Tipo di tesi
Tesi di laurea specialistica
Titolo
LogLog Counting Reversible Sketch: un'architettura distribuita per la rilevazione di anomalie nel traffico di rete
Corso di studi
INGEGNERIA DELLE TELECOMUNICAZIONI
Parole chiave
- anomaly detection
- attacchi DOS
Data inizio appello
26/09/2011
Data di rilascio
26/09/2051
Riassunto (Italiano)
L'obiettivo che si prefigge questo lavoro di tesi è confrontare, all'interno della stessa architettura, due tecniche diverse per realizzare IDS distribuiti, in modo da verificare cioè se convenga distribuire la raccolta dei dati ma elaborarli in modo centralizzato o realizzare anche l'anomaly detection (ricerca dei dati anomali) sulle sonde e poi centralizzare solo l'alert correlation, cioè il processo che analizza gli allarmi prodotti da più Intrusion Detection System, li correla e costruisce uno scenario degli attacchi.
L'architettura distribuita descritta nel seguito è una struttura generale su cui possono essere agevolmente implementati la maggior parte dei meccanismi di anomaly detection, come heavy hitter, PCA, cusum o wavelet analysis. Nell’approccio distribuito, sono presenti diversi probe distribuiti nella rete, ognuno dei quali osserva il traffico della sua porzione di rete e successivamente riporta, sottoforma di uno sketch particolare, le informazioni raccolte ad un’unica macchina centrale (chiamata mediatore) che analizza i dati e genera gli allarmi. Le informazioni sono passate al mediatore sottoforma di LogLog Counting Sketch (LLCS), che è una struttura dati probabilistica nata dalla combinazione dell'algoritmo LogLogCounting e dagli sketch, e che svolge il compito di valutare le grosse variazioni nel traffico in modo efficiente.
Il mediatore ha il compito di aggregare tutti i LLCS locali relativi ad uno stesso timebin, e riesce a farlo senza contare i flussi duplicati, cioè quelli osservati da più di una sonda e quindi inseriti in più di un LLCS. Inoltre, l'architettura proposta riesce a mantenere la privacy dei flussi, nonostante l'ambiente sia distribuito, ed, introducendo una variante degli sketch - il Reversible Sketch (RS), che combinato con un LLCS dà luogo ai LogLog Counting Reversible Sketch LLCRS - risolve anche il problema dell'identificazione degli indirizzi IP responsabili delle anomalie rilevate.
Al contrario, il metodo centralizzato prevede che ogni router, a partire dal proprio LLCRS, individui i propri timebin e indirizzi IP anomali.
