Home » Évènement

Soutenance de thèse de Thuy Linh NGUYEN (équipe STACK)

Thuy Linh Nguyen, doctorante au sein de l’équipe STACK, soutiendra sa thèse intitulée « Fast delivery of Virtual Machines and Containers: Understanding and optimizing the boot operation » / « Contributions à l’approvisionnement d’environnements virtualisés : la problématique des temps de démarrage des machines virtuelles et des conteneurs »

mardi 24 septembre 2019 à 13h30, dans l’amphi Besse sur le site de l’IMT Atlantique.

Jury :
– Président : Mario SUDHOLT (Professeur, IMT Atlantique)
– Examinateurs : Ramon NOU (Chercheur, Barcelona Supercomputing Center, Espagne)
– Directeur de thèse : Adrien LEBRE (Professeur, IMT Atlantique)
– Rapporteurs : Maria S. PEREZ (Professeure, Universidad Politecnica de Madrid, Espagne), Daniel HAGIMONT (Professeur, INPT/ENSEEIHT, Toulouse)

Abstract: The provisioning process of a Virtual Machine (VM) or a container is a succession of three complex stages : (i) scheduling the VM/Container to an appropriate compute node; (ii) transferring the VM/Container image to that compute node from a repository; (iii) and finally performing the VM/Container boot process. Depending on the properties of the client’s request and the status of the platform, each of these three phases can impact the total duration of the provisioning operation. While many works focused on optimizing the two first stages, only few works investigated the impact of the boot duration. This comes to us as a surprise as a preliminary study we conducted showed the boot
time of a VM/Container can last up to a few minutes in high consolidated scenarios. To understand the major reasons for such overheads, we performed on top of Grid’5000 up
to 15k experiments, booting VM/Container under different environmental conditions. The results showed that the most influential factor is the I/O operations. To accelerate the boot process, we defend in this thesis, the design of a dedicated mechanism to mitigate the number of generated I/O operations. We demonstrated the relevance of this proposal by discussing a first prototype entitled YOLO (You Only Load Once). Thanks to YOLO, the boot duration can be faster 2-13 times for VMs and 2 times for containers. Finally, it is noteworthy to mention that the way YOLO has been designed enables it to be easily applied to other types of virtualization (e.g., Xen) and containerization technologies.

Keywords: Cloud Computing, Virtualization, Containerization, Boot Duration

************

Résumé : Le processus d’approvisionnement d’une machine virtuelle (VM) ou d’un conteneur est une succession de trois étapes complexes: (i) la phase d’ordonnancement qui consiste à affecter la VM/le conteneur sur un noeud de calcul ; (ii) le transfert de l’image disque associée vers ce noeud de calcul; (iii) et l’exécution du processus de démarrage (généralement connu sous le terme « boot »). En fonction des besoins de l’application virtualisée et de l’état de la plate-forme, chacune de ces trois phases peut avoir une durée plus ou moins importante. Si de nombreux travaux se sont concentrés sur l’optimisation des deux premières étapes, la littérature couvre que partiellement les défis liés à la dernière. Cela est surprenant car des études ont montré que le temps de démarrage peut atteindre l’ordre de la minute dans certaines conditions. Durée que nous avons confirmée grâce à une étude préliminaire visant à quantifier le temps de démarrage, notamment dans des scénarios où le ratio de consolidation est élevé.

