論文の概要: P4Control: Line-Rate Cross-Host Attack Prevention via In-Network Information Flow Control Enabled by Programmable Switches and eBPF
- arxiv url: http://arxiv.org/abs/2405.14970v1
- Date: Thu, 23 May 2024 18:19:10 GMT
- ステータス: 処理完了
- システム内更新日: 2024-05-27 19:27:22.013500
- Title: P4Control: Line-Rate Cross-Host Attack Prevention via In-Network Information Flow Control Enabled by Programmable Switches and eBPF
- Title(参考訳): P4Control:プログラマブルスイッチとeBPFによるネットワーク内情報フロー制御によるラインレートクロスホット攻撃防止
- Authors: Osama Bajaber, Bo Ji, Peng Gao,
- Abstract要約: P4Controlは、ネットワーク内のエンド・ツー・エンドの情報フローを制限し、ラインレートでのクロスホスト攻撃を防ぐネットワーク防御システムである。
我々は、P4Controlがクロスホスト攻撃を効果的にリアルタイムに防ぐことができることを示すため、広範囲な評価を行う。
- 参考スコア(独自算出の注目度): 14.787290539225245
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Modern targeted attacks such as Advanced Persistent Threats use multiple hosts as stepping stones and move laterally across them to gain deeper access to the network. However, existing defenses lack end-to-end information flow visibility across hosts and cannot block cross-host attack traffic in real time. In this paper, we propose P4Control, a network defense system that precisely confines end-to-end information flows in a network and prevents cross-host attacks at line rate. P4Control introduces a novel in-network decentralized information flow control (DIFC) mechanism and is the first work that enforces DIFC at the network level at network line rate. This is achieved through: (1) an in-network primitive based on programmable switches for tracking inter-host information flows and enforcing line-rate DIFC policies; (2) a lightweight eBPF-based primitive deployed on hosts for tracking intra-host information flows. P4Control also provides an expressive policy framework for specifying DIFC policies against different attack scenarios. We conduct extensive evaluations to show that P4Control can effectively prevent cross-host attacks in real time, while maintaining line-rate network performance and imposing minimal overhead on the network and host machines. It is also noteworthy that P4Control can facilitate the realization of a zero trust architecture through its fine-grained least-privilege network access control.
- Abstract(参考訳): Advanced Persistent Threatsのような現代の攻撃は、複数のホストをステッピングストーンとして使用し、ネットワークへのより深いアクセスを得るために横方向に移動する。
しかし、既存の防御では、ホスト間でのエンドツーエンドの情報フローの可視性が欠如し、ホスト間の攻撃トラフィックをリアルタイムでブロックすることはできない。
本稿では,P4Controlを提案する。P4Controlは,ネットワーク内のエンド・ツー・エンド情報の流れを正確に抑制し,ラインレートでのクロスホスト攻撃を防止するネットワークディフェンスシステムである。
P4Controlは、新しいネットワーク内分散情報フロー制御(DIFC)機構を導入し、ネットワーク線レートでDIFCをネットワークレベルで実施する最初の試みである。
1)ホスト間情報フローの追跡とラインレートDIFCポリシーの強制のためのプログラマブルスイッチに基づくネットワーク内プリミティブ,(2)ホスト内情報フローを追跡するためにホスト上にデプロイされた軽量eBPFベースのプリミティブ。
P4Controlはまた、異なる攻撃シナリオに対してDIFCポリシーを指定するための表現力のあるポリシーフレームワークも提供する。
我々は,P4Controlが回線レートネットワーク性能を維持しつつ,ネットワークとホストマシンのオーバーヘッドを最小限に抑えながら,ホスト間攻撃を効果的に防止できることを示すため,広範囲な評価を行った。
また、P4Controlはネットワークアクセス制御の微粒化によってゼロ信頼アーキテクチャの実現を促進できる点も注目に値する。
関連論文リスト
- Manipulating OpenFlow Link Discovery Packet Forwarding for Topology Poisoning [7.162877379128359]
トポロジ情報を変更するために OpenFlow リンクフォワードを操作する新しいトポロジ中毒技術である Marionette を紹介する。
我々のアプローチは見過ごされているが、広範囲にわたる攻撃ベクトルを露呈する。
Marionetteは5つのオープンソースコントローラと9つのOpenFlowベースのディスカバリプロトコルをうまく攻撃する。
