Container-level Intrusion detection for multi-tenant environments

Abstract

A computação em nuvem fornece um serviço conveniente, on-demand, elástico e ubíquo, através de sistemas de virtualização de alto desempenho, entre outros recursos. Houve um crescimento no uso de containers nos últimos anos, mesmo em cenários críticos para o negócio. A sua instanciação leve, fácil e eficiente permite não apenas um uso elástico e on-demand de recursos, mas também uma administração facilitada. No entanto, a adoção de containers também aumenta os riscos de segurança agravados pelos ambientes de multi-tenancy que devem ser analisados cuidadosamente. Os ataques realizados por outros inquilinos presentes na mesma infraestrutura são particularmente preocupantes e medidas preventivas, como sistemas de deteção de intrusão, devem ser implementadas ao nível dos containers. Neste trabalho, estudamos a eficácia e a aplicabilidade de técnicas de deteção de intrusão em sistemas multi-tenant baseados em containers. Para isso, propomos uma metodologia baseada na injeção de ataques que utiliza cargas de trabalho representativas e exploração de ataques num sistema baseado em containers, para gerar os dados necessários para treinar e testar os classificadores. Seguindo a metodologia proposta, desenvolvemos uma campanha experimental para avaliar três algoritmos de deteção de intrusões de estado da arte e amplamente utilizados: BoSC, STIDE e HMM. Uma versão do MariaDB com vulnerabilidades conhecidas foi colocada em containers e submetida a duas variações da carga de trabalho do TPC-C. Em cada slot de ataque, um de cinco ataques representativos foi executado de acordo com o procedimento de injeção do ataque. A experiência também foi realizada numa configuração tradicional do sistema operativo, para estudar vantagens e desvantagens. Os resultados do trabalho experimental indicam que os algoritmos são aplicáveis neste domínio, pois várias configurações obtiveram muito bons resultados em todos os cenários: nas configurações do Docker (recall >=0,98, precision >=0,72) e um pouco pior, mas ainda satisfatório no LXC. Os resultados observados para a configuração do SO foram piores, indicando a dificuldade de definir adequadamente a superfície de monitorização. Os nossos resultados indicam que a deteção de intrusões com base em anomalias é eficaz neste ambiente, abrindo caminho para a aplicação de outras técnicas de segurança, como tolerância a intrusões.

Cloud computing provides a convenient, on-demand, elastic and ubiquitous service enabled by high-performance virtualisation systems among other features. There has been a growth in containers’ use over the last years, even in business-critical scenarios. Their lightweight, easier and more efficient instantiation empowers not only an elastic and on-demand use of resources, but also a straightforward resource administration. However, the adoption of containers also increases security risks exacerbated by multi-tenant environments that should be carefully analysed. Attacks led by other tenants present in the same infrastructure are particularly concerning, and counter-measures such as intrusion detection systems should be deployed at container-level.In this work, we study the effectiveness and applicability of intrusion detection techniques in container-based multi-tenant systems. For this, we propose a methodology based on attack injection that uses representative workloads and attacks exploits in a container-based system, to generate the traces required to train and test the classifiers. Following the proposed methodology, we devised an experimental campaign to evaluate three state-of-the-art and widely used intrusion detection algorithms: BoSC, STIDE, and HMM. A version of MariaDB with known vulnerabilities was deployed into containers and submitted to two variations of the TPC-C workload. In each attack slot, one of five diverse attacks was executed following the attack injection procedure. The experiment was also performed in a traditional OS setup, to study advantages and drawbacks.The results of the experimental campaign indicate that the algorithms are applicable in this domain since several configurations obtained very good results in all scenarios: in Docker setups (recall >=0.98, precision >=0.72), and slightly worse, but yet satisfactory in LXC. The observed results for the OS setup were worse, indicating that difficulty of properly defining the monitoring surface. Our results indicate that anomaly-based intrusion detection is effective in this environment, leading the way to the application of other security techniques such as intrusion tolerance.