TU Darmstadt / ULB / TUprints

On the Effective Use of Data Dependency for Reliable Cloud Service Monitoring

Zhang, Heng (2019)
On the Effective Use of Data Dependency for Reliable Cloud Service Monitoring.
Technische Universität Darmstadt
Ph.D. Thesis, Primary publication

[img]
Preview
PhD Thesis - Text (PhD Thesis)
HengZhang_PhD_Thesis.pdf - Submitted Version
Copyright Information: CC BY-SA 4.0 International - Creative Commons, Attribution ShareAlike.

Download (3MB) | Preview
Item Type: Ph.D. Thesis
Type of entry: Primary publication
Title: On the Effective Use of Data Dependency for Reliable Cloud Service Monitoring
Language: English
Referees: Schneider, Prof. Dr. Thomas ; Suri, Prof. Dr. Neeraj
Date: 30 September 2019
Place of Publication: Darmstadt
Date of oral examination: 18 November 2019
Abstract:

Cloud computing is a large-scale distributed computing paradigm that aims at providing powerful computing and storage capability by dynamically sharing a pool of system resources (e.g., network bandwidth, storage space, or virtualized devices) in a multi-tenant environment. With the support of the computing technology, a plethora of cloud services have been developed for meeting the different requirements of cloud service customers (CSCs). While cloud service has many attractive advantages (e.g., rapid service deployment, reliable service availability, elastic service reconfiguration, or economic service billing), the security assurance of cloud services is a key concern for the service customers. Cloud monitoring is an essential mechanism for managing the security assurance of cloud services. Over the last few years, a large number of monitoring mechanisms have been proposed. The mechanisms are developed for monitoring varied security problems in the cloud with the common assumption that all the monitoring information is directly available. These mechanisms can achieve satisfactory monitoring performance only if the assumption can be satisfied (e.g., protecting cloud services from distributed denial of service (DDoS) attacks by checking the traffic information collected from network monitors). However, the existing mechanisms are unfortunately incapable of dealing with the security threats that are subtly crafted by malicious attackers without producing evident attack traces. Due to that the useful information related to the attacks is difficult to collect, the attacks can silently bypass the existing monitoring mechanisms and secretly undermine the victim services. As a result, to develop an effective monitoring mechanism for securing cloud services becomes a compelling demand. For motivating the issue, this thesis initially investigates a typical cloud security attack that can gradually drain system resources in a target cloud without triggering any alarms for highlighting the realistic demand of performing effective security monitoring in cloud systems. To combat the attack, a pragmatic security countermeasure is proposed for securing the cloud. To meet the demand, the thesis focuses on achieving effective security assurance management of cloud services by addressing the common shortcoming of existing monitoring mechanisms. Using the data relation (i.e., data dependency) existing in the collected monitoring data sets, the thesis demonstrates the possibility of leveraging the available information and the existing data relation to indirectly monitor cloud security problems with a novel inference-based security mechanism. Furthermore, the thesis also demonstrates the feasibility of taking advantage of data dependency to obtain the input information for running the inference mechanism by developing a practical data ascertaining technique. Finally, this thesis targets addressing potential data errors that can undermine the reliability of the proposed monitoring mechanism. Consequently, a reliability assessment mechanism is developed to select suitable data used by the proposed mechanism for generating reliable monitoring results.

