logo SBA

ETD

Archivio digitale delle tesi discusse presso l’Università di Pisa

Tesi etd-08282011-082738


Tipo di tesi
Tesi di laurea specialistica
Autore
DAVINI, CHIARA
URN
etd-08282011-082738
Titolo
LogLog Counting Reversible Sketch: un'architettura distribuita per la rilevazione di anomalie nel traffico di rete
Dipartimento
INGEGNERIA
Corso di studi
INGEGNERIA DELLE TELECOMUNICAZIONI
Relatori
relatore Ing. Pagano, Michele
correlatore Ing. Giordano, Stefano
correlatore Ing. Pepe, Teresa
correlatore Ing. Callegari, Christian
Parole chiave
  • anomaly detection
  • attacchi DOS
Data inizio appello
26/09/2011
Consultabilità
Parziale
Data di rilascio
26/09/2051
Riassunto
L'obiettivo che si prefigge questo lavoro di tesi è confrontare, all'interno della stessa architettura, due tecniche diverse per realizzare IDS distribuiti, in modo da verificare cioè se convenga distribuire la raccolta dei dati ma elaborarli in modo centralizzato o realizzare anche l'anomaly detection (ricerca dei dati anomali) sulle sonde e poi centralizzare solo l'alert correlation, cioè il processo che analizza gli allarmi prodotti da più Intrusion Detection System, li correla e costruisce uno scenario degli attacchi.
L'architettura distribuita descritta nel seguito è una struttura generale su cui possono essere agevolmente implementati la maggior parte dei meccanismi di anomaly detection, come heavy hitter, PCA, cusum o wavelet analysis. Nell’approccio distribuito, sono presenti diversi probe distribuiti nella rete, ognuno dei quali osserva il traffico della sua porzione di rete e successivamente riporta, sottoforma di uno sketch particolare, le informazioni raccolte ad un’unica macchina centrale (chiamata mediatore) che analizza i dati e genera gli allarmi. Le informazioni sono passate al mediatore sottoforma di LogLog Counting Sketch (LLCS), che è una struttura dati probabilistica nata dalla combinazione dell'algoritmo LogLogCounting e dagli sketch, e che svolge il compito di valutare le grosse variazioni nel traffico in modo efficiente.
Il mediatore ha il compito di aggregare tutti i LLCS locali relativi ad uno stesso timebin, e riesce a farlo senza contare i flussi duplicati, cioè quelli osservati da più di una sonda e quindi inseriti in più di un LLCS. Inoltre, l'architettura proposta riesce a mantenere la privacy dei flussi, nonostante l'ambiente sia distribuito, ed, introducendo una variante degli sketch - il Reversible Sketch (RS), che combinato con un LLCS dà luogo ai LogLog Counting Reversible Sketch LLCRS - risolve anche il problema dell'identificazione degli indirizzi IP responsabili delle anomalie rilevate.
Al contrario, il metodo centralizzato prevede che ogni router, a partire dal proprio LLCRS, individui i propri timebin e indirizzi IP anomali.
File