論文 参考訳(メタデータ) (2024-08-29T23:30:36Z) - Federated Learning for Zero-Day Attack Detection in 5G and Beyond V2X Networks [9.86830550255822]
Connected and Automated Vehicles(CAV)は、5GおよびBeyondネットワーク(5GB)上にあり、セキュリティとプライバシ攻撃のベクトルの増加に対して脆弱である。
本稿では,ネットワークトラフィックパターンのみに依存する攻撃を検知するディープ・オートエンコーダ法を利用した新しい検出機構を提案する。
連合学習を用いて、提案した侵入検知システムは、CAVのプライバシーを維持し、通信オーバーヘッドを最小限に抑えながら、大規模で多様なネットワークトラフィックで訓練することができる。
論文 参考訳(メタデータ) (2024-07-03T12:42:31Z) - EmInspector: Combating Backdoor Attacks in Federated Self-Supervised Learning Through Embedding Inspection [53.25863925815954]
フェデレートされた自己教師付き学習(FSSL)は、クライアントの膨大な量の未ラベルデータの利用を可能にする、有望なパラダイムとして登場した。
FSSLはアドバンテージを提供するが、バックドア攻撃に対する感受性は調査されていない。
ローカルモデルの埋め込み空間を検査し,悪意のあるクライアントを検知する埋め込み検査器(EmInspector)を提案する。
論文 参考訳(メタデータ) (2024-05-21T06:14:49Z) - Towards Zero-Trust 6GC: A Software Defined Perimeter Approach with Dynamic Moving Target Defense Mechanism [1.33134751838052]
本稿では,SDP(Software Defined Perimeter)の概念を革新的ソリューションとして紹介する。
我々は、ECCネットワークの制御とデータプレーン機能を確保するために、SDPコントローラベースの認証と認証機構を利用する。
我々は、動的コンポーネントである移動目標防衛(MTD)を組み込んだSDPゼロトラスト機能を増強する。
論文 参考訳(メタデータ) (2023-12-27T02:54:55Z) - Breaking On-Chip Communication Anonymity using Flow Correlation Attacks [2.977255700811213]
ネットワークオンチップ(NoC)アーキテクチャにおける既存の匿名ルーティングプロトコルのセキュリティ強度について検討する。
既存の匿名ルーティングは、NoCに対する機械学習(ML)ベースのフロー相関攻撃に対して脆弱であることを示す。
本稿では,MLに基づくフロー相関攻撃に対して,トラフィック難読化技術を用いた軽量な匿名ルーティングを提案する。
論文 参考訳(メタデータ) (2023-09-27T14:32:39Z) - Efficient and Low Overhead Website Fingerprinting Attacks and Defenses
based on TCP/IP Traffic [16.6602652644935]
機械学習とディープラーニングに基づくWebサイトのフィンガープリント攻撃は、攻撃率の良好なパフォーマンスを達成するために最も典型的な特徴を使用する傾向がある。
このような攻撃に対して、高コストのネットワークオーバーヘッドでランダムパケット防御(RPD)を適用するのが一般的である。
本稿では、TCP/IPトラフィックの統計的特性を用いて、入射雑音を除去できるRFDに対するフィルタ支援攻撃を提案する。
トラフィック分割機構によってリストベースの防御をさらに改善し、上記の攻撃と戦うことができ、ネットワークオーバーヘッドをかなり節約することができる。
論文 参考訳(メタデータ) (2023-02-27T13:45:15Z) - In-Distribution Barrier Functions: Self-Supervised Policy Filters that
Avoid Out-of-Distribution States [84.24300005271185]
本稿では,任意の参照ポリシーをラップした制御フィルタを提案する。
本手法は、トップダウンとエゴセントリックの両方のビュー設定を含むシミュレーション環境における2つの異なるビズモータ制御タスクに有効である。
論文 参考訳(メタデータ) (2023-01-27T22:28:19Z) - BlockCopy: High-Resolution Video Processing with Block-Sparse Feature
Propagation and Online Policies [57.62315799929681]
BlockCopyは、事前訓練されたフレームベースのCNNを高速化して、より効率的にビデオを処理するスキームである。
軽量ポリシーネットワークは、画像内の重要領域を決定し、選択された領域のみに操作を適用する。
非選択領域の特徴は、単に前のフレームからコピーされ、計算数とレイテンシーが減少する。
論文 参考訳(メタデータ) (2021-08-20T21:16:01Z) - Channel-wise Gated Res2Net: Towards Robust Detection of Synthetic Speech
Attacks [67.7648985513978]
自動話者検証(ASV)における既存のアンチスプーフィングのアプローチは、未確認攻撃に対する一般化性に欠ける。
本稿では,チャネルワイズゲーティング機構を実現するためにRes2Netを改良した新しいCG-Res2Netを提案する。
論文 参考訳(メタデータ) (2021-07-19T12:27:40Z) - Decentralized Control with Graph Neural Networks [147.84766857793247]
分散コントローラを学習するグラフニューラルネットワーク(GNN)を用いた新しいフレームワークを提案する。
GNNは、自然分散アーキテクチャであり、優れたスケーラビリティと転送性を示すため、タスクに適している。
分散コントローラの学習におけるGNNの可能性を説明するために、群れとマルチエージェントパス計画の問題を検討する。
論文 参考訳(メタデータ) (2020-12-29T18:59:14Z) - A Self-supervised Approach for Adversarial Robustness [105.88250594033053]
敵対的な例は、ディープニューラルネットワーク(DNN)ベースの視覚システムにおいて破滅的な誤りを引き起こす可能性がある。
本稿では,入力空間における自己教師型対向学習機構を提案する。
これは、反逆攻撃に対する強力な堅牢性を提供する。
論文 参考訳(メタデータ) (2020-06-08T20:42:39Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。