Università degli Studi di Modena e Reggio Emilia Facoltà di Ingegneria Corso di Laurea in Ingegneria Informatica SLUNP: Un Sistema Adattativo per la Gestione delle Contromisure ad Attacchi Informatici Tesi di laurea di Relatore Prof. Michele Colajanni Controrelatore Prof. Paolo Tiberio Anno Accademico 2002-2003 Mauro Ansaloni Funzionalità tipiche degli Intrusion Detection System (IDS) • ANALISI (traffico di rete/logs/eventi) • RILEVAMENTO (intrusioni/attacchi/violazioni) • LOGGING (database/file testuali/etc.) Funzionalità tipiche degli Intrusion Detection System (IDS) • ANALISI (traffico di rete/logs/eventi) • RILEVAMENTO (intrusioni/attacchi/violazioni) • LOGGING (database/file testuali/etc.) •REPORT Tre problemi degli IDS Sistemi generalmente passivi Interfacce non real-time Elevata dipendenza dall’esperienza dell’utilizzatore Estensione dell’ IDS Obiettivo: rendere l’IDS uno strumento di difesa ATTIVA 1. RICONOSCIMENTO AUTOMATICO DEGLI ALLARMI 2. IDENTIFICAZIONE DELLE MIGLIORI CONTROMISURE 3. INTERAZIONE REAL-TIME CON L’UTENTE Intelligent IDS Intelligent IDS Un Intrusion Detection System in grado di sfruttare le funzioni e le potenzialità di un Sistema Esperto adeguatamente istruito per: - identificare automaticamente gli attacchi rilevati - attivare (o proporre) le migliori contromisure al fine di minimizzare i danni ed i tempi di risposta Contributo della Tesi Progettare e realizzare un Intelligent IDS utilizzando il Sistema di Rilevamento delle Intrusioni Prelude-IDS ed il sistema esperto CLIPS Prelude-IDS S.L.U.N.P. (Sinthetic Lifeform Used for Network Pacekeeping) C.L.I.P.S. Strumento per lo sviluppo e la distribuzione di sistemi esperti basati su regole e/o oggetti. Caratteristiche principali: • Tre differenti paradigmi di programmazione (RuleBased, Object-Oriented, Procedurale) • Portabilità • Strumenti di Verifica/Validazione Prelude-IDS Sistema di Rilevamento delle Intrusioni: sistema di allarme atto a monitorare una rete ed è composto principalmente di: • MANAGER • SENSORI • DATABASE e LOG • FRONT-END Il sistema realizzato: S.L.U.N.P. Sistema esperto sviluppato utilizzando CLIPS Rappresenta il cuore dell’Intelligent-IDS Utilizza le proprie conoscenze per effettuare deduzioni logiche sui dati ricevuti da Prelude-IDS Prevede chiamate dirette a programmi esterni per reperire ulteriori informazioni e per attivare le contromisure In casi particolari, richiede l’interazione con l’utente Progettazione ed Implementazione • Classificazione degli attacchi in 23 tipologie distinte • Alberi decisionali specifici per ogni tipologia di attacco • Implementazione della struttura base del sistema • Implementazione degli alberi decisionali relativi alla gestione dei sovraccarichi di sistema e dei port scan • Implementazione interfaccia SLUNP/Prelude-IDS S.L.U.N.P.: Interazione con l’utente Solo quando necessario: Informazioni dettagliate sulla situazione corrente del sistema Permettere all’utente di operare in modo autonomo Autorizzazione per effettuare azioni irreversibili Contromisure estreme solo in casi estremi S.L.U.N.P.: Intelligent IDS Gli allarmi rilevati vengono memorizzati e spediti a S.L.U.N.P. che: • Agisce in modo autonomo Pool di contromisure S.L.U.N.P.: Intelligent IDS Gli allarmi rilevati vengono memorizzati e spediti a S.L.U.N.P. che: • Richiede conferma dell’utente Pool di contromisure S.L.U.N.P.: Intelligent IDS Gli allarmi rilevati vengono memorizzati e spediti a S.L.U.N.P. che: • Lascia il controllo all’utente Pool di contromisure Processi logici di SLUNP Sfrutta dati iniziali e alberi decisionali per giungere a decisioni seguendo un processo di ragionamento non procedurale. Base delle Conoscenze S.L.U.N.P.: riconoscimento port scan Tempi di reazione nell’ordine di 10 sec. 80% Files Visualiz. Decisione 15% 5% Conclusioni Progettazione completa del sistema S.L.U.N.P. Realizzazione del sistema di base funzionante Test di verifica del sistema realizzato Studio delle prestazioni Conclusioni Progettazione completa del sistema S.L.U.N.P. Realizzazione del sistema di base funzionante Test di verifica del sistema realizzato Studio delle prestazioni Conclusioni Progettazione completa del sistema S.L.U.N.P. Realizzazione del sistema di base funzionante Test di verifica del sistema realizzato Studio delle prestazioni