόοδος. Μια τέτοια έννοια που μπορεί να εκφραστεί με πολλά μεγέθη είναι η έννοια της κεντρικότητας (centrality) ενός κόμβου στο δίκτυο. Η χρησιμότητα ενός τέτοιου μεγέθους, αν μπορεί να οριστεί, είναι προφανής, για παράδειγμα στον τομέα της εσκεμμένης «επίθεσης» σε ένα τέτοιο δίκτυο (π.χ. δίκτυο υπολογιστών). Η ακριβής όμως συσχέτιση της κεντρικότητας με τα άλλα χαρακτηριστικά μεγέθη του δικτύου, όπως η συσσωμάτωση, δεν είναι γνωστή. Στόχος της εργασίας είναι να εμβαθύνει στην έννοια της κεντρικότητας, και χρησιμοποιεί σαν πεδίο πειραματισμών τον χώρο της εσκεμμένης επίθεσης σε ανεξάρτητα κλίμακας δίκτυα. Στο πλαίσιο αυτό γίνεται μια συνοπτική παρουσίαση των μοντέλων δικτύων που έχουν προταθεί μέχρι σήμερα και αναλύεται η έννοια της κεντρικότητας μέσω των παραδοσιακών ορισμών της από την επιστήμη της Κοινωνιολογίας. Στη συνέχεια προτείνεται μια σειρά ορισμών της κεντρικότητας που την συνδέουν με μεγέθη του δικτύου όπως ο συντελεστής συσσωμάτωσης. Η καταλληλότητα των ορισμών αυτών διαπιστώνεται στην πράξη, εξομοιώνοντας πειραματικά επιθέσεις σε ανεξάρτητα κλίμακας μεγάλα δίκτυα και χρησιμοποιώντας στρατηγικές επίθεσης που βασίζονται σε αυτές. / A trend in recent years is the study of large networks which possess a hierarchical structure independent of the current scale (large scale-free networks). A traditional method of network modelling is the use of graphs and the usage of results based on Graph Theory. Until recently, the classical models studied, describe the probability of two random vertices connecting with each other as equal for all pairs of vertices. This modelling fails to describe many everyday networks such as acquaintance networks, where the vertices are individuals and connect with an edge if they know each other

Betweenness

Κεντρικότητα

Επιθέσεις σε δίκτυα

Διαμεσότητα

004.67

Scale-free networks

Centrality

Network attack

Clustering coefficient

Μέθοδοι προστασίας ιστοσελίδων στο διαδίκτυο

Μπαλαφούτης, Χρήστος

19 October 2012

Στην παρούσα διπλωματική εργασία παρουσιάζονται βασικές έννοιες και μέθοδοι για την ασφάλεια ιστοσελίδων και ιδιαίτερα των site με web application προσανατολισμό, χωρίς αυτό να σημαίνει ότι αρκετές τεχνικές προστασίας και σφάλματα που θα εντοπίσουμε δεν μπορούν να συναντηθούν και σε άλλου σκοπού ιστοσελίδες. Αρχικά, γίνεται αναφορά στο τι είναι μια εφαρμογή ιστού (web app) και ποια είναι τα στοιχεία που την αποτελούν. Στη συνέχεια, χρησιμοποιώντας έρευνες, παρουσιάζονται κάποιες από τις πιο “δημοφιλείς” επιθέσεις που γίνονται σε ιστοσελίδες και περιγράφεται πιο διεξοδικά ποια αδύνατα σημεία της δομής των ιστοσελίδων εκμεταλλεύονται. Παράλληλα, γίνεται αναφορά στο πως και με ποια εργαλεία μπορούμε να εντοπίσουμε και να κλείσουμε τα κενά ασφαλείας που τυχόν έχει μία εφαρμογή ιστού. Τέλος, παρουσιάζεται η εφαρμογή που αναπτύχθηκε στα πλαίσια της εργασίας με σκοπό να γίνει επίδειξη συγκεκριμένων επιθέσεων και σφαλμάτων που παρατηρούνται στο διαδίκτυο. / In the following pages basic principals and methods are presented in order to secure websites and web applications. I begin by mentioning what is a web application. Moreover, by using statistics and recent researches from various sources i mention the most common web app attack methods and which vulnerabilities can be found in a web app and how to prevent exploiting, something we can accomplish by using various penetration testing tools. Finally, by using a basic web app some web attacks are shown so that it will become more clear how these attacks work.