Mots-clés : Informatique en nuage, virtualisation système, conteneurs, temps de démarrage

CominLabs Security Day

The CominLabs Security and Privacy track organises a one-day meeting to present and discuss on-going and future research projects. The meeting is open to all members in CominLabs concerned by the Security and Privacy track.
The meeting will take place on Friday 13 September at INRIA Rennes/Irisa, Campus de Beaulieu, Rennes.
Registration to the Security Day is mandatory and free. It  includes coffee/tea breaks and a buffet lunch.
Please register before 31 July by indicating name and email using the following Framadate: https://framadate.org/9swJbMjYW3mO1XX3
Preliminary programme of the day:
  • 9:30 Welcome coffee/tea
  • 10:00 – 12:30 Presentation of on-going projects and actions:
– HardBlare: Co-processors for information flow control (Guillaume Hiet)
– PrivGen: Privacy-preserving sharing and processing of genetic data. (Mario Südholt)
– Profile: Analyzing and mitigating the risks of online profiling (law, computer science and sociology) (Johan Bourcier)
– Tyrex: Lattice-based cryptography for homomorphic encryption (Adeline Langlois)
– Watsup: Watermarking outsourced data (start-up project) (Gouenou Coatrieux)
– JSExplaiin: Explaining JavaScript executions (standardisation) (Alan Schmitt)
– Blockchain FM : Formal methods for blockchain and smart contract security (Emmanuelle Anceaume & Thomas Genet)
For each project and action, prepare for 15 min talk + 5 min questions.
  • 12:30 – 13:30 Lunch
  • 13:30 – 17:00 Future research actions in security and privacy:
– CominLabs 2.0 Security and Privacy track and its related research structures (Pierre-Alain Fouque, Ludovic Mé, Thomas Jensen)
– Discussion about possible research actions on topics.
Participants are invited to prepare a 5min presentation of a possible research action on topics including but not limited to:
– Security at the hardware/software interface
– Side channels
– Cryptography and cryptographic protocols
– Security of Distributed Ledger Technology
– Privacy
– Malware
– Trustworthy software
– Security and virtualisation
– Data protection
– security-by-design
– security and AI
– …

Soutenance de thèse de Mohammad Mahdi BAZM (équipe STACK)

Mahdi Bazm, doctorant au sein de l’équipe STACK, soutiendra sa thèse intitulée « Architecture d’isolation unifiée et mécanismes de lutte contre les canaux auxiliaires pour infrastructures cloud décentralisées »

lundi 8 juillet 2019 à 13h30 dans l’amphi du bât. 34 sur le site de la FST.

Jury :
– Directeur thèse : Mario Sudholt, Jean-Marc Menaud
– Co-encadrant : Marc Lacoste (Orange labs)
– Rapporteurs : Yves Roudier (U Sophia Nice Antipolis) Daniel Hagimont
(IRIT Toulouse)
– Autres membres : Christian Perez (DR Inria)

Résumé :
Depuis leur découverte par Ristenpart [Ristenpart et al., 2009],le problème de sécurité des attaques par canaux auxiliaires est devenu de plus en plus important dans les environnements virtualisés tels que les infrastructures cloud, avec une amélioration rapide des techniques d’attaque. De ce fait, la détection et la mitigation des attaques dans ces environnements ont davantage retenu l’attention et ont fait l’objet de nombreux travaux de recherche.
Dans les environnements virtualisés, ces attaques exploitent le partage de ressources matérielles telles que le processeur. Ces ressources sont partagées entre différents utilisateurs à un niveau souvent très bas via la couche de virtualisation. Par conséquence, il permet de contourner les mécanismes de sécurité implémentés au niveau de la couche de virtualisation, ce qui présente des fuites d’information. Les niveaux de cache du processeur sont les ressources qui sont partagées entre les instances et jouent comme un canal de divulgation d’information. Les attaques par canaux auxiliaires utilisent donc ce canal an d’obtenir des informations sensibles telles que les clés cryptographiques.
Différents travaux de recherche existent déjà sur la détection/mitigation de ces attaques dans les systèmes d’information. Les techniques de mitigation des attaques par canaux auxiliaires basées sur le cache, sont principalement divisées en trois classes en fonction de la couche où elles sont appliquées dans les infrastructures de cloud (application, système et matérielle). La détection est essentiellement effectuée au niveau de la couche système d’exploitation/hyperviseur en raison de la possibilité d’analyser le comportement des instances virtualisées à ce niveau.
Dans cette thèse, nous fournissons d’abord un état de l’art sur le dé d’isolation et sur les attaques par canaux auxiliaires basées sur le cache dans les infrastructures cloud. Nous présentons ensuite différentes approches pour détecter/mitiger les attaques par canaux auxiliaires entre VMs ou entre conteneurs Linux. En ce qui concerne la détection des attaques par canaux auxiliaires basées sur le cache, nous y parvenons en utilisant Hardware Performance Counters (HPC) et Intel Cache Monitoring Technology (CMT) avec des approches de détection d’anomalie pour identifier une VM ou un conteneur malveillant.
Nos résultats expérimentaux montrent un taux de détection élevé. Nous utilisons ensuite une approche basée sur la théorie Moving Target Defence (MTD) pour interrompre une attaque par canaux auxiliaires basée sur le cache entre deux conteneurs Linux. MTD nous permet de rendre la configuration du système plus dynamique
et donc plus difficile à attaquer par un adversaire, en utilisant le shuing à différents niveaux du système et du cloud. Notre approche n’a pas besoin d’apporter de modification ni dans l’OS invité ni dans l’hyperviseur. Les résultats expérimentaux montrent que notre approche a un surcoût de performance très faible.

