HYBRID AND DECOY MOVING TARGET DEFENSE IN CLOUD COMPUTING: a performance modeling approach

Abstract

RESUMO: A segurança da informação enfrenta desafios cada vez mais complexos, exigindo estratégias inovadoras para aumentar a resiliência dos sistemas contra ataques. O conceito de Moving

Target Defense (MTD) surge como uma abordagem promissora, pois dificulta a identi- ficação e exploração de vulnerabilidades ao modificar dinamicamente a configuração do

sistema. Diferentemente dos mecanismos de defesa tradicionais, que permanecem estáticos e previsíveis, o MTD busca reduzir a vantagem do atacante pela constante mudança do ambiente alvo. Entre as estratégias possíveis, destacam-se a migração de máquinas virtuais e a realocação de endereços IP, bem como o uso de servidores de decoy, que atuam como iscas para desorientar invasores e atrasar sua progressão. Este estudo propõe uma avaliação comparativa entre duas metodologias distintas de MTD, ambas modeladas por meio de redes de Petri. A primeira abordagem baseia-se na migração como estratégia defensiva,

considerando três políticas de ativação: baseada em tempo, baseada em eventos e uma abor- dagem híbrida que combina ambas. Para fortalecer a resposta a ataques, foi incorporado

um sistema de detecção de intrusão (IDS), responsável por identificar atividades maliciosas e acionar a migração do sistema conforme necessário. A segunda abordagem analisa o impacto do uso de servidores de decoy, combinados com a migração dinâmica de endereços IP, com o objetivo de dificultar o mapeamento dos servidores reais e aumentar a incerteza do atacante quanto à topologia do sistema. Os resultados das simulações indicam que a eficácia das políticas de detecção baseadas em eventos depende fortemente da precisão do IDS, sendo mais vantajosa quando esta ultrapassa 50%. Além disso, a abordagem híbrida demonstrou ser a mais eficiente para retardar o progresso de invasores, equilibrando segurança e desempenho. No contexto dos servidores de decoy, os experimentos revelaram que a introdução de um maior número de servidores falsos aumenta significativamente o tempo necessário para uma intrusão bem-sucedida, elevando-o de 8 para até 19 dias. Dessa forma, este trabalho contribui para a compreensão da aplicabilidade das diferentes estratégias de MTD, fornecendo análises sobre como políticas de migração e o uso de servidores de decoy podem ser otimizados para melhorar a segurança de infraestruturas computacionais contra ataques cibernéticos. ABSTRACT: Information security faces increasingly complex challenges, requiring innovative strategies to enhance system resilience against attacks. The concept of Moving Target Defense (MTD) emerges as a promising approach, as it hinders the identification and exploitation of vulnerabilities by dynamically modifying the system’s configuration. Unlike traditional defense mechanisms, which remain static and predictable, MTD seeks to reduce the attacker’s advantage through constant changes in the target environment. Among the possible strategies, notable examples include virtual machine migration and IP address relocation, as well as the use of decoy servers, which act as traps to mislead intruders and delay their progression. This study proposes a comparative evaluation between two distinct MTD methodologies, both modeled through Petri nets. The first approach relies on migration as a defensive strategy, considering three activation policies: time-based, event-based, and a hybrid approach combining both. To strengthen the response to attacks, an intrusion detection system (IDS) was incorporated to identify malicious activities and trigger system migration as needed. The second approach analyzes the impact of using decoy servers combined with dynamic IP address migration, aiming to hinder the mapping of real servers and increase the attacker’s uncertainty regarding the system topology. Simulation results indicate that the effectiveness of event-based detection policies strongly depends on IDS accuracy, being more advantageous when accuracy exceeds 50%. Furthermore, the hybrid approach proved to be the most effective in slowing the progress of intruders, balancing security and performance. In the context of decoy servers, experiments revealed that introducing a larger number of fake servers significantly increases the time required for a successful intrusion, raising it from 8 to as many as 19 days. Thus, this work contributes to understanding the applicability of different MTD strategies, providing insights into how migration policies and the use of decoy servers can be optimized to enhance the security of computational infrastructures against cyberattacks.