INTRODUZIONE
Internet non è mai stato un posto sicuro. La ricerca e sviluppo di tecniche automatiche ed efficienti, per rilevare anomalie nel traffico dati, è una questione sempre aperta e all'ordine del giorno nel campo della sicurezza delle reti [rif]. Nel 2000, alcuni dei più importanti portali del mondo, quali Buy.com, Amazon.com, CNN, eBay, sono stati vittima di attacchi informatici che hanno minato il corretto funzionamento dei servizi offerti. Pochi anni più tardi, Google.com e Microsoft restano off-line per poco più di due ore, subendo perdite inestimabili. Nel 2005, l'FBI stila un rapporto in cui denuncia crimini informatici per una cifra intorno ai 400 miliardi di dollari. Nel 2012, Yahoo! è stata vittima di un gruppo di pirati informatici, i quali si sarebbero impossessati di 400.000 dati di login, per accedere a servizi proprietari. Il centro di coordinamento per gli incidenti di Internet Security (CERT/CC, Computer
Emergency Response Team/Coordination Center) testimonia una crescita vertiginosa di incidenti in pochi anni; si passa dai 21756 nel 2000 ai 137529 di soli tre anni più tardi: 6 volte tanto [ r if ]. Si parla, dunque, di un numero sempre più crescente di attacchi. Attacchi con
scopi ludici ma anche economici e/o personali, basti pensare agli innumerevoli negozi on-line che la rete offre, sui quali l'utente, ogni giorno, inserisce i propri dati. Il continuo sviluppo di tecnologie e applicazioni che permettono il passaggio di informazioni sulla rete e il continuo evolversi di servizi offerti dalla rete stessa, richiede un miglioramento in parallelo di tecniche sempre piu` veloci ed efficaci per la protezione da possibili attacchi informatici.
Data l’evoluzione delle metodologie di attacco, é importante utilizzare metodi in grado di individuare attività anomale di qualsiasi natura, sia note che non; secondo un rapporto pubblicato a luglio 2011 da SANS Institute [rif], le vulnerabilità 0-day sono sempre più sfruttate; per definizione, un exploit di tipo 0-day ha sempre successo: è utilizzato per sferrare un attacco prima che la vulnerabilità sfruttata venga scoperta e corretta. Solo pochi anni prima, Microsoft ed Apple contano oltre 20 vulnerabilità 0-day riportate.