*****

Abstract:
Since their discovery by Ristenpart [Ristenpart et al., 2009], the security concern of sidechannel attacks is raising in virtualized environments such as cloud computing infrastructures because of rapid improvements in the attack techniques. Therefore, the mitigation and the detection of such attacks have been getting more attention in these environments, and consequently have been the subject of intense research works. These attacks exploit for instance sharing of hardware resources such as the processor
in virtualized environments. Moreover, the resources are often shared between dierent users at very low-level through the virtualization layer. As a result, such sharing allows bypassing security mechanisms implemented at virtualization layer through such a leaky sharing. Cache levels of the processor are the resources which are shared between instances, and play as an information disclosure channel. Side-channel attacks thus use this leaky channel to obtain sensitive information such as cryptographic keys.
Different research works are already exist on the detection/mitigation of these attack in information systems. Mitigation techniques of cache-based side-channel attacks are mainly divided into three classes according to dierent layer of application in cloud infrastructures (i.e., application, system, and hardware). The detection is essentially done at OS/hypervisor layer because of possibility of analyzing virtualized instances behavior at both layers.
In this thesis, we rst provide a survey on the isolation challenge and on the cachebased side-channel attacks in cloud computing infrastructures. We then present different approaches to detect/mitigate cross-VM/cross-containers cache-based side-channel attacks. Regarding the detection of cache-based side-channel attacks, we achieve that by leveraging Hardware performance Counters (HPCs) and Intel Cache Monitoring Technology (CMT) with anomaly detection approaches to identify a malicious virtual machine
or a Linux container. Our experimental results show a high detection rate. We then leverage an approach based on Moving Target Defense (MTD) theory to interrupt a cache-based side-channel attack between two Linux containers. MTD allows us to make the conguration of system more dynamic and consequently harder to attack by an adversary, by using shuing at dierent level of system and cloud. Our approach does not need to carrying modication neither into the guest OS or the hypervisor. Experimental results show that our approach imposes very low performance overhead.

Soutenance de thèse de Mohamed ABDERRAHIM (équipe STACK)

Mohamed Abderrahim, doctorant au sein de l’équipe STACK, soutiendra sa thèse intitulée « Conception d’un système de supervision programmable et reconfigurable pour une infrastructure informatique et réseau répartie« 

mercredi 19 décembre 2018 à 13h30 dans l’amphithéâtre Georges Besse de l’IMT-Atlantique.

