Tipo di tesi
Tesi di laurea specialistica
Titolo
Anomaly Detection basato sull'algoritmo BZ2
Corso di studi
INGEGNERIA DELLE TELECOMUNICAZIONI
Parole chiave
- Anomaly Detection
- BZ2
- IDS
Data inizio appello
14/12/2009
Data di rilascio
14/12/2049
Riassunto (Italiano)
Vista la crescente diffusione della connettività ad Internet e al vasto spettro di possibilità di commercio e di operazioni finanziarie on-line, sempre più sistemi sono vittime di attacchi e tentativi di intrusione.E’ per queste ragioni che è stata introdotta una tecnologia di sicurezza che sia in grado di monitorare i sistemi e di individuare i tentativi di intrusione e gli attacchi. Questo sistema viene chiamato intrusion detection (IDS) ed è indipendente dagli altri sistemi o architetture di sicurezza.
Un Intrusion Detection System consiste in un insieme di tecniche e metodologie realizzate ad-hoc per rilevare attività sospette a livello di rete, di trasporto o di applicazione.
Obiettivo del lavoro svolto e di seguito presentato sarà progettare ed implementare un IDS di tipo anomaly detection, denominato anche behaviour based o detection by behaviour, che cerca di rilevare i comportamenti anomali dell’entità monitorata, partendo da una conoscenza più approfondita possibile di ciò che per l’entità rappresenta l’attività normale, basato sull'algoritmo di compressione BZ2.Bzip2 è un algoritmo di compressione dati libero da brevetti e open source, sviluppato da Julian Seward.Risulta essere un compressore ad alta qualità poichè la compressione è, in generale, notevolmente migliore di quella ottenuta dai più convenzionali compressori basati su LZ77/LZ78 e si avvicina alle prestazioni dei compressori statistici della famiglia PPM. A detta dell’autore, bzip2 contiene all'interno dal dieci al quindici percento del miglior algoritmo di compressione attualmente conosciuto.Si basa sulla trasformata Burrows-Wheeler (BWT), detta anche block-sorting compression, seguita dalla trafsormazione MTF che non comprime i dati ma ha il compito di ridurre la ridondanza. La compressione viene svolta dalla codifica Rin Length Encoding e la costruzione dell'albero di Huffman dinamico.
Le simulazioni sono state svolte utilizzando il dataset DARPA del 1999 che in sostanza è una raccolta di dati sotto forma di dump del traffico di rete e dei file system delle macchine ‘vittima’ coinvolte, oltre a vari logfile nel formato di syslog e in formato BSM1.
