論文の概要: P4Control: Line-Rate Cross-Host Attack Prevention via In-Network Information Flow Control Enabled by Programmable Switches and eBPF
- arxiv url: http://arxiv.org/abs/2405.14970v1
- Date: Thu, 23 May 2024 18:19:10 GMT
- ステータス: 処理完了
- システム内更新日: 2024-05-27 19:27:22.013500
- Title: P4Control: Line-Rate Cross-Host Attack Prevention via In-Network Information Flow Control Enabled by Programmable Switches and eBPF
- Title(参考訳): P4Control:プログラマブルスイッチとeBPFによるネットワーク内情報フロー制御によるラインレートクロスホット攻撃防止
- Authors: Osama Bajaber, Bo Ji, Peng Gao,
- Abstract要約: P4Controlは、ネットワーク内のエンド・ツー・エンドの情報フローを制限し、ラインレートでのクロスホスト攻撃を防ぐネットワーク防御システムである。
我々は、P4Controlがクロスホスト攻撃を効果的にリアルタイムに防ぐことができることを示すため、広範囲な評価を行う。
- 参考スコア(独自算出の注目度): 14.787290539225245
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Modern targeted attacks such as Advanced Persistent Threats use multiple hosts as stepping stones and move laterally across them to gain deeper access to the network. However, existing defenses lack end-to-end information flow visibility across hosts and cannot block cross-host attack traffic in real time. In this paper, we propose P4Control, a network defense system that precisely confines end-to-end information flows in a network and prevents cross-host attacks at line rate. P4Control introduces a novel in-network decentralized information flow control (DIFC) mechanism and is the first work that enforces DIFC at the network level at network line rate. This is achieved through: (1) an in-network primitive based on programmable switches for tracking inter-host information flows and enforcing line-rate DIFC policies; (2) a lightweight eBPF-based primitive deployed on hosts for tracking intra-host information flows. P4Control also provides an expressive policy framework for specifying DIFC policies against different attack scenarios. We conduct extensive evaluations to show that P4Control can effectively prevent cross-host attacks in real time, while maintaining line-rate network performance and imposing minimal overhead on the network and host machines. It is also noteworthy that P4Control can facilitate the realization of a zero trust architecture through its fine-grained least-privilege network access control.
- Abstract(参考訳): Advanced Persistent Threatsのような現代の攻撃は、複数のホストをステッピングストーンとして使用し、ネットワークへのより深いアクセスを得るために横方向に移動する。
しかし、既存の防御では、ホスト間でのエンドツーエンドの情報フローの可視性が欠如し、ホスト間の攻撃トラフィックをリアルタイムでブロックすることはできない。
本稿では,P4Controlを提案する。P4Controlは,ネットワーク内のエンド・ツー・エンド情報の流れを正確に抑制し,ラインレートでのクロスホスト攻撃を防止するネットワークディフェンスシステムである。
P4Controlは、新しいネットワーク内分散情報フロー制御(DIFC)機構を導入し、ネットワーク線レートでDIFCをネットワークレベルで実施する最初の試みである。
1)ホスト間情報フローの追跡とラインレートDIFCポリシーの強制のためのプログラマブルスイッチに基づくネットワーク内プリミティブ,(2)ホスト内情報フローを追跡するためにホスト上にデプロイされた軽量eBPFベースのプリミティブ。
P4Controlはまた、異なる攻撃シナリオに対してDIFCポリシーを指定するための表現力のあるポリシーフレームワークも提供する。
我々は,P4Controlが回線レートネットワーク性能を維持しつつ,ネットワークとホストマシンのオーバーヘッドを最小限に抑えながら,ホスト間攻撃を効果的に防止できることを示すため,広範囲な評価を行った。
また、P4Controlはネットワークアクセス制御の微粒化によってゼロ信頼アーキテクチャの実現を促進できる点も注目に値する。
関連論文リスト
- Saflo: eBPF-Based MPTCP Scheduler for Mitigating Traffic Analysis Attacks in Cellular Networks [5.449956884943377]
Safloスケジューラは、追加のセキュリティ関連タスクと組み合わせたマルチパス通信を採用している。
セルラーネットワークにおけるビデオ識別とユーザ識別攻撃の精度を大幅に低下させる。
論文 参考訳(メタデータ) (2025-02-06T17:20:07Z) - MIETT: Multi-Instance Encrypted Traffic Transformer for Encrypted Traffic Classification [59.96233305733875]