Jury : Frédéric DESPREZ (Directeur de recherche – Inria, Rapporteur),Christian PEREZ (Directeur de recherche – Inria, Rapporteur), Pierrick SEITE (Ingénieur de recherche /docteur – Orange Labs, Examinateur), Adrien LEBRE (Professeur – IMT-Atlantique, Directeur de thèse), Karine GUILLOUARD (Ingénieur de recherche /docteur – Orange Labs, Co-encadrant), Jérôme FRANÇOIS (Chargé de recherche – Inria, Co-encadrant)

Résumé :
Le Cloud offre le calcul, stockage et réseau en tant que services. Pour réduire le coût de cette offre, les opérateurs ont tendance à s’appuyer sur des infrastructures centralisées et gigantesques. Cependant, cette configuration entrave la satisfaction des exigences de latence et de bande passante des applications de nouvelle génération. L’Edge cherche à relever ce défi en s’appuyant sur des ressources massivement distribuées. Afin de satisfaire les attentes des opérateurs et des utilisateurs du Edge, des services de gestion ayant des capacités similaires à celles qui ont permis le succès du Cloud doivent être conçus. Dans cette thèse, nous nous concentrons sur le service de supervision. Nous proposons un canevas logiciel pour la mise en place d’un service holistique. Ce canevas permet de déterminer une architecture de déploiement pair-à-pair pour les fonctions d’observation, de traitement et d’exposition des mesures. Il vérifie que cette architecture satisfait les exigences fonctionnelles et de qualité de service des utilisateurs. Ces derniers peuvent être exprimés à l’aide d’un langage de description offert par le canevas. Le canevas offre également un langage de description pour unifier la description de l’infrastructure Edge. L’architecture de déploiement est déterminée avec l’objectif de minimiser l’empreinte de calcul et réseau du service de supervision. Pour cela, les fonctions de supervision sont mutualisées entre les différents utilisateurs. Les tests que nous avons faits ont montré la capacité de notre proposition à réduire l’empreinte de supervision avec un gain qui atteint -28% pour le calcul et -24% pour le réseau.

**********

Abstract:
Cloud offers compute, storage and network as services. To reduce the offer cost, the operators tend to rely on centralized and massive infrastructures. However, such a configuration hinders the satisfaction of the latency and bandwidth requirements of new generation applications. The Edge aims to rise this challenge by relying on massively distributed resources. To satisfy the operators and the users of Edge, management services similar to the ones that made the success of Cloud should be designed. In this thesis, we focus on the monitoring service. We design a framework to establish a holistic monitoring service. This framework determines a peer-to-peer deployment architecture for the observation, processing, and exposition of measurements. It verifies that this architecture satisfies the functional and quality of service constraints of the users. For this purpose, it relies on a description of users requirements and a description of the Edge infrastructure. The expression of these two elements can be unified with two languages offered by the Framework. The deployment architecture is determined with the aim of minimizing the compute and network footprint of the monitoring service. For this purpose, the functions are mutualized as much as possible among the different users. The tests we did showed the relevance of our proposal for reducing monitoring footprint with a gain of -28% for the compute and -24% for the network.

Journée Atlanstic 2020 – Table ronde « Industrie du futur »

Stéphane Caro, chargé de recherche au sein de l’équipe RoMaS, et Hélène Coullon, Maître-assistante au sein de l’équipe STACK interviendront au cours de cette table ronde intitulée « Les enjeux de la conception, de la simulation, de la robotisation, de l’instrumentation, de la vérification et de l’optimisation dans la numérisation de l’industrie »

jeudi 22 novembre de 16h30 à 1730

dans l’amphi du bâtiment S (LS2N) sur le site de Centrale Nantes

Soutenance d’HDR de Thomas LEDOUX

Thomas Ledoux, maître-assistant au sein de l’équipe STACK, soutiendra son Habilitation à Diriger des Recherches (HDR) intitulée « Reconfiguration dynamique d’architectures logicielles : des métaclasses aux « nuages verts »« 

mardi 17 juillet à 11h00,à IMT Atlantique campus de Nantes (amphi G. Besse).

