Rilevamento di Attacchi di Rete tramite Protocolli di Monitoraggio per Router IP
Upcoming SlideShare
Loading in...5
×
 

Rilevamento di Attacchi di Rete tramite Protocolli di Monitoraggio per Router IP

on

  • 351 views

 

Statistics

Views

Total Views
351
Views on SlideShare
346
Embed Views
5

Actions

Likes
0
Downloads
1
Comments
0

2 Embeds 5

http://www.linkedin.com 4
https://www.linkedin.com 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Rilevamento di Attacchi di Rete tramite Protocolli di Monitoraggio per Router IP Rilevamento di Attacchi di Rete tramite Protocolli di Monitoraggio per Router IP Presentation Transcript

    • RILEVAMENTO DI ATTACCHI DI RETE TRAMITE PROTOCOLLI DI MONITORAGGIO PER ROUTER IP Luca Mella Relatore: Walter Cerroni Correlatore: Marco Ramilli Universit` di Bologna a luca.mella@studio.unibo.it 12/10/2011Luca Mella (Universit` di Bologna) a NetFlow-based NIDS - Unsupervised approach 12/10/2011 1 / 14
    • Sommario1 Scenario Attuale Attacchi di rete2 NIDS Tassonomia Protocolli di Monitoraggio e NIDS3 Framework Proposto Metodologia Test-bed Risultati Analisi4 ConclusioniLuca Mella (Universit` di Bologna) a NetFlow-based NIDS - Unsupervised approach 12/10/2011 2 / 14
    • Scenario Attuale - Attacchi di reteOrganizzazioni Grande numero di servizi in rete Sviluppo di applicazioni non sempre appropriato Sottovalutazione dei rischiAttaccanti Documentazione e materiali pubblici Disponibilit` di tools a http://nmap.org/dist/ http://thc.org/thc-hydra/releases/ http://nmap.org/ncrack/dist/ http://sourceforge.net/projects/loic/files/loic/ http://sourceforge.net/projects/sqlmap/files/sqlmap/ ...Luca Mella (Universit` di Bologna) a NetFlow-based NIDS - Unsupervised approach 12/10/2011 3 / 14
    • NIDS - TassonomiaCategorizzazione dei (N)IDS [Debar, 1999] Metodologia di rilevazione Signature-based, approccio Sorgente d’informazione pattern matching. Network-based, ovvero NIDS commerciali basati su sonde e catture di . . . problemi con nuovi traffico. attacchi Enormi quantit` di dati a Behaviour-based, approccio Host-based, basata basato su anomalie sull’utilizzo di host (o nodi) comportamentali. come sorgenti. . . . problemi con falsi eg. syslog deamon positivi e re-training!Luca Mella (Universit` di Bologna) a NetFlow-based NIDS - Unsupervised approach 12/10/2011 4 / 14
    • NIDS - Protocolli di monitoraggio e NIDSSNMP-based [Cerroni, 2009] No sniffing del traffico Uso di tecniche di data mining (unsupervised) Possibilit` di distribuzione orizzontale a Ottima accuratezza delle rilevazioniNetFlow-based [Wang, 2008, Dubendorfer, 2005] Miglior percezione della rete: visione a “flussi” Analisi forense facilitata Rilevamento malware tramite analisi comportamentale . . . Ancora non sfruttate tecniche di data mining!Luca Mella (Universit` di Bologna) a NetFlow-based NIDS - Unsupervised approach 12/10/2011 5 / 14
    • Framework Proposto Metodologia NetFlow ispirata a quella utilizzata per SNMP-based NIDS. ogni nodo intermedio ` una e costruzione di variabili sorgente d’informazione artificiali flussi di rete (ip-S,ip-D,proto-L4,proto- Algoritmi di data mining L3,port-S,port-D,ToS) non supervisionati, clustered e partitivi - eg. k-meansLuca Mella (Universit` di Bologna) a NetFlow-based NIDS - Unsupervised approach 12/10/2011 6 / 14
    • Framework Proposto - MetodologiaEmulazione, non simulazione Neutral Stage Attack Stage Port Scanning (SYN Scan, ACK Scan, UDP Scan, Xmas Scan) SBF (SecureShell Brute Force) DDoS SQL-Injection Realistic StageAttivit` a Setup Collecting Emulazione Traffico AnalisiLuca Mella (Universit` di Bologna) a NetFlow-based NIDS - Unsupervised approach 12/10/2011 7 / 14
    • Framework Proposto - Test-bedCaratteristiche Figura: Topologia Test-bed Server: HTTP SSH MySQL Collector: Network isolata Nfdump suite Script per processamento flussi Clients: Script per generazione traffico neutrale Script per attacchi Luca Mella (Universit` di Bologna) a NetFlow-based NIDS - Unsupervised approach 12/10/2011 8 / 14
    • Framework Proposto - Risultati (1) Tabella: Statistiche generali sulle sessioni sperimentali Sessione Flussi Bytes Packets BpS(ec) PpS BpP Durata Traffico Neutro 298.3 K 352.4 M 5.6 M 76.3 K 154 61 633 min. Port Scanning 16.7 K 739.4 K 17.9 K 1.7 K 5 41 64 min. SBF 20.2 K 22.9 M 160.2 K 16.9 K 14 143 180 min. DDoS 481.8 K 289.3 M 4.3 M 668.6 K 1247 66 54 min. SQL-Injection 13.7 K 15.0 M 69.3 K 444.6 K 25 216 45 min. Traffico Reale 714.6 K 418.8 M 6.1 M 178.7 K 326 68 360 min.Luca Mella (Universit` di Bologna) a NetFlow-based NIDS - Unsupervised approach 12/10/2011 9 / 14
    • Framework Proposto - Risultati (2)Luca Mella (Universit` di Bologna) a NetFlow-based NIDS - Unsupervised approach 12/10/2011 10 / 14
    • Framework Proposto - Risultati (3)Luca Mella (Universit` di Bologna) a NetFlow-based NIDS - Unsupervised approach 12/10/2011 11 / 14
    • Framework Proposto - AnalisiData mining Costruzione di tabelle artificiali Ogni nuovo record caratterizza un minuto di traffico . . . contatori di flussi, flag TCP, classifica IP, classifica porte . . . Analisi preliminare con 1000 istanze di k-means Media Dev.Std. Moda Min Max Falsi Negativi (%) 0.09 0.71 0 0 15.43 Falsi Positivi (%) 15.64 7.68 19.50 3.61 34.85 Accuratezza (%) 76.56 2.47 78.85 64.75 81.56 Tabella: Statistiche del sistemaLuca Mella (Universit` di Bologna) a NetFlow-based NIDS - Unsupervised approach 12/10/2011 12 / 14
    • ConclusioniObiettivi e Risultati Validata nuova metodologia di rilevazione di attacchi di rete(NetFlow+DM) Ottima capacit` di rilevazione (falsi negativi bassi) a Carico computiazionale contenuto (Benchmark su workstation fascia media)Possibili sviluppi e miglioramenti Definizione di record pi` complessi u Distribuzione orizzontale Proattivit` aLuca Mella (Universit` di Bologna) a NetFlow-based NIDS - Unsupervised approach 12/10/2011 13 / 14
    • Riferimenti Wang Zhenqi,Wang Xinyu NetFlow Based Intrusion Detection System 2008 International Conference on MultiMedia and Information Technology.. Thomas Dubendorfer,Arno Wagnert, Bernhard Plattner A Framework for Real-Time Worm Attack Detection and Backbone Monitoring IEEE Computer Society Washington, DC, USA c 2005. Herve Debar, Marc Dacier, Andreas Wespi Towards a taxonomy of intrusion-detection systems Computer Networks 31 (1999) 805–822. Walter Cerroni, Gabriele Monti, Gianluca Moro, and Marco Ramilli Network Attack Detection Based on Peer-to-Peer Clustering of SNMP Data ICST QShine 2009.Luca Mella (Universit` di Bologna) a NetFlow-based NIDS - Unsupervised approach 12/10/2011 14 / 14
    • Domande :(){ :|: &}; :Luca Mella (Universit` di Bologna) a NetFlow-based NIDS - Unsupervised approach 12/10/2011 15 / 14