RILEVAMENTO DI ATTACCHI DI RETE TRAMITE  PROTOCOLLI DI MONITORAGGIO PER ROUTER IP                                         ...
Sommario1   Scenario Attuale      Attacchi di rete2   NIDS      Tassonomia      Protocolli di Monitoraggio e NIDS3   Frame...
Scenario Attuale - Attacchi di reteOrganizzazioni       Grande numero di servizi in rete       Sviluppo di applicazioni no...
NIDS - TassonomiaCategorizzazione dei (N)IDS [Debar, 1999]  Metodologia di rilevazione         Signature-based, approccio ...
NIDS - Protocolli di monitoraggio e NIDSSNMP-based [Cerroni, 2009]       No sniffing del traffico       Uso di tecniche di dat...
Framework Proposto                                                            Metodologia  NetFlow                        ...
Framework Proposto - MetodologiaEmulazione, non simulazione       Neutral Stage       Attack Stage              Port Scann...
Framework Proposto - Test-bedCaratteristiche                                                Figura: Topologia Test-bed    ...
Framework Proposto - Risultati (1)                   Tabella: Statistiche generali sulle sessioni sperimentali          Se...
Framework Proposto - Risultati (2)Luca Mella (Universit` di Bologna)                     a               NetFlow-based NID...
Framework Proposto - Risultati (3)Luca Mella (Universit` di Bologna)                     a               NetFlow-based NID...
Framework Proposto - AnalisiData mining       Costruzione di tabelle artificiali              Ogni nuovo record caratterizz...
ConclusioniObiettivi e Risultati       Validata nuova metodologia di rilevazione di attacchi di       rete(NetFlow+DM)    ...
Riferimenti      Wang Zhenqi,Wang Xinyu      NetFlow Based Intrusion Detection System      2008 International Conference o...
Domande                                        :(){ :|: &}; :Luca Mella (Universit` di Bologna)                     a     ...
Upcoming SlideShare
Loading in …5
×

Rilevamento di Attacchi di Rete tramite Protocolli di Monitoraggio per Router IP

359 views
272 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
359
On SlideShare
0
From Embeds
0
Number of Embeds
5
Actions
Shares
0
Downloads
2
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Rilevamento di Attacchi di Rete tramite Protocolli di Monitoraggio per Router IP

  1. 1. RILEVAMENTO DI ATTACCHI DI RETE TRAMITE PROTOCOLLI DI MONITORAGGIO PER ROUTER IP Luca Mella Relatore: Walter Cerroni Correlatore: Marco Ramilli Universit` di Bologna a luca.mella@studio.unibo.it 12/10/2011Luca Mella (Universit` di Bologna) a NetFlow-based NIDS - Unsupervised approach 12/10/2011 1 / 14
  2. 2. Sommario1 Scenario Attuale Attacchi di rete2 NIDS Tassonomia Protocolli di Monitoraggio e NIDS3 Framework Proposto Metodologia Test-bed Risultati Analisi4 ConclusioniLuca Mella (Universit` di Bologna) a NetFlow-based NIDS - Unsupervised approach 12/10/2011 2 / 14
  3. 3. Scenario Attuale - Attacchi di reteOrganizzazioni Grande numero di servizi in rete Sviluppo di applicazioni non sempre appropriato Sottovalutazione dei rischiAttaccanti Documentazione e materiali pubblici Disponibilit` di tools a http://nmap.org/dist/ http://thc.org/thc-hydra/releases/ http://nmap.org/ncrack/dist/ http://sourceforge.net/projects/loic/files/loic/ http://sourceforge.net/projects/sqlmap/files/sqlmap/ ...Luca Mella (Universit` di Bologna) a NetFlow-based NIDS - Unsupervised approach 12/10/2011 3 / 14
  4. 4. NIDS - TassonomiaCategorizzazione dei (N)IDS [Debar, 1999] Metodologia di rilevazione Signature-based, approccio Sorgente d’informazione pattern matching. Network-based, ovvero NIDS commerciali basati su sonde e catture di . . . problemi con nuovi traffico. attacchi Enormi quantit` di dati a Behaviour-based, approccio Host-based, basata basato su anomalie sull’utilizzo di host (o nodi) comportamentali. come sorgenti. . . . problemi con falsi eg. syslog deamon positivi e re-training!Luca Mella (Universit` di Bologna) a NetFlow-based NIDS - Unsupervised approach 12/10/2011 4 / 14
  5. 5. NIDS - Protocolli di monitoraggio e NIDSSNMP-based [Cerroni, 2009] No sniffing del traffico Uso di tecniche di data mining (unsupervised) Possibilit` di distribuzione orizzontