Introduzione
Negli ultimi anni la sicurezza informatica e dei sistemi informativi ha subito una accelerazione ed una evoluzione per restare al passo con i più recenti modi di utilizzo della rete e dei sistemi informativi.
I principali obiettivi della sicurezza in una moderna rete di calcolatori sono i seguenti:
• confidenzialità: assicurare che solo le persone autorizzate possano accedere ai dati; solo il mittente e il destinatario devono essere in grado di comprendere il contenuto di un messaggio che si scambiano;
• restrizione nell’accesso: garantire che solo le persone autorizzate possano accedere alle risorse di rete;
• autenticazione: assicurare che sia il mittente che il destinatario siano effettivamente chi dicono di essere;
• fiducia: garantire l’affidabilità di una sorgente;
• integrità: assicurare che solo le persone autorizzate possano modificare componenti del sistema, e solo nelle modalità per cui sono state autorizzate a procedere;
• disponibilità: fare in modo che la rete sia sempre in grado di fornire i servizi richiesti in un tempo ragionevole e secondo certi requisiti;
• non ripudiabilità: assicurare che il mittente non possa negare di aver inviato un messaggio e il destinatario non possa negare di aver ricevuto un messaggio.
In questo contesto, una delle maggiori minacce è rappresentata dalle intrusioni, cioè da accessi non autorizzati ad un sistema. La maggior parte degli attacchi di questo tipo avviene attraverso la rete Internet e può avere conseguenze molto pesanti. Un attacco Denial of Service, ad esempio, può degradare le prestazioni di un host o mandarlo in crash, oppure impegnare le risorse di sistema o di rete fino ad impedire la fruizione di alcuni servizi agli utenti che ne avrebbero diritto. Le tecniche di prevenzione attualmente utilizzate, come l’access control o l’utilizzo di password, non sono del tutto sufficienti ad evitare attacchi di questo genere. Il problema
fondamentale di un approccio di questo tipo risiede nelle difficoltà connesse a prevedere attacchi di qualunque tipologia e quindi progettare le opportune linee di difesa. Si preferisce perciò ricorrere a tecniche di intrusion detection, che hanno la funzione non di prevenire gli attacchi, ma di rilevarli al momento in cui essi sono in atto (o successivamente in alcuni casi). L’obiettivo di questo lavoro di tesi consiste nel progettare ed implementare un Intrusion Detection System (IDS) in grado di rilevare eventuali attacchi analizzando il traffico di rete e un classificatore statistico, il cui scopo è quello di individuare i vari flussi di traffico in base all’applicazione.
La tesi è organizzata nel modo seguente:
nel primo capitolo vengono descritte le diverse architetture degli IDS ed i relativi principi di funzionamento, evidenziando, per ognuna di esse, vantaggi e svantaggi. Poi vengono introdotte le principali tecniche di classificazione. Nel secondo capitolo è presente una descrizione del traffico di rete utilizzato: dataset Darpa e traffico catturato su una rete di laboratorio reale. Il progetto DARPA/Lincoln Laborator Off-Line evaluation (IDEVAL). Tale programma rappresenta, come vedremo, lo standard “de facto” per la valutazione degli
IDS. Successivamente, nel terzo capitolo, è presente una descrizione dettagliata dell’IDS e del classificatore realizzati in questo lavoro di tesi. Infine, nel quarto capitolo, sono presentati i risultati ottenuti testando l’IDS e il classificatore statistico.
