A SYSTEM FOR EMPIRICAL EVALUATION OF DEFENSIVE DECEPTIVE NETWORK POLICIES

Abstract

Various defensive deceptive network policies have been proposed and mathematically studied. These policies show promising results as a proactive defense against network intrusions. However, many of them have been not evaluated through some form of simulation and virtually none of them have been analyzed through the use of a testbed. As a result, there is a large gap of knowledge between the expected performance of a policy and its performance in an operational setting. This thesis presents a generic two-step system towards providing confidence in a policy’s suitability to be used operationally in defending a given network. The system is designed to lower the barrier to entry for researchers to conduct high quality empirical research on Defensive Deceptive Network Policies. The aim of this thesis is to evaluate Defensive Deceptive Network Policies using a progressively more realistic approach toward implementation by use of simulation and testbed. The results of this study show that a generic two-step evaluation system can be achieved by modeling policies in the Discrete Event System Specification formalism. As well, the two-step approach, enabled by this generic system, provides insight into how a policy performs in a network environment.

RÉSUMÉ Diverses stratégies défensives de détection des intrusions réseau ont été proposées et étudiées mathématiquement. Ces stratégies donnent des résultats prometteurs en tant que défense proactive contre les intrusions réseau. Cependant, beaucoup d’entre elles n’ont pas été évaluées à l’aide d’une forme quelconque de simulation et pratiquement aucune n’a été analysée à l’aide d’un banc d’essai. Il en résulte un écart important entre les performances attendues d’une politique et ses performances réelles dans un contexte opérationnel. Cette thèse présente un système générique en deux étapes visant à garantir la pertinence d’une politique pour une utilisation opérationnelle dans la défense d’un réseau donné. Le système est conçu pour réduire les obstacles à l’entrée pour les chercheurs qui souhaitent mener des recherches empiriques de haute qualité sur les politiques défensives de réseau trompeur. L’objectif de cette thèse est d’évaluer les politiques défensives de réseau trompeur à l’aide de simulations et d’environnements de banc d’essai de plus en plus réalistes. Les résultats de cette étude montrent qu’un système d’évaluation générique en deux étapes peut être mis en place en modélisant les politiques dans le formalisme de spécification de système à événements discrets. De plus, l’approche en deux étapes, rendue possible par ce système générique, permet de mieux comprendre le fonctionnement d’une politique dans un environnement réseau.