UN SISTEMA DI SUPPORTO ALLA DETERMINAZIONE DI ANOMALIE NEL TRAFFICO DI RETE Tesi di Laurea di: Relatore: Luca VESCOVI Prof. Paolo PULITI Correlatori: Ing. Aldo Franco DRAGONI Ing. Paola BALDASSARRI Intrusion Detection System Individua le azioni finalizzate alla compromissione informatico di un sistema Analisi di un solo pacchetto di rete alla volta Tentativi di introdurre utilizzo delle Reti Neurali direttamente “grezzi” con scarso successo su dati Approccio Innovativo Integrazione di due sistemi: Sistema Statistico Sistema Neurale Elabora un flusso di pacchetti INGRESS0 Uscita adatta al Sistema Neurale SISTEMA SISTEMA STATISTICO NEURALE USCITA Tassonomia degli IDS “Misuse Detection” Catalogo di attacchi noti (firme) Problema dell’aggiornamento delle firme “Anomaly Detection” Non richiede conoscenza a priori Sistema Proposto Un approccio innovativo per lo sviluppo di un IDS “Anomaly Detection” INGRESS0 SISTEMA SISTEMA STATISTICO NEURALE USCITA “DARPA IDS Evaluation dataset” del Lincoln Laboratory del M.I.T. Sistema Statistico Cattura una possibile correlazione temporale e statistica Ingressi: Indirizzi IP Porte di comunicazione Parametri del Sistema Statistico Studio per l’ottimizzazione dei parametri in base al dataset utilizzato: Finestre temporali di 60 secondi Finestre scorrevoli di 5 istanti consecutivi Possibile modifica di tali valori in futuro Sistema Statistico Parametri elaborati e graficati per ogni finestra temporale: Indirizzi IP Coppie IP:Porta Porte di comunicazione Il momento primo caratterizza l’andamento statistico delle curve ottenute Sistema Statistico Finestra scorrevole di 5 istanti Istanti 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, ecc. 1 5 2 6 3 7 …. e così via Uscita del Sistema Statistico IP IP:Porta Porta NPkt Sistema Neurale Implementazione con due reti neurali: Self-Organizing Maps (SOM) Growing Neural Gas (GNG) Caratterizzate da un apprendimento non supervisionato Sistema Neurale IP:Porta Altri Grafici: Porta IP NPkt “DARPA IDS Evaluation dataset” Utilizzo di una vera rete di computer 5 settimane di traffico di rete: 2 con traffico “normale” di background 3 con traffico di background ed attacchi Risultati Sperimentali del Sistema Statistico Rilevazione del 100% delle aggressioni Denial of Service (DOS) 67% delle istanze di attacco Probe Risultati Sperimentali del Sistema Statistico Risultati Sperimentali del Sistema Neurale Addestramento per 10 epoche con due settimane contenenti attacchi Classificazione del traffico “normale”: SOM: 92% in classe 1 GNG: 99% in classe 3 Risultati Sperimentali del Sistema Neurale Istanze di attacco classificate in classi separate rispetto al traffico “normale” Implementazione mediante SOM: Particolari classi riservate per un solo tipo di attacco Conclusioni Abbiamo dimostrato la validità di un approccio innovativo sull’integrazione di due statistico e neurale basato sistemi: Sistema Statistico particolarmente sensibile agli attacchi DoS Capacità del Sistema Neurale di distinguere il traffico “normale” da un attacco Sviluppi Futuri Studio della criticità dei parametri di addestramento della rete GNG Studio approfondito sulle variazioni dei parametri dell’algoritmo statistico