Defining Security Monitoring SLAs in IaaS Clouds: the Example of a Network IDS - Archive ouverte HAL Access content directly
Reports (Research Report) Year : 2019

Defining Security Monitoring SLAs in IaaS Clouds: the Example of a Network IDS

Définition de SLAs pour la supervision de la sécurité dans les clouds de type IaaS : exemple d’un IDS réseau

(1) , (2) , (1)
1
2

Abstract

In an IaaS cloud the physical infrastructure is controlled by service providers, including its security monitoring aspect. Clients hosting their information system need to trust and rely on what the providers claim. At the same time providers try to give assurance for some aspects of the infrastructure (e.g. availability) through service level agreements (SLAs). We aim at extending SLAs to include security monitoring terms. In our previous study [1] we proposed a verification method for security monitoring SLAs describing the performance on an network intrusion detection system (NIDS). In this paper we address the problem of security monitoring SLA definition, specifically for the case of NIDSs in cloud. We present the following contributions. First we propose a security monitoring service description with relevant key performance indicators (KPIs). Second we propose an extension to an SLA language called CSLA [2], in order to have a standard method to define security monitoring SLAs. Third the KPIs used to describe performance of NIDS take a base rate parameter, representing the rate of attacks in the monitored network traffic. However, the value of the base rate is unknown at the time of SLA definition. In order to address this contradiction, we propose a model building method and the model is used in the SLA definition. The model is used to estimate the expected performance depending on the base rate. Fourth, since there is a large number of vulnerabilities among all software products possibly used by tenants, defining an SLA requires lots of performance evaluation tests, which makes the process impractical. To address this we propose a method based on rules clustering which builds a knowledge base for NIDS performance for a large number of vulnerabilities. Finally, we present experiments showing the feasibility of our methods on performance estimation and clustering of NIDS rules. We also present analysis on the shortcomings of the proposed method.
Dans un cloud de type IaaS, l’infrastructure physique est contrôlée par les fournisseurs de services, y compris sur l’aspect surpervision de la sécurité. Les clients hébergeant leur système d’information doivent se fier à ce que les fournisseurs affirment. Dans le même temps, les fournisseurs essaient de donner une assurance sur certains aspects de l’infrastructure (par exemple la disponibilité) par le biais de contrats de niveau de service (Service-Level Agreement ou SLA). Notre objectif est d’étendre les contrats de niveau de service afin d’y inclure des aspects de supervision de la sécurité. Dans notre étude précédente [1], nous avons proposé une méthode de vérification du respect d’objectifs de supervision de la sécurité dans les SLAs, ces objectifs décrivant la performance d’un système de détection d’intrusion dans le réseau (NIDS). Dans le présent document, nous abordons le problème de la définition des SLAs portant sur la supervision de la sécurité, en particulier dans le cas des NIDS dans les clouds. Nous présentons les contributions suivantes. Tout d’abord, nous proposons une description du service de supervision de la sécurité avec des indicateurs clés de performance (Key Performance Indicators ou KPIs) pertinents. Deuxièmement, nous proposons une extension d’un langage de SLA appelé CSLA [2], afin d’avoir une méthode standard pour définir les SLA de supervision de sécurité. Troisièmement, les KPIs utilisés pour décrire la performance des NIDS prennent en paramètre le taux d’attaques dans le trafic réseau surveillé. Toutefois, la valeur du taux d’attaques est inconnue au moment de la définition d’un SLA. Afin de résoudre cette contradiction, nous proposons une méthode de construction d’un modèle et le modèle est utilisé dans la définition du SLA. Le modèle permet d’estimer la performance attendue en fonction du taux d’attaques. Quatrièmement, comme il existe un grand nombre de vulnérabilités parmi tous les produits logiciels éventuellement utilisés par les utilisateurs du cloud, la définition d’un SLA nécessite de nombreux tests d’évaluation des performances, ce qui rend le processus difficilement applicable. Pour remédier à cela, nous proposons une méthode fondée sur le regroupement de règles qui permet de construire une base de connaissances sur la performance des NIDS pour un grand nombre de vulnérabilités. Enfin, nous présentons des expériences démontrant la faisabilité de nos méthodes d’estimation des performances et de regroupement des règles de NIDS. Nous présentons également une analyse des limitations de la méthode proposée.
Fichier principal
Vignette du fichier
RR-9263.pdf (1.67 Mo) Télécharger le fichier
Origin : Files produced by the author(s)
Loading...

Dates and versions

hal-02079860 , version 1 (26-03-2019)
hal-02079860 , version 2 (29-03-2019)

Identifiers

  • HAL Id : hal-02079860 , version 2

Cite

Amir Teshome Wonjiga, Louis Rilling, Christine Morin. Defining Security Monitoring SLAs in IaaS Clouds: the Example of a Network IDS. [Research Report] RR-9263, Inria Rennes Bretagne Atlantique. 2019, pp.1-37. ⟨hal-02079860v2⟩
181 View
178 Download

Share

Gmail Facebook Twitter LinkedIn More