Ασφάλεια ιστοσελίδων

Εφαρμογές ιστού

Διαδίκτυο

005.8

Web application security

Site attacks

Web applications

Penetration testing

Cross-site scripting (XSS)

Cross-site request forgeries (CSRF)

SQL injection

Αρχιτεκτονικές επεξεργαστών και μνημών ειδικού σκοπού για την υποστήριξη φερέγγυων (ασφαλών) δικτυακών υπηρεσιών / Processor and memory architectures for trusted computing platforms

Κεραμίδας, Γεώργιος

27 October 2008

Η ασφάλεια των υπολογιστικών συστημάτων αποτελεί πλέον μια πολύ ενεργή περιοχή και αναμένεται να γίνει μια νέα παράμετρος σχεδίασης ισάξια μάλιστα με τις κλασσικές παραμέτρους σχεδίασης των συστημάτων, όπως είναι η απόδοση, η κατανάλωση ισχύος και το κόστος. Οι φερέγγυες υπολογιστικές πλατφόρμες έχουν προταθεί σαν μια υποσχόμενη λύση, ώστε να αυξήσουν τα επίπεδα ασφάλειας των συστημάτων και να παρέχουν προστασία από μη εξουσιοδοτημένη άδεια χρήσης των πληροφοριών που είναι αποθηκευμένες σε ένα σύστημα. Ένα φερέγγυο σύστημα θα πρέπει να διαθέτει τους κατάλληλους μηχανισμούς, ώστε να είναι ικανό να αντιστέκεται στο σύνολο, τόσο γνωστών όσο και νέων, επιθέσεων άρνησης υπηρεσίας. Οι επιθέσεις αυτές μπορεί να έχουν ως στόχο να βλάψουν το υλικό ή/και το λογισμικό του συστήματος. Ωστόσο, η μεγαλύτερη βαρύτητα στην περιοχή έχει δοθεί στην αποτροπή επιθέσεων σε επίπεδο λογισμικού. Στην παρούσα διατριβή προτείνονται έξι μεθοδολογίες σχεδίασης ικανές να θωρακίσουν ένα υπολογιστικό σύστημα από επιθέσεις άρνησης υπηρεσίας που έχουν ως στόχο να πλήξουν το υλικό του συστήματος. Η κύρια έμφαση δίνεται στο υποσύστημα της μνήμης (κρυφές μνήμες). Στις κρυφές μνήμες αφιερώνεται ένα μεγάλο μέρος της επιφάνειας του ολοκληρωμένου, είναι αυτές που καλούνται να "αποκρύψουν" τους αργούς χρόνους απόκρισης της κύριας μνήμης και ταυτόχρονα σε αυτές οφείλεται ένα μεγάλο μέρος της συνολικής κατανάλωσης ισχύος. Ως εκ τούτου, παρέχοντας βελτιστοποιήσεις στις κρυφές μνήμες καταφέρνουμε τελικά να μειώσουμε τον χρόνο εκτέλεσης του λογισμικού, να αυξήσουμε το ρυθμό μετάδοσης των ψηφιακών δεδομένων και να θωρακίσουμε το σύστημα από επιθέσεις άρνησης υπηρεσίας σε επίπεδο υλικού. / Data security concerns have recently become very important, and it can be expected that security will join performance, power and cost as a key distinguish factor in computer systems. Trusted platforms have been proposed as a promising approach to enhance the security of the modern computer system and prevent unauthorized accesses and modifications of the sensitive information stored in the system. Unfortunately, previous approaches only provide a level of security against software-based attacks and leave the system wide open to hardware attacks. This dissertation thesis proposes six design methodologies to shield a uniprocessor or a multiprocessor system against a various number of Denial of Service (DoS) attacks at the architectural and the operating system level. Specific focus is given to the memory subsystem (i.e. cache memories). The cache memories account for a large portion of the silicon area, they are greedy power consumers and they seriously determine system performance due to the even growing gap between the processor speed and main memory access latency. As a result, in this thesis we propose methodologies to optimize the functionality and lower the power consumption of the cache memories. The goal in all cases is to increase the performance of the system, the achieved packet throughput and to enhance the protection against a various number of passive and Denial of Service attacks.

Κρυφή μνήμη

Ασφάλεια δεδομένων

004.22

Computer architecture

Cache memory

Set associative memory architecture

Low power architecture

High performance architecture

Network processor

Trusted computing system

Denial of service attack

Data security