rilevamento di attacchi di rete tramite protocolli di monitoraggio per router ip
TRANSCRIPT
RILEVAMENTO DI ATTACCHI DI RETE TRAMITEPROTOCOLLI DI MONITORAGGIO PER ROUTER IP
Luca MellaRelatore: Walter Cerroni
Correlatore: Marco Ramilli
Universita di Bologna
12/10/2011
Luca Mella (Universita di Bologna) NetFlow-based NIDS - Unsupervised approach 12/10/2011 1 / 14
Sommario
1 Scenario AttualeAttacchi di rete
2 NIDSTassonomiaProtocolli di Monitoraggio e NIDS
3 Framework PropostoMetodologiaTest-bedRisultatiAnalisi
4 Conclusioni
Luca Mella (Universita di Bologna) NetFlow-based NIDS - Unsupervised approach 12/10/2011 2 / 14
Scenario Attuale - Attacchi di rete
Organizzazioni
Grande numero di servizi in rete
Sviluppo di applicazioni non sempre appropriato
Sottovalutazione dei rischi
Attaccanti
Documentazione e materiali pubblici
Disponibilita di toolshttp://nmap.org/dist/
http://thc.org/thc-hydra/releases/
http://nmap.org/ncrack/dist/
http://sourceforge.net/projects/loic/files/loic/
http://sourceforge.net/projects/sqlmap/files/sqlmap/
. . .
Luca Mella (Universita di Bologna) NetFlow-based NIDS - Unsupervised approach 12/10/2011 3 / 14
NIDS - Tassonomia
Categorizzazione dei (N)IDS [Debar, 1999]
Metodologia di rilevazione
Signature-based, approcciopattern matching.
NIDS commerciali. . . problemi con nuoviattacchi
Behaviour-based, approcciobasato su anomaliecomportamentali.
. . . problemi con falsipositivi e re-training!
Sorgente d’informazione
Network-based, ovverobasati su sonde e catture ditraffico.
Enormi quantita di dati
Host-based, basatasull’utilizzo di host (o nodi)come sorgenti.
eg. syslog deamon
Luca Mella (Universita di Bologna) NetFlow-based NIDS - Unsupervised approach 12/10/2011 4 / 14
NIDS - Protocolli di monitoraggio e NIDS
SNMP-based [Cerroni, 2009]
No sniffing del traffico
Uso di tecniche di data mining (unsupervised)
Possibilita di distribuzione orizzontale
Ottima accuratezza delle rilevazioni
NetFlow-based [Wang, 2008, Dubendorfer, 2005]
Miglior percezione della rete: visione a “flussi”
Analisi forense facilitata
Rilevamento malware tramite analisi comportamentale
. . . Ancora non sfruttate tecniche di data mining!
Luca Mella (Universita di Bologna) NetFlow-based NIDS - Unsupervised approach 12/10/2011 5 / 14
Framework Proposto
NetFlow
ogni nodo intermedio e unasorgente d’informazione
flussi di rete(ip-S,ip-D,proto-L4,proto-L3,port-S,port-D,ToS)
Metodologia
ispirata a quella utilizzataper SNMP-based NIDS.