Alternative Abstract:
Alternative AbstractLanguage

Cloud-Computing ist ein Paradigma des groß angelegten, verteilten Rechnens, das darauf abzielt, leistungsstarke Rechen- und Speicherkapazitäten bereitzustellen, indem es einen Pool von Systemressourcen (z.B. Netzwerkbandbreite, Speicherplatz oder virtualisierte Geräte) in einer von mehreren Nutzern geteilten Umgebung dynamisch zuteilt. Es wurde eine Vielzahl von Cloud-Services entwickelt, um den unterschiedlichen Anforderungen von Kuden (Cloud Service Customers oder CSCs) gerecht zu werden. Während Cloud-Services viele attraktive Vorteile bieten (z.B. schnelle Servicebereitstellung, zuverlässige Serviceverfügbarkeit, elastische Service-Rekonfiguration oder wirtschaftliche Serviceabrechnung), ist die Sicherheit von Cloud-Services für die Servicekunden ein zentrales Anliegen. Das sogenannte Cloud-Monitoring ist ein wesentlicher Mechanismus für die Verwaltung der Sicherheit von Cloud-Services. In den letzten Jahren wurde eine Vielzahl von Überwachungsmechanismen entwickelt. Diese Mechanismen wurden für die Überwachung verschiedener Sicherheitsprobleme in der Cloud entwickelt, mit der gemeinsamen Annahme, dass alle zur Überwachung erforderlichen Infor- mationen direkt verfügbar sind. Folglich können solche Mechanismen nur dann eine zufriedenstellende Überwachungsleistung erzielen, wenn diese Annahme erfüllt werden kann (z.B. Schutz von Cloud-Diensten vor Distributed Denial of Service (DDoS) Angriffen durch Überprüfung der von Netzwerk-Monitoren gesammelten Verkehrsinformationen). Bestehende Mechanismen sind jedoch leider nicht in der Lage, mit Sicherheitsbedrohungen umzugehen, die von Angreifern subtil inszeniert werden, ohne offensichtliche Angriffsspuren zu hinterlassen. Da nützliche Informationen über die Angriffe schwer zu sammeln sind, können die Angriffe die bestehenden Überwachungsmechanismen umgehen und die angegriffenen Dienste heimlich untergraben. Infolgedessen wird die Entwicklung eines effektiven Überwachungsmechanismus zur Sicherung von Cloud-Diensten zu einer zwingenden Notwendigkeit. Zur Motivation des Problems untersucht diese Arbeit zunächst einen typischen Cloud-Sicherheitsangriff, der Systemressourcen in einer Ziel-Cloud schrittweise aufzehren kann, ohne Alarme auszulösen, um die realistische Anforderung einer effektiven Sicherheitsüberwachung in Cloud-Systemen hervorzuheben. Um den Angriff zu bekämpfen, wird eine pragmatische Maßnahme zur Sicherung der Cloud vorgeschlagen. Die Arbeit konzentriert sich auf das Erreichen einer effektiven Sicherheitsverwaltung von Cloud-Services, indem sie den gemeinsamen Mangel an bestehenden Überwachungsmechanismen behebt. Unter Verwendung der in den gesammelten Monitoring-Datensätzen vorhandenen Datenrelation (d.h. Datenabhängigkeit) demonstriert die Arbeit die Möglichkeit, die verfügbaren Informationen und die bestehende Datenrelation zu nutzen, um indirekt Cloud-Sicherheitsprobleme mit einem neuartigen inferenzbasierten Sicherheitsmechanismus zu überwachen. Darüber hinaus zeigt die Arbeit auch die Machbarkeit der Nutzung der Datenabhängigkeit, um die Input-Informationen für den Betrieb des Inferenzmechanismus durch die Entwicklung einer praktischen Datenerhebungstechnik zu erlangen. Abschließend befasst sich diese Arbeit mit potenziellen Datenfehlern, die die Zuverlässigkeit des vorgeschlagenen Überwachungsmechanismus beeinträchtigen können. Daher wird ein Mechanismus zur Zuverlässigkeitsbewertung entwickelt, um geeignete Daten auszuwählen, die der vorgeschlagenen Mechanismus zur Erzeugung zuverlässiger Überwachungsergebnisse verwenden kann.

German
URN: urn:nbn:de:tuda-tuprints-94644
Classification DDC: 000 Generalities, computers, information > 004 Computer science
Divisions: 20 Department of Computer Science > Dependable Embedded Systems & Software
Date Deposited: 28 Nov 2019 08:52
Last Modified: 28 Nov 2019 08:52
URI: https://tuprints.ulb.tu-darmstadt.de/id/eprint/9464
PPN: 456565647
Export:
Actions (login required)
View Item View Item