Construction of Attack-Resilient and Efficient Overlay-Topologies for Large-Scale P2P-based IPTV Infrastructures

Abstract At the moment, the convergence of the Internet and classical content distribution forms (e.g., TV), towards IPTV systems is taking place. These systems will be one of the main sources of data traffic in the near future, especially when considering HDTV streams. Current IPTV systems are based mostly on a client-server architecture that is not scalable to large user groups. Streams have to be transmitted once per subscribed client, which heavily burdens network operators as well as service providers. In recent years, Application Layer Multicast (ALM) emerged as a promising and scalable distribution method as it incorporates end-users in the distribution. However, end-users are unreliable, can be easily attacked (e.g., by DoS attacks), and are potentially malicious. Such malicious nodes may attempt to disturb the overlay construction or attack disclosed overlay nodes directly. Moreover, ALM overlays are established on top of an underlying infrastructure network, so that failures and attacks on underlay components (links or routers) may disrupt several overlay paths concurrently. Most current ALM systems are vulnerable to attacks on end-nodes and underlay components. This Ph.D. thesis addresses the resilience of ALM-based IPTV overlays to the aforementioned attack forms. Thus, this thesis presents distributed mechanisms to establish near-optimal stable IPTV topologies with respect to overlay attacks by incorporating a highly heterogeneous user set. This includes a manipulation-resistant construction of near-optimal stable topologies in the presence of internal attackers. As a result, their damage can be significantly decreased. To increase the resilience against underlay attacks, an underlay-aware construction is presented that clusters nodes to subtrees according to their network positions. Hence, the overlay dependency on single underlay components decreases. In combination with a near-optimal stable construction, the established topologies are resilient to attacks on end-nodes and underlay components at the same time. To increase the efficiency of the IPTV system, virtual ALM routers are introduced that assist in the content distribution. They are deployed directly on network routers and adapt themselves to their overlay successor set by relocating their topological positions between neighboring network routers. As a result, ALM routers considerably decrease the traffic load in networks as well as the delay at end-users. The developed approaches have been extensively evaluated both individually and in combination in an integrated system called AREA IPTV. For this evaluation, novel metrics and attacker models have been developed, e.g., a novel model for a budgetconstrained DoS attacker that is supported by malicious nodes in the topology. The resulting IPTV topologies are resilient to attacks on end-nodes and underlay components. At the same time, they induce a low delay at end-users and decrease the traffic load in the network. Thus, AREA IPTV is resilient to different attack forms and it provides an efficient and scalable distribution of IPTV content. Zusammenfassung Gegenwärtig lässt sich eine Verschmelzung klassischer Verteilungsformen von Inhalten, wie konventionellem Fernsehen, mit dem Internet und hin zu IPTV-Systemen beobachten. Solche Systeme werden für einen Hauptanteil des zukünftigen Datenverkehrs in Netzen verantwortlich sein, im Besonderen durch die Verteilung von HDTV-Streams. Die meisten IPTV-Systeme im praktischen Einsatz basieren auf Client-Server Architekturen. Diese skalieren nicht mit der Anzahl der Teilnehmer, da Streams für jeden Teilnehmer einzeln übertragen werden müssen. Damit werden sowohl Netzbetreiber als auch Diensterbringer gleichermaßen stark belastet. In den letzten Jahren, wurde mit Application Layer Multicast (ALM) Systemen eine viel versprechende und skalierbare Verteilungsmethode entwickelt. Dazu werden Endsysteme in die Datenverteilung einbezogen. Allerdings sind Endsysteme nicht zwangsläufig zuverlässig, da sie einfach angegriffen werden können (z.B. mittels DoS-Angriffen) und möglicherweise bösartig sind. Solche internen Angreifer können die Konstruktion einer ALM-Topologie stören oder identifizierte Teilnehmer direkt angreifen. Da ALMSysteme auf einem Infrastrukturnetzwerk aufsetzen, können Fehler und Angriffe auf Netzwerkkomponenten (Links und Router) multiple Ausfälle in der ALM-Topologie nach sich ziehen. Die meisten im Kontext dieser Arbeit betrachteten ALM-Systeme sind anfällig gegenüber Angriffen auf Endnutzer und Netzwerkkomponenten. Diese Dissertation adressiert die Erhöhung der Widerstandsfähigkeit von ALM-basierten IPTV-Topologien gegenüber den oben genannten Angriffsformen. So wurden in der Arbeit verteilte Mechanismen entwickelt, die nahezu optimal stabile IPTV-Topologien auf der Basis von hochgradig heterogenen Endnutzern etablieren. Dies umfasst auch deren manipulations-resistente Konstruktion in der Gegenwart interner Angreifer. Um die Widerstandsfähigkeit gegenüber Angriffen auf Netzkomponenten zu erhöhen, wird zudem eine Topologiekonstruktion eingeführt, die aktiv die Abhängigkeit von einzelnen Komponenten im Transportnetz verringert. Dazu werden Knoten anhand ihrer Position im Transportnetz in Teilbäume gruppiert. In Kombination mit der nahezu optimal stabilen Topologiekonstruktion, werden dadurch Topologien erzeugt, die sowohl widerstandsfähig gegenüber Angriffen auf Endknoten als auch gegenüber Angriffen auf Netzkomponenten sind. Zur Erhöhung der Effizienz von IPTV-Systemen werden virtuelle ALM-Router eingeführt, die in der Datenverteilung assistieren. Diese werden auf Router im Netzwerk platziert und adaptieren sich an ihre Nachfolger in der ALM-Topologie, indem sie sich bei Bedarf auf benachbarte Router im Transportnetz verschieben. Damit wird die Verkehrslast in Netzwerken und die Verzögerung der Datenströme auf Seiten der Endnutzer verringert. Die entwickelten Mechanismen wurden ausführlich evaluiert, sowohl einzeln als auch in Kombination in einem integrierten System, AREA IPTV. In der Evaluation wurden neu entwickelte Metriken und Angreifermodelle verwendet, wie beispielsweise das Modell eines bandbreitenbeschränkten DoS-Angreifers, der von kompromittierten Knoten in der Topologie unterstützt wird. Die resultierenden IPTV-Topologien sind gleichermaßen widerstandsfähig gegenüber Angriffen auf Endknoten und Netzkomponenten. Darüber hinaus zeichnet sich die resultierende Datenverteilung durch eine geringe Verzögerung auf der Seite von Endknoten als auch über eine verringerte Netzwerklast aus. Damit ist AREA IPTV widerstandsfähig gegenüber unterschiedlichen Angriffsformen und bietet eine effiziente und skalierbare Verteilung von IPTV-Inhalten.

Weitere Produkte vom selben Autor

Download
PDF
Portugal: Wege aus der Schuldenkrise Mathias Fischer

19,99 €*