Tesi etd-09092009-110307 |
Link copiato negli appunti
Tipo di tesi
Tesi di laurea specialistica
Autore
SALVADORINI, LISA
Indirizzo email
l.salvadorini@tiscalinet.it, lmvsxx@gmail.com
URN
etd-09092009-110307
Titolo
Classificazione statistica di traffico cifrato
Dipartimento
INGEGNERIA
Corso di studi
INGEGNERIA DELLE TELECOMUNICAZIONI
Relatori
relatore Prof. Pagano, Michele
relatore Ing. Pepe, Teresa
relatore Prof. Giordano, Stefano
relatore Ing. Callegari, Christian
relatore Ing. Pepe, Teresa
relatore Prof. Giordano, Stefano
relatore Ing. Callegari, Christian
Parole chiave
- classificazione statistica
- KNN
- SVM
Data inizio appello
28/09/2009
Consultabilità
Parziale
Data di rilascio
28/09/2049
Riassunto
La classificazione del traffico ha assunto un ruolo fondamentale all’interno dei sistemi di network management, sia per quanto riguarda l’allocazione delle risorse e la gestione della QoS, sia per la rilevazione di intrusioni e anomalie.
I metodi tradizionali di classificazione di tipo port-based, cioè quelli che sfruttano i numeri di porta a livello di trasporto, stanno rapidamente divenendo inefficaci. Molte applicazioni, infatti, specialmente quelle peer-to-peer, non rispettano le porte well-known e possono così oltrepassare le possibili restrizioni di sicurezza presenti nella rete. Un’evoluzione di questo approccio sono i metodi payload-based che si basano sull’ispezione del payload dei pacchetti, alla ricerca di signature che identifichino protocolli applicativi conosciuti. Entrambi gli approcci, in ogni caso, falliscono nel momento in cui vengono stabiliti tunnel per mascherare un protocollo soggetto a restrizioni in un altro considerato sicuro e quando vengono utilizzati meccanismi di cifratura.
Una soluzione a questi problemi è data dai classificatori statistici, i quali caratterizzano il comportamento di una applicazione in termini di parametri a livello di rete: dimensione dei pacchetti, tempi di interarrivo. Questi approcci non manifestano i problemi legati all’ispezione del payload e per questo motivo possono essere utilizzati anche con il traffico cifrato.
In questa tesi ci siamo concentrati sulla classificazione statistica di traffico cifrato di tipo SSH. SSH è un protocollo che permette di stabilire una sessione remota cifrata tra due host. In genere viene utilizzato per accedere ad un computer remoto o per la copia sicura di file, ma una delle sue funzionalità più importanti è il port-forwarding o tunneling. Tramite SSH è infatti possibile trasmettere qualsiasi tipo di traffico di rete all’interno di una sessione SSH, fornendo così riservatezza e integrità anche alle applicazioni non sicure. I tunnel risultano essere uno strumento molto potente perché, essendo i dati cifrati, ogni tecnica di classificazione basata sulle porte o sul payload è vanificata. Consentire in una rete l’uso di SSH significa, quindi, consentire di incapsulare qualsiasi protocollo, anche quelli non permessi.
Questa tesi si propone di dimostrare come si possa comunque risalire all’applicazione che viene trasmessa in un tunnel SSH, attraverso l’uso delle caratteristiche statistiche dei flussi cifrati. I classificatori statistici che sono stati utilizzati per tale scopo sono KNN e SVM.
I metodi tradizionali di classificazione di tipo port-based, cioè quelli che sfruttano i numeri di porta a livello di trasporto, stanno rapidamente divenendo inefficaci. Molte applicazioni, infatti, specialmente quelle peer-to-peer, non rispettano le porte well-known e possono così oltrepassare le possibili restrizioni di sicurezza presenti nella rete. Un’evoluzione di questo approccio sono i metodi payload-based che si basano sull’ispezione del payload dei pacchetti, alla ricerca di signature che identifichino protocolli applicativi conosciuti. Entrambi gli approcci, in ogni caso, falliscono nel momento in cui vengono stabiliti tunnel per mascherare un protocollo soggetto a restrizioni in un altro considerato sicuro e quando vengono utilizzati meccanismi di cifratura.
Una soluzione a questi problemi è data dai classificatori statistici, i quali caratterizzano il comportamento di una applicazione in termini di parametri a livello di rete: dimensione dei pacchetti, tempi di interarrivo. Questi approcci non manifestano i problemi legati all’ispezione del payload e per questo motivo possono essere utilizzati anche con il traffico cifrato.
In questa tesi ci siamo concentrati sulla classificazione statistica di traffico cifrato di tipo SSH. SSH è un protocollo che permette di stabilire una sessione remota cifrata tra due host. In genere viene utilizzato per accedere ad un computer remoto o per la copia sicura di file, ma una delle sue funzionalità più importanti è il port-forwarding o tunneling. Tramite SSH è infatti possibile trasmettere qualsiasi tipo di traffico di rete all’interno di una sessione SSH, fornendo così riservatezza e integrità anche alle applicazioni non sicure. I tunnel risultano essere uno strumento molto potente perché, essendo i dati cifrati, ogni tecnica di classificazione basata sulle porte o sul payload è vanificata. Consentire in una rete l’uso di SSH significa, quindi, consentire di incapsulare qualsiasi protocollo, anche quelli non permessi.
Questa tesi si propone di dimostrare come si possa comunque risalire all’applicazione che viene trasmessa in un tunnel SSH, attraverso l’uso delle caratteristiche statistiche dei flussi cifrati. I classificatori statistici che sono stati utilizzati per tale scopo sono KNN e SVM.
File
Nome file | Dimensione |
---|---|
Bibliografia.pdf | 58.97 Kb |
Indice.pdf | 62.38 Kb |
Introduzione.pdf | 62.21 Kb |
Ringraziamenti.pdf | 47.34 Kb |
1 file non consultabili su richiesta dell’autore. |