logo SBA

ETD

Archivio digitale delle tesi discusse presso l’Università di Pisa

Tesi etd-04122011-150628


Tipo di tesi
Tesi di laurea specialistica
Autore
RUGGIERO, LIBERO
URN
etd-04122011-150628
Titolo
Analisi dell'entropia del traffico per la rivelazione di anomalie mediante Sketch e trasformata Wavelet
Dipartimento
INGEGNERIA
Corso di studi
INGEGNERIA DELLE TELECOMUNICAZIONI
Relatori
relatore Pagano, Michele
relatore Pepe, Teresa
relatore Prof. Giordano, Stefano
relatore Ing. Callegari, Christian
Parole chiave
  • IDS
Data inizio appello
02/05/2011
Consultabilità
Non consultabile
Data di rilascio
02/05/2051
Riassunto
La grande diffusione di internet e di tutti i servizi da essa offerti ha reso il problema della sicurezza fondamentale. Tra il sempre crescente numero di utenti presenti sulla rete fanno parte anche tutti coloro che utilizzano internet in modo non appropriato, con lo scopo di procurare dei problemi ai servizi da essa offerti. Questi utenti sono i cosiddetti hacker (intruder o attacker) e sono tutti coloro che mettono in atto una serie di azioni volte a compromettere l'integrità e la disponibilità di una risorsa sulla rete. L'evoluzione della qualità dei servizi offerti dalla stessa è cresciuta parallelamente alla complessità degli attacchi ed alla loro facilità di attuazione.

Per gestire la sicurezza di una rete è possibile operare a due livelli: prevention e detection. Mentre il primo è atto a predisporre il sistema ad affrontare un attacco, il secondo prende le contromisure adatte una volta che non è stato possibile prevenire lo stesso. Un IDS (Intrusion Detection System) è un vero e proprio sistema che si occupa di monitorare la rete e segnalare eventuali attacchi in corso, questo è composto sia di una parte hardware che di una software, quest'ultima sviluppata nella suddetta tesi.

Svincolarci dal dover conoscere preventivamente una tipologia di attacco per poterlo individuare, è il fine ultimo nella progettazione di un IDS, permettendo di essere indipendenti dalle evoluzioni degli stessi e dei relativi database di confronto. Questo tipo di approccio si basa sull'Anomaly Detection, consiste nell'analisi diretta dei dati di traffico grezzi per poi eseguirne delle elaborazioni ed individuare un metodo discriminate per rivelare eventuali attacchi.

Sketch e Wavelet sono due strumenti matematici utilizzati nella realizzazione dell'IDS implementato in questa tesi: il primo serve a ridurre la complessità nella gestione ed elaborazione dei dati di nostro interesse, trattandosi di indirizzi IP il loro numero è molto elevato; la seconda è una trasformata che, ritenendo i dati che elaboriamo come segnali, può essere considerata come forma di rappresentazione in tempo-frequenza, mediante l'uso di una forma d'onda oscillante di lunghezza finita (o a decadimento rapido), scalata e traslata per adattarsi al segnale di ingresso.

Il lavoro svolto in questa tesi ha avuto come fine l'implementazione in codice C di un IDS che, mediante l'utilizzo dei due strumenti appena descritti, si prefigge di individuare dalle tracce dati di una rete, composte da elenchi di indirizzi sorgente e quantità di dati trasmessi, eventuali anomalie presenti in essi, segnalando gli IP considerati come tali, e che daranno luogo a elaborazioni volte ad attuare le contromisure adatte da parte di altri sistemi.

I risultati conseguiti sono stati ricavati utilizzando un set di dati di traffico a cui sono state aggiunte artificialmente delle anomalie. Essendo queste note è stato possibile, analizzando i risultati, verificare il corretto funzionamento del sistema in modo da valutarne la bontà.
File