トラフィックの分類は、セキュリティの脅威を検出し、ネットワーク管理を最適化するために不可欠である。
トークンレベルとパケットレベルの両方の関係をキャプチャするMulti-Instance Encrypted Traffic Transformer (MIETT)を提案する。
MIETTは5つのデータセットにまたがって結果を達成し、暗号化されたトラフィックの分類と複雑なネットワーク動作の理解の有効性を示す。
論文 参考訳(メタデータ) (2024-12-19T12:52:53Z) - Red Pill and Blue Pill: Controllable Website Fingerprinting Defense via Dynamic Backdoor Learning [93.44927301021688]
Webサイト指紋(WF)攻撃は、訪問するWebページを特定するために、ユーザーのコミュニケーションを秘密裏に監視する。
既存のWFディフェンスは、ユニークなトラフィックパターンを乱すことで攻撃者の精度を低下させようとする。
バックドア学習に基づく新しい防衛視点である制御可能なWebサイトフィンガープリントディフェンス(CWFD)を紹介した。
論文 参考訳(メタデータ) (2024-12-16T06:12:56Z) - Manipulating OpenFlow Link Discovery Packet Forwarding for Topology Poisoning [7.162877379128359]
トポロジ情報を変更するために OpenFlow リンクフォワードを操作する新しいトポロジ中毒技術である Marionette を紹介する。
我々のアプローチは見過ごされているが、広範囲にわたる攻撃ベクトルを露呈する。
Marionetteは5つのオープンソースコントローラと9つのOpenFlowベースのディスカバリプロトコルをうまく攻撃する。
論文 参考訳(メタデータ) (2024-08-29T23:30:36Z) - Federated Learning for Zero-Day Attack Detection in 5G and Beyond V2X Networks [9.86830550255822]
Connected and Automated Vehicles(CAV)は、5GおよびBeyondネットワーク(5GB)上にあり、セキュリティとプライバシ攻撃のベクトルの増加に対して脆弱である。
本稿では,ネットワークトラフィックパターンのみに依存する攻撃を検知するディープ・オートエンコーダ法を利用した新しい検出機構を提案する。
連合学習を用いて、提案した侵入検知システムは、CAVのプライバシーを維持し、通信オーバーヘッドを最小限に抑えながら、大規模で多様なネットワークトラフィックで訓練することができる。
論文 参考訳(メタデータ) (2024-07-03T12:42:31Z) - EmInspector: Combating Backdoor Attacks in Federated Self-Supervised Learning Through Embedding Inspection [53.25863925815954]
フェデレートされた自己教師付き学習(FSSL)は、クライアントの膨大な量の未ラベルデータの利用を可能にする、有望なパラダイムとして登場した。
FSSLはアドバンテージを提供するが、バックドア攻撃に対する感受性は調査されていない。
ローカルモデルの埋め込み空間を検査し,悪意のあるクライアントを検知する埋め込み検査器(EmInspector)を提案する。
論文 参考訳(メタデータ) (2024-05-21T06:14:49Z) - Breaking On-Chip Communication Anonymity using Flow Correlation Attacks [2.977255700811213]
ネットワークオンチップ(NoC)アーキテクチャにおける既存の匿名ルーティングプロトコルのセキュリティ強度について検討する。
既存の匿名ルーティングは、NoCに対する機械学習(ML)ベースのフロー相関攻撃に対して脆弱であることを示す。
本稿では,MLに基づくフロー相関攻撃に対して,トラフィック難読化技術を用いた軽量な匿名ルーティングを提案する。
論文 参考訳(メタデータ) (2023-09-27T14:32:39Z) - Efficient and Low Overhead Website Fingerprinting Attacks and Defenses
based on TCP/IP Traffic [16.6602652644935]
機械学習とディープラーニングに基づくWebサイトのフィンガープリント攻撃は、攻撃率の良好なパフォーマンスを達成するために最も典型的な特徴を使用する傾向がある。
このような攻撃に対して、高コストのネットワークオーバーヘッドでランダムパケット防御(RPD)を適用するのが一般的である。
本稿では、TCP/IPトラフィックの統計的特性を用いて、入射雑音を除去できるRFDに対するフィルタ支援攻撃を提案する。
トラフィック分割機構によってリストベースの防御をさらに改善し、上記の攻撃と戦うことができ、ネットワークオーバーヘッドをかなり節約することができる。
論文 参考訳(メタデータ) (2023-02-27T13:45:15Z) - BlockCopy: High-Resolution Video Processing with Block-Sparse Feature
Propagation and Online Policies [57.62315799929681]
BlockCopyは、事前訓練されたフレームベースのCNNを高速化して、より効率的にビデオを処理するスキームである。
軽量ポリシーネットワークは、画像内の重要領域を決定し、選択された領域のみに操作を適用する。
非選択領域の特徴は、単に前のフレームからコピーされ、計算数とレイテンシーが減少する。
論文 参考訳(メタデータ) (2021-08-20T21:16:01Z) - Decentralized Control with Graph Neural Networks [147.84766857793247]
分散コントローラを学習するグラフニューラルネットワーク(GNN)を用いた新しいフレームワークを提案する。
GNNは、自然分散アーキテクチャであり、優れたスケーラビリティと転送性を示すため、タスクに適している。
分散コントローラの学習におけるGNNの可能性を説明するために、群れとマルチエージェントパス計画の問題を検討する。
論文 参考訳(メタデータ) (2020-12-29T18:59:14Z) - A Self-supervised Approach for Adversarial Robustness [105.88250594033053]
敵対的な例は、ディープニューラルネットワーク(DNN)ベースの視覚システムにおいて破滅的な誤りを引き起こす可能性がある。
本稿では,入力空間における自己教師型対向学習機構を提案する。
これは、反逆攻撃に対する強力な堅牢性を提供する。
論文 参考訳(メタデータ) (2020-06-08T20:42:39Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。