un sistema di supporto alla determinazione di anomalie nel traffico di rete tesi di laurea di: luca...
TRANSCRIPT
UN SISTEMA DI SUPPORTOUN SISTEMA DI SUPPORTOALLA DETERMINAZIONE DI ALLA DETERMINAZIONE DI
ANOMALIE NEL TRAFFICO DI RETEANOMALIE NEL TRAFFICO DI RETE
Tesi di Laurea di:
Luca VESCOVI
Correlatori:
Ing. Aldo Franco DRAGONI
Ing. Paola BALDASSARRI
Relatore:
Prof. Paolo PULITI
Intrusion Detection SystemIntrusion Detection System
Individua le azioni finalizzate alla compromissione di un sistema informatico
Analisi di un solo pacchetto di rete alla volta
Tentativi di introdurre utilizzo delle Reti Neurali direttamente su dati “grezzi” con scarso successo
Approccio InnovativoApproccio Innovativo
Integrazione di due sistemi:
Sistema Statistico
Sistema Neurale
INGRESS0 USCITA
SISTEMA
STATISTICO
SISTEMA
NEURALE
Elabora un flusso di pacchetti
Uscita adatta al Sistema Neurale
Tassonomia degli IDSTassonomia degli IDS
“Misuse Detection”
Catalogo di attacchi noti (firme)
Problema dell’aggiornamento delle firme
“Anomaly Detection”
Non richiede conoscenza a priori
Sistema PropostoSistema Proposto
Un approccio innovativo per lo sviluppo di un IDS “Anomaly Detection”
“DARPA IDS Evaluation dataset” del Lincoln Laboratory del M.I.T.
INGRESS0 USCITA
SISTEMA
STATISTICO
SISTEMA
NEURALE
Sistema StatisticoSistema Statistico
Cattura una possibile correlazione temporale e statistica
Ingressi:
Indirizzi IP
Porte di comunicazione
Parametri del Sistema StatisticoParametri del Sistema Statistico
Studio per l’ottimizzazione dei parametri in base al dataset utilizzato:
Finestre temporali di 60 secondi Finestre scorrevoli di 5 istanti
consecutivi
Possibile modifica di tali valori in futuro
Sistema StatisticoSistema Statistico
Parametri elaborati e graficati per ogni finestra temporale:
Indirizzi IP
Coppie IP:Porta
Porte di comunicazione
Il momento primo caratterizza l’andamento statistico delle curve ottenute
Sistema StatisticoSistema Statistico
Finestra scorrevole di 5 istanti
1 5
2 6
3 7
…. e così via
Istanti
1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, ecc.
Uscita del Sistema StatisticoUscita del Sistema Statistico
IP:Porta
IP
Porta
NPkt
IP:Porta
IP
Sistema NeuraleSistema Neurale
Implementazione con due reti neurali:
Self-Organizing Maps (SOM)
Growing Neural Gas (GNG)
Caratterizzate da un apprendimento non supervisionato
Sistema NeuraleSistema Neurale
Altri Grafici:
Porta
IP
NPkt
IP:Porta
“DARPA IDS Evaluation datasetDARPA IDS Evaluation dataset”
Utilizzo di una vera rete di computer
5 settimane di traffico di rete:
2 con traffico “normale” di background
3 con traffico di background ed attacchi
Risultati Sperimentali del Sistema Risultati Sperimentali del Sistema StatisticoStatistico
Rilevazione del 100% delle aggressioni Denial of Service (DOS)
67% delle istanze di attacco Probe
Risultati Sperimentali del Sistema Risultati Sperimentali del Sistema StatisticoStatistico
Risultati Sperimentali del Sistema Risultati Sperimentali del Sistema NeuraleNeurale
Addestramento per 10 epoche con due settimane contenenti attacchi
Classificazione del traffico “normale”:
SOM: 92% in classe 1
GNG: 99% in classe 3
Risultati Sperimentali del Sistema Risultati Sperimentali del Sistema NeuraleNeurale
Istanze di attacco classificate in classi separate rispetto al traffico “normale”
Implementazione mediante SOM:
Particolari classi riservate per un solo tipo di attacco
ConclusioniConclusioni
Abbiamo dimostrato la validità di un approccio innovativo basato sull’integrazione di due sistemi: statistico e neurale
Sistema Statistico particolarmente sensibile agli attacchi DoS
Capacità del Sistema Neurale di distinguere il traffico “normale” da un attacco
Sviluppi FuturiSviluppi Futuri
Studio della criticità dei parametri di addestramento della rete GNG
Studio approfondito sulle variazioni dei parametri dell’algoritmo statistico