UN SISTEMA DI SUPPORTO
ALLA DETERMINAZIONE DI
ANOMALIE NEL TRAFFICO DI RETE
Tesi di Laurea di:
Relatore:
Luca VESCOVI
Prof. Paolo PULITI
Correlatori:
Ing. Aldo Franco DRAGONI
Ing. Paola BALDASSARRI
Intrusion Detection System
 Individua le azioni finalizzate alla
compromissione
informatico
di
un
sistema
 Analisi di un solo pacchetto di rete alla
volta
 Tentativi di introdurre utilizzo delle
Reti Neurali direttamente
“grezzi” con scarso successo
su
dati
Approccio Innovativo
Integrazione di due sistemi:
 Sistema Statistico
 Sistema Neurale
Elabora un flusso
di pacchetti
INGRESS0
Uscita adatta al
Sistema Neurale
SISTEMA
SISTEMA
STATISTICO
NEURALE
USCITA
Tassonomia degli IDS
 “Misuse Detection”
 Catalogo di attacchi noti (firme)
 Problema dell’aggiornamento delle firme
 “Anomaly Detection”
 Non richiede conoscenza a priori
Sistema Proposto
 Un approccio innovativo per lo sviluppo
di un IDS “Anomaly Detection”
INGRESS0
SISTEMA
SISTEMA
STATISTICO
NEURALE
USCITA
 “DARPA IDS Evaluation dataset” del
Lincoln Laboratory del M.I.T.
Sistema Statistico
 Cattura una
possibile
correlazione
temporale e
statistica
 Ingressi:
 Indirizzi IP
 Porte di
comunicazione
Parametri del Sistema Statistico
 Studio
per
l’ottimizzazione
dei
parametri in base al dataset utilizzato:
 Finestre temporali di 60 secondi
 Finestre scorrevoli di 5 istanti
consecutivi
 Possibile modifica di tali valori in futuro
Sistema Statistico
 Parametri elaborati e graficati per ogni
finestra temporale:



Indirizzi IP
Coppie IP:Porta
Porte di comunicazione
 Il momento primo caratterizza l’andamento
statistico delle curve ottenute
Sistema Statistico
Finestra scorrevole di 5 istanti
Istanti
1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, ecc.
1
5
2
6
3
7
…. e così via
Uscita del Sistema Statistico
IP
IP:Porta
Porta
NPkt
Sistema Neurale
 Implementazione con due reti neurali:
 Self-Organizing Maps (SOM)
 Growing Neural Gas (GNG)
 Caratterizzate da un apprendimento non
supervisionato
Sistema Neurale
IP:Porta
Altri Grafici:
Porta
IP
NPkt
“DARPA IDS Evaluation dataset”
 Utilizzo di una vera rete di computer
 5 settimane di traffico di rete:
 2 con traffico “normale” di background
 3 con traffico di background ed
attacchi
Risultati Sperimentali del Sistema
Statistico
 Rilevazione del 100% delle aggressioni
Denial of Service (DOS)
 67% delle istanze di attacco Probe
Risultati Sperimentali del Sistema
Statistico
Risultati Sperimentali del Sistema
Neurale
 Addestramento per 10 epoche con due
settimane contenenti attacchi
 Classificazione del traffico “normale”:
SOM: 92% in classe 1
GNG: 99% in classe 3
Risultati Sperimentali del Sistema
Neurale
 Istanze di attacco classificate in classi
separate rispetto al traffico “normale”
 Implementazione mediante SOM:
 Particolari classi riservate per un solo
tipo di attacco
Conclusioni
 Abbiamo dimostrato la validità di un
approccio
innovativo
sull’integrazione
di
due
statistico e neurale
basato
sistemi:
 Sistema
Statistico
particolarmente
sensibile agli attacchi DoS
 Capacità
del Sistema Neurale di
distinguere il traffico “normale” da un
attacco
Sviluppi Futuri
 Studio della criticità dei parametri di
addestramento della rete GNG
 Studio approfondito sulle variazioni dei
parametri dell’algoritmo statistico
Scarica

Sistema Statistico