UN SISTEMA DI SUPPORTO ALLA DETERMINAZIONE DI ANOMALIE NEL TRAFFICO DI RETE

1. UN SISTEMA DI SUPPORTOALLA DETERMINAZIONE DI ANOMALIE NEL TRAFFICO DI RETE Tesi di Laurea di: Luca VESCOVI Relatore: Prof. Paolo PULITI Correlatori: Ing. Aldo Franco DRAGONI Ing. Paola BALDASSARRI

2. Intrusion Detection System • Individua le azioni finalizzate alla compromissione di un sistema informatico • Analisi di un solo pacchetto di rete alla volta • Tentativi di introdurre utilizzo delle Reti Neurali direttamente su dati “grezzi” con scarso successo

3. SISTEMA STATISTICO SISTEMA NEURALE INGRESS0 USCITA Approccio Innovativo Integrazione di due sistemi: • Sistema Statistico • Sistema Neurale Elabora un flusso di pacchetti Uscita adatta al Sistema Neurale

4. Tassonomia degli IDS • “Misuse Detection” • Catalogo di attacchi noti (firme) • Problema dell’aggiornamento delle firme • “Anomaly Detection” • Non richiede conoscenza a priori

5. SISTEMA STATISTICO SISTEMA NEURALE INGRESS0 USCITA Sistema Proposto • Un approccio innovativo per lo sviluppo di un IDS “Anomaly Detection” • “DARPA IDS Evaluation dataset” del Lincoln Laboratory del M.I.T.

6. Sistema Statistico • Cattura una possibile correlazione temporale e statistica • Ingressi: • Indirizzi IP • Porte di comunicazione

7. Parametri del Sistema Statistico • Studio per l’ottimizzazione dei parametri in base al dataset utilizzato: • Finestre temporali di 60 secondi • Finestre scorrevoli di 5 istanti consecutivi • Possibile modifica di tali valori in futuro

8. Sistema Statistico • Parametri elaborati e graficati per ogni finestra temporale: • Indirizzi IP • Coppie IP:Porta • Porte di comunicazione • Il momento primo caratterizza l’andamento statistico delle curve ottenute

9. 2 6 1 3 5 7 Sistema Statistico Finestra scorrevole di 5 istanti Istanti 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, ecc. …. e così via

10. Uscita del Sistema Statistico IP IP IP:Porta IP:Porta Porta NPkt

11. Sistema Neurale • Implementazione con due reti neurali: • Self-Organizing Maps (SOM) • Growing Neural Gas (GNG) • Caratterizzate da un apprendimento non supervisionato

12. Sistema Neurale IP:Porta Altri Grafici: Porta IP NPkt

13. “DARPA IDS Evaluation dataset” • Utilizzo di una vera rete di computer • 5 settimane di traffico di rete: • 2 con traffico “normale” di background • 3 con traffico di background ed attacchi

14. Risultati Sperimentali del Sistema Statistico • Rilevazione del 100% delle aggressioni Denial of Service (DOS) • 67% delle istanze di attacco Probe

15. Risultati Sperimentali del Sistema Statistico

16. Risultati Sperimentali del Sistema Neurale • Addestramento per 10 epoche con due settimane contenenti attacchi • Classificazione del traffico “normale”: • SOM: 92% in classe 1 • GNG: 99% in classe 3

17. Risultati Sperimentali del Sistema Neurale • Istanze di attacco classificate in classi separate rispetto al traffico “normale” • Implementazione mediante SOM: • Particolari classi riservate per un solo tipo di attacco

18. Conclusioni • Abbiamo dimostrato la validità di un approccio innovativo basato sull’integrazione di due sistemi: statistico e neurale • Sistema Statistico particolarmente sensibile agli attacchi DoS • Capacità del Sistema Neurale di distinguere il traffico “normale” da un attacco

19. Sviluppi Futuri • Studio della criticità dei parametri di addestramento della rete GNG • Studio approfondito sulle variazioni dei parametri dell’algoritmo statistico