costruzione di variabiliartificiali
Algoritmi di data mining
non supervisionati, clusterede partitivi - eg. k-means
Luca Mella (Universita di Bologna) NetFlow-based NIDS - Unsupervised approach 12/10/2011 6 / 14
Framework Proposto - Metodologia
Emulazione, non simulazione
Neutral Stage
Attack StagePort Scanning (SYN Scan, ACK Scan, UDP Scan, Xmas Scan)SBF (SecureShell Brute Force)DDoSSQL-Injection
Realistic Stage
Attivita
Setup
Collecting
Emulazione Traffico
Analisi
Luca Mella (Universita di Bologna) NetFlow-based NIDS - Unsupervised approach 12/10/2011 7 / 14
Framework Proposto - Test-bed
Caratteristiche
Server:
HTTPSSHMySQL
Collector:
Network isolataNfdump suiteScript perprocessamento flussi
Clients:
Script per generazionetraffico neutraleScript per attacchi
Figura: Topologia Test-bed
Luca Mella (Universita di Bologna) NetFlow-based NIDS - Unsupervised approach 12/10/2011 8 / 14
Framework Proposto - Risultati (1)
Tabella: Statistiche generali sulle sessioni sperimentali
Sessione Flussi Bytes Packets BpS(ec) PpS BpP Durata
Traffico Neutro 298.3 K 352.4 M 5.6 M 76.3 K 154 61 633 min.Port Scanning 16.7 K 739.4 K 17.9 K 1.7 K 5 41 64 min.
SBF 20.2 K 22.9 M 160.2 K 16.9 K 14 143 180 min.DDoS 481.8 K 289.3 M 4.3 M 668.6 K 1247 66 54 min.
SQL-Injection 13.7 K 15.0 M 69.3 K 444.6 K 25 216 45 min.Traffico Reale 714.6 K 418.8 M 6.1 M 178.7 K 326 68 360 min.
Luca Mella (Universita di Bologna) NetFlow-based NIDS - Unsupervised approach 12/10/2011 9 / 14
Framework Proposto - Risultati (2)
Luca Mella (Universita di Bologna) NetFlow-based NIDS - Unsupervised approach 12/10/2011 10 / 14
Framework Proposto - Risultati (3)
Luca Mella (Universita di Bologna) NetFlow-based NIDS - Unsupervised approach 12/10/2011 11 / 14
Framework Proposto - Analisi
Data mining
Costruzione di tabelle artificiali
Ogni nuovo record caratterizza un minuto di traffico. . . contatori di flussi, flag TCP, classifica IP, classifica porte . . .
Analisi preliminare con 1000 istanze di k-means
Media Dev.Std. Moda Min MaxFalsi Negativi (%) 0.09 0.71 0 0 15.43Falsi Positivi (%) 15.64 7.68 19.50 3.61 34.85Accuratezza (%) 76.56 2.47 78.85 64.75 81.56
Tabella: Statistiche del sistema
Luca Mella (Universita di Bologna) NetFlow-based NIDS - Unsupervised approach 12/10/2011 12 / 14
Conclusioni
Obiettivi e Risultati
Validata nuova metodologia di rilevazione di attacchi direte(NetFlow+DM)
Ottima capacita di rilevazione (falsi negativi bassi)
Carico computiazionale contenuto (Benchmark su workstation fasciamedia)
Possibili sviluppi e miglioramenti
Definizione di record piu complessi
Distribuzione orizzontale
Proattivita
Luca Mella (Universita di Bologna) NetFlow-based NIDS - Unsupervised approach 12/10/2011 13 / 14
Riferimenti
Wang Zhenqi,Wang Xinyu
NetFlow Based Intrusion Detection System
2008 International Conference on MultiMedia and Information Technology..
Thomas Dubendorfer,Arno Wagnert, Bernhard Plattner
A Framework for Real-Time Worm Attack Detection and Backbone Monitoring
IEEE Computer Society Washington, DC, USA c©2005.
Herve Debar, Marc Dacier, Andreas Wespi
Towards a taxonomy of intrusion-detection systems
Computer Networks 31 (1999) 805–822.
Walter Cerroni, Gabriele Monti, Gianluca Moro, and Marco Ramilli
Network Attack Detection Based on Peer-to-Peer Clustering of SNMP Data
ICST QShine 2009.
Luca Mella (Universita di Bologna) NetFlow-based NIDS - Unsupervised approach 12/10/2011 14 / 14
Domande
:(){ :|: &}; :
Luca Mella (Universita di Bologna) NetFlow-based NIDS - Unsupervised approach 12/10/2011 15 / 14