Università degli Studi di Modena e
Reggio Emilia
Facoltà di Ingegneria
Corso di Laurea in Ingegneria Informatica
SLUNP: Un Sistema Adattativo per la
Gestione delle Contromisure
ad Attacchi Informatici
Tesi di laurea di
Relatore
Prof. Michele Colajanni
Controrelatore
Prof. Paolo Tiberio
Anno Accademico 2002-2003
Mauro Ansaloni
Funzionalità tipiche degli
Intrusion Detection System (IDS)
• ANALISI (traffico di rete/logs/eventi)
• RILEVAMENTO (intrusioni/attacchi/violazioni)
• LOGGING (database/file testuali/etc.)
Funzionalità tipiche degli
Intrusion Detection System (IDS)
• ANALISI (traffico di rete/logs/eventi)
• RILEVAMENTO (intrusioni/attacchi/violazioni)
• LOGGING (database/file testuali/etc.)
•REPORT
Tre problemi degli IDS
 Sistemi generalmente passivi
 Interfacce non real-time
 Elevata dipendenza dall’esperienza dell’utilizzatore
Estensione dell’ IDS
Obiettivo: rendere l’IDS uno strumento di difesa ATTIVA
1.
RICONOSCIMENTO AUTOMATICO DEGLI ALLARMI
2. IDENTIFICAZIONE DELLE MIGLIORI CONTROMISURE
3. INTERAZIONE REAL-TIME CON L’UTENTE
Intelligent IDS
Intelligent IDS
Un Intrusion Detection System in grado di
sfruttare le funzioni e le potenzialità di un Sistema
Esperto adeguatamente istruito per:
- identificare automaticamente gli attacchi rilevati
- attivare (o proporre) le migliori contromisure al
fine di minimizzare i danni ed i tempi di risposta
Contributo della Tesi
Progettare e realizzare un Intelligent IDS
utilizzando il Sistema di Rilevamento delle
Intrusioni Prelude-IDS ed il sistema
esperto CLIPS
Prelude-IDS
S.L.U.N.P.
(Sinthetic Lifeform Used
for Network Pacekeeping)
C.L.I.P.S.
Strumento per lo sviluppo e la distribuzione
di sistemi esperti basati su regole e/o oggetti.
Caratteristiche principali:
• Tre differenti paradigmi di programmazione (RuleBased, Object-Oriented, Procedurale)
• Portabilità
• Strumenti di Verifica/Validazione
Prelude-IDS
Sistema di Rilevamento delle Intrusioni:
sistema di allarme atto a monitorare una
rete ed è composto principalmente di:
• MANAGER
• SENSORI
• DATABASE e LOG
• FRONT-END
Il sistema realizzato: S.L.U.N.P.
 Sistema esperto sviluppato utilizzando CLIPS
 Rappresenta il cuore dell’Intelligent-IDS
 Utilizza le proprie conoscenze per effettuare deduzioni logiche sui
dati ricevuti da Prelude-IDS
 Prevede chiamate dirette a programmi esterni per reperire
ulteriori informazioni e per attivare le contromisure
 In casi particolari, richiede l’interazione con l’utente
Progettazione ed Implementazione
• Classificazione degli attacchi in 23 tipologie distinte
• Alberi decisionali specifici per ogni tipologia di
attacco
• Implementazione della struttura base del sistema
• Implementazione degli alberi decisionali relativi
alla gestione dei sovraccarichi di sistema e dei
port scan
• Implementazione interfaccia SLUNP/Prelude-IDS
S.L.U.N.P.: Interazione con l’utente
Solo quando necessario:
 Informazioni dettagliate sulla situazione corrente
del sistema
 Permettere all’utente di operare in modo
autonomo
 Autorizzazione per effettuare azioni
irreversibili
 Contromisure estreme solo in casi estremi
S.L.U.N.P.: Intelligent IDS
Gli allarmi rilevati vengono memorizzati e spediti a
S.L.U.N.P. che:
• Agisce in modo autonomo
Pool di
contromisure
S.L.U.N.P.: Intelligent IDS
Gli allarmi rilevati vengono memorizzati e spediti a
S.L.U.N.P. che:
• Richiede conferma dell’utente
Pool di
contromisure
S.L.U.N.P.: Intelligent IDS
Gli allarmi rilevati vengono memorizzati e spediti a
S.L.U.N.P. che:
• Lascia il controllo all’utente
Pool di
contromisure
Processi logici di SLUNP
Sfrutta dati iniziali e alberi decisionali per giungere
a decisioni seguendo un processo di ragionamento non
procedurale.
Base delle
Conoscenze
S.L.U.N.P.: riconoscimento port scan
Tempi di reazione nell’ordine di 10 sec.
80%
Files
Visualiz.
Decisione
15%
5%
Conclusioni
 Progettazione completa del sistema S.L.U.N.P.
 Realizzazione del sistema di base funzionante
 Test di verifica del sistema realizzato
 Studio delle prestazioni
Conclusioni
 Progettazione completa del sistema S.L.U.N.P.
 Realizzazione del sistema di base funzionante
 Test di verifica del sistema realizzato
 Studio delle prestazioni
Conclusioni
 Progettazione completa del sistema S.L.U.N.P.
 Realizzazione del sistema di base funzionante
 Test di verifica del sistema realizzato
 Studio delle prestazioni