logo SBA

ETD

Archivio digitale delle tesi discusse presso l’Università di Pisa

Tesi etd-11132009-110137


Tipo di tesi
Tesi di laurea specialistica
Autore
CASALI, CLAUDIA
URN
etd-11132009-110137
Titolo
Anomaly Detection basato sull'algoritmo BZ2
Dipartimento
INGEGNERIA
Corso di studi
INGEGNERIA DELLE TELECOMUNICAZIONI
Relatori
relatore Prof. Pagano, Michele
relatore Ing. Pepe, Teresa
relatore Prof. Giordano, Stefano
relatore Ing. Callegari, Christian
Parole chiave
  • Anomaly Detection
  • BZ2
  • IDS
Data inizio appello
14/12/2009
Consultabilità
Parziale
Data di rilascio
14/12/2049
Riassunto
Vista la crescente diffusione della connettività ad Internet e al vasto spettro di possibilità di commercio e di operazioni finanziarie on-line, sempre più sistemi sono vittime di attacchi e tentativi di intrusione.E’ per queste ragioni che è stata introdotta una tecnologia di sicurezza che sia in grado di monitorare i sistemi e di individuare i tentativi di intrusione e gli attacchi. Questo sistema viene chiamato intrusion detection (IDS) ed è indipendente dagli altri sistemi o architetture di sicurezza.
Un Intrusion Detection System consiste in un insieme di tecniche e metodologie realizzate ad-hoc per rilevare attività sospette a livello di rete, di trasporto o di applicazione.
Obiettivo del lavoro svolto e di seguito presentato sarà progettare ed implementare un IDS di tipo anomaly detection, denominato anche behaviour based o detection by behaviour, che cerca di rilevare i comportamenti anomali dell’entità monitorata, partendo da una conoscenza più approfondita possibile di ciò che per l’entità rappresenta l’attività normale, basato sull'algoritmo di compressione BZ2.Bzip2 è un algoritmo di compressione dati libero da brevetti e open source, sviluppato da Julian Seward.Risulta essere un compressore ad alta qualità poichè la compressione è, in generale, notevolmente migliore di quella ottenuta dai più convenzionali compressori basati su LZ77/LZ78 e si avvicina alle prestazioni dei compressori statistici della famiglia PPM. A detta dell’autore, bzip2 contiene all'interno dal dieci al quindici percento del miglior algoritmo di compressione attualmente conosciuto.Si basa sulla trasformata Burrows-Wheeler (BWT), detta anche block-sorting compression, seguita dalla trafsormazione MTF che non comprime i dati ma ha il compito di ridurre la ridondanza. La compressione viene svolta dalla codifica Rin Length Encoding e la costruzione dell'albero di Huffman dinamico.
Le simulazioni sono state svolte utilizzando il dataset DARPA del 1999 che in sostanza è una raccolta di dati sotto forma di dump del traffico di rete e dei file system delle macchine ‘vittima’ coinvolte, oltre a vari logfile nel formato di syslog e in formato BSM1.
File