Jury :
Mme Laurence DUCHIEN, Professeur, Université Lille – Sciences et Technologies (Rapporteur)
M. Michel RIVEILL, Professeur, Polytech’Nice Sophia (Rapporteur)
M. Jean-Bernard STEFANI, Directeur de recherche, INRIA Grenoble-Rhône-Alpes (Rapporteur)
M. Pierre COINTE, Professeur, IMT Atlantique (Examinateur)
M. Thierry COUPAYE, VP Recherche Internet des objets, Orange Labs (Examinateur)
M. Rachid GUERRAOUI, Professeur, École polytechnique fédérale de Lausanne (Examinateur)
M. Claude JARD, Professeur, Université de Nantes (Examinateur)

Résumé :

Cette habilitation à diriger des recherches présente une synthèse de mes travaux ayant trait à la reconfiguration dynamique d’architectures logicielles.

En première partie, je propose une analyse de l’adaptation dynamique du logiciel avec la volonté de poser les concepts de base et d’identifier les verrous à lever. Je motive l’intérêt de l’adaptation dynamique et modélise son processus de développement. Je présente un nombre de caractéristiques indispensables à l’adaptation dont la réification et la modularité. Je traite alors l’adaptation dynamique du logiciel comme un objet de première classe introduisant un découplage spatio-temporel entre code métier et logique d’adaptation. L’adaptation dynamique ne pouvant se faire au détriment de la qualité du logiciel et de son intégrité, j’énumère un nombre de propriétés indispensables à respecter, de pistes à étudier pour réaliser à l’exécution ce processus d’adaptation du logiciel.

En deuxième partie, je présente ma contribution à la mise en œuvre de l’adaptation dynamique pour les logiciels à base de composants. Dans un premier temps, je propose un patron d’auto-administration pour les architectures à composants, des langages dédiés pour la navigation et la reconfiguration dans les architectures logicielles Fractal, un framework pour faciliter la création d’applications sensibles au contexte. Dans un second temps, je développe une approche multi-étape pour des reconfigurations dynamiques fiables, qui contient à la fois une partie prévention de fautes basée sur une analyse statique et une partie tolérance aux fautes assurée par un moniteur transactionnel. Cette approche s’appuie sur une spécification des (re)configurations du modèle Fractal basée sur une logique du premier ordre.

En troisième partie, je montre que la reconfiguration dynamique dans les « architectures en nuages » (Cloud computing) peut apporter une réponse à un enjeu sociétal important, à savoir les transitions numérique et énergétique. Contrairement aux travaux actuels qui visent à améliorer l’efficacité énergétique des centres de données en proposant des solutions dans les couches basses du Cloud, je préconise une approche d’éco-élasticité logicielle sur ses couches hautes. En m’inspirant à la fois du concept d’innovation frugale (Jugaad) et du mécanisme d’effacement de la consommation électrique, un certain nombre d’artefacts originaux comme le Cloud SLA, l’effacement de la consommation du logiciel, la virtualisation de l’énergie ou encore le SaaS green energy-aware, sont suggérés pour diminuer l’empreinte carbone des architectures en nuages.

En conclusion, je dresse un bilan final de ma contribution et présente mes perspectives de recherche centrées d’abord sur une généralisation de l’approche précédente à l’aide de méta-modèles, puis sur la conception de micro-services « verts ».

Félicitations à Thomas Ledoux et Hugo Brunelière (équipe STACK) pour leur Best Paper Award à la conférence CLOSER 2018 !

Thomas Ledoux et Hugo Brunelière ont présenté un article intitulé « A Model-based Architecture for Autonomic and Heterogeneous Cloud Systems« 

à la 8ème conférence international CLOSER (Cloud Computing and Services science) à Madère fin mars 2018.

Cet article est issu des recherches dans le cadre du du projet Atlanstic 2020 CoMe4ACloud a été récompensé par le Best Paper AwardRetrouvez le texte complet dans les proceedings en ligne de la conférence.

Lire le communiqué d’Inria.

Lire le communiqué de l’IMT-A.

Copyright : LS2N 2017 - Mentions Légales - 
 -