INTRODUZIONE
i
Gli utenti internet richiedono ormai sempre di più la privacy per proteggere le loro attività, utilizzando quindi meccanismi di cifratura e autenticazione dei dati. In generale questi meccanismi devono proteggere oltre al contenuto dei dati, anche il tipo di applicazione che è usata dall’utente, poiché questo tipo di protezione è molto importante ai fini della garanzia della privacy, in quanto rivela l’uso privato che gli utenti fanno di Internet. Esporre quindi le applicazioni che gli utenti usano per scambiare dati va a ledere la garanzia della privacy voluta.
Uno degli ultimi meccanismi di protezione sviluppati che permette di cifrare ad autenticare i dati e nascondere l’applicazione usata dall’utente, è IPsec, un’estensione del protocollo IP, che consente la creazione di tunnel che garantiscono la protezione del traffico di rete.
I metodi di classificazione port-based sono i procedimenti tradizionali usati per riconoscere il protocollo applicativo utilizzato dall’utente. Questi procedimenti si basano sul numero di porta impiegato a livello di trasporto, ma stanno diventando inefficaci in quanto molte applicazioni non rispettano le porte well-known, ovvero le porte utilizzate solitamente dalle applicazioni. Un altro approccio semplice per classificare il traffico di rete consiste nell’analizzare il payload dei pacchetti, ricercando delle signature che identificano i protocolli applicativi noti.
Gli approcci classici non sono però utili quando i dati sono cifrati attraverso l’uso di meccanismi di protezione come IPsec. E’ necessario quindi
Introduzione
ii
sviluppare delle tecniche che sfruttano i comportamenti statistici dei parametri IP del traffico, per classificare correttamente le applicazioni. Questa tesi ha l’obiettivo di mostrare com’è possibile riconoscere il tipo di applicazione utilizzata da utenti che proteggono il loro traffico di Rete con IPsec, avvalendosi esclusivamente delle informazioni del livello IP, come la lunghezza dei pacchetti che compongono il flusso di dati, il tempo di arrivo o la direzione del flusso dei pacchetti. Analizzando queste informazioni statisticamente, sarà possibile costruire un modello di classificazione dei protocolli più comunemente utilizzati, sfruttando le tecniche Support Vector Machines.
Più dettagliatamente, la tesi è organizzata come segue: nel Capitolo 1 sarà presentato IPsec, approfondendo i protocolli che ne fanno parte; nel Capitolo 2 saranno mostrate le tecniche Support Vector Machines; nel Capitolo 3 sarà spiegato nel dettaglio il lavoro svolto per studiare la classificazione di traffico IPsec; nel Capitolo 4, infine, saranno mostrati i risultati sperimentali della classificazione sulle tracce raccolte dal tunnel IPsec creato, e sulle tracce fornite dalla facoltà di Ingegneria delle Telecomunicazioni dell’Università La Sapienza di Roma.