Conclusioni
I fattori di crescita ed evoluzione dell’ICT, con particolare riguardo allo sviluppo di reti di interconnessione tra i sistemi informativi, e la sua diffusione in uno spettro di applicazione sempre più vasto impongono una rigorosa attenzione agli aspetti legati alla sicurezza. Le tecniche di prevenzione attualmente utilizzate, come l’access control o l’utilizzo di password, non sono del tutto sufficienti ad evitare attacchi di questo genere. Il problema fondamentale di un approccio di questo tipo risiede nelle difficoltà connesse a prevedere attacchi di qualunque tipologia e quindi progettare le opportune linee di difesa. Si preferisce perciò ricorrere a tecniche di intrusion detection, che hanno la funzione non di prevenire gli attacchi, ma di rilevarli al momento in cui essi sono in atto (o successivamente in alcuni casi)
In questa tesi è stata descritta l’implementazione di un network IDS basato su tecniche di anomaly detection e di un classificatore statistico. Il sistema di Intrusion Detection, che si
avvale dell’algoritmo ECM, necessita di una fase iniziale di training, supposta esente da attacchi, in cui vengono osservati i pacchetti in ingresso agli host della rete per costruire in modo automatico regole che caratterizzano il comportamento normale del traffico. Nella fase di detection, i pacchetti vengono analizzati al fine di controllare se rispettano il profilo definito in precedenza e, nel caso in cui si verifichino scostamenti, vengono generati gli opportuni allarmi. Questa soluzione ha permesso di rilevare un alto numero di attacchi, pur senza disporre delle relative signature e superando quindi la limitazione che affligge i sistemi di tipo misuse detection. Il classificatore statistico è anch’esso realizzato sulla base dell’algoritmo ECM. Anche in questo caso le prestazioni sono soddisfacenti. Infatti analizzando i primi 30 pkt di ogni connessione il classificatore è in grado di distinguere i vari flussi di traffico sulla base delle applicazioni. Le prestazioni migliori si hanno con il traffico del dataset Darpa: infatti, in questo caso, il rate di falsi negativi e di falsi positivi per le varie applicazioni è compreso rispettivamente tra lo 0,16% e il 4,22% e tra lo 0% e l’1,09%.
Le prestazioni complessive, sia per quanto riguarda l’IDS che per quanto riguarda il classificatore, risultano quindi soddisfacenti.
