Tesis:

Contribuciones para el diseño de servicios inteligentes de seguridad en redes NFV/SDN de operador Telco


  • Autor: PASTOR PERALES, Antonio Agustín

  • Título: Contribuciones para el diseño de servicios inteligentes de seguridad en redes NFV/SDN de operador Telco

  • Fecha: 2023

  • Materia:

  • Escuela: E.T.S.I. DE SISTEMAS INFORMÁTICOS

  • Departamentos: SISTEMAS INFORMATICOS

  • Acceso electrónico: https://oa.upm.es/73636/

  • Director/a 1º: MOZO VELASCO, Alberto

  • Resumen: La presente Tesis doctoral detalla las contribuciones realizadas dentro de un estudio sobre las tecnologías de red y su aplicación para el desarrollo de servicios de seguridad gestionada. El trabajo realizado tiene un claro enfoque hacia los operadores de telecomunicaciones, que incluye la identificación de las limitaciones existentes y las oportunidades de seguridad que surgen alrededor de los paradigmas de virtualización de la red (NFV), programabilidad de la red (SDN) y el aprendizaje automático (ML). Esta aproximación se apoya en un análisis realizado sobre la primera aplicación de NFV en una operadora, como es la solución de una pasarela residencial virtualizada, vHGW, donde además de estudiar el impacto de seguridad, se analiza la oportunidad de crear servicios de seguridad sobre esta tecnología. Sobre este resultado, se ha diseñado una solución de gestión de políticas de seguridad aprovechando el marco de orquestación NFV y la creación de una aplicación de seguridad sobre controlador SDN para ofrecer servicios de seguridad. En este contexto, y como siguiente paso se han propuesto y diseñado nuevos servicios internos a la operadora y externos para sus clientes que permitan progresar hacia la capacidad de ofrecer seguridad gestionada. Primeramente, se ha especificado una solución de recogida y gestión de datos de telemetría de red. Adicionalmente se ha propuesto llevar esa solución a un caso de una red 5G en una arquitectura alineada con ETSI ZSM que dispone de sistemas de análisis de los datos de telemetría basados en aprendizaje automático para detectar ataques, componentes de toma de decisiones y ejecución de medidas de mitigación, siguiendo los principios de bucles cerrados de respuesta. Esta solución se ha planteado también como servicio comercial a clientes incluyendo el desarrollo de funciones de seguridad virtualizadas (vNSF), que se ha ejemplarizado con una vNSF que actúa como proxy TLS para detectar urls maliciosas. Dada la necesidad de operar y gestionar la detección y mitigación de ataques en redes complejas se ha definido un servicio adicional, basado en un entorno de ejecución virtualizado, para el adiestramiento en uso de herramientas de aprendizaje automático de seguridad, un Cyber Range. El entorno seleccionado para este Cyber Range has sido una red 5G, donde se han desarrollado en detalle dos escenarios de ataques y detección sobre trafico cifrado, incluyendo los pasos y el proceso de aprendizaje. En relación con la necesidad de datos para el aprendizaje automático, se ha profundizado en la tesis con la creación de un entorno novedoso de generación de datos, llamada Mouseworld. Tres casos de aplicabilidad se han desarrollado sobre este entorno, desde la creación de un servicio bajo demanda de modelos de detección de ataques, pasando por una solución integrada en entornos de producción, hasta el uso de redes neuronales GAN (Generative Adversarial Networks) para generar conjuntos de datos sintéticos a partir de una muestra original. Por último, la solución del laboratorio Mouseworld se ha evolucionado hacia el recientement aparecido concepto de gemelo digital de red, incluyendo el rediseño y la especificación de sus componentes. Con el apoyo de Mouseworld, se han construido y validado experimentalmente varios modelos de aprendizaje automático en el entorno de la cyberseguridad y se han validado experimentalmente para su uso por el servicio de seguridad gestionado y el servicio de aprendizaje. Entre los modelos de aprendizaje automático, se han producido resultados de investigación sobre la detección de diferentes tipos de tráfico malicioso. El caso de la criptominería cabe destacar que se han seleccionado una serie de características avanzadas de la red que demuestran una mejora en las detecciones, incluso cuando el tráfico está cifrado. ABSTRACT This Ph.D. thesis details the contributions made in a study on network technologies and their application for the development of managed security services. The work carried out has a clear focus on telecommunications operators, including the identifcation of existing limitations and security opportunities that arise around the paradigms of network virtualisation (NFV), network programmability (SDN) and machine learning (ML). This approach is supported by the analysis of the frst NFV application in an operator, such as a virtualised Home GateWay solution, vHGW, where, in addition to studying the security impact, the opportunity to create security services on this technology is analysed. Based on this result, a security policy management solution has been designed, taking advantage of the NFV orchestration framework and the design of a security application on SDN controller to ofer security services. In this context, and as a next step, new internal services for the operator and external services for its customers have been proposed and designed to progress towards the ability to ofer managed security. Firstly, a solution for the collection and management of network telemetry data has been specifed. Additionally, it was proposed to take this solution to a 5G network case in an ETSI ZSM-aligned architecture. The system includes telemetry data analysis systems based on machine learning to detect attacks, decision-making components and execution of mitigation measures, following the principles of closed-loop response. The solution has also been proposed as a commercial service to customers including the development of virtualised security functions (vNSF), which has been exemplifed by a vNSF that acts as a TLS proxy to detect malicious urls. Given the need to operate and manage the detection and mitigation of attacks in complex networks, an additional service has been defned. A Cyber Range based on a virtualised execution environment allows training in the use of machine learning security tools. The environment selected for this Cyber Range is a 5G network, where two attack detection scenarios on encrypted trafc have been developed in detail, including the steps and the learning process. In relation to the need of data for machine learning, the thesis has been deepened with the creation of a novel data generation environment, called Mouseworld. Three applicability cases have been developed on this environment, from the creation of an on-demand service of attack detection models, through an integrated solution in production environments, and complementing it with the use of GAN (generative Adversarial Networks) neural networks, to generate datasets from an original sample to allow new model trainings. Finally, the Mouseworld lab solution has evolved into the recently appeared digital network twin concept, including the redesign and specifcation of its components. With the support of Mouseworld, several machine learning models specifc to security problems have been built and experimentally validated for use by the managed security service and the learning service. Among the machine learning models, research results have been produced on the detection of diferent types of malicious trafc. The case of cryptomining is worth highlighting, where a series of advanced network features have been selected that demonstrate improved detections, even when the trafc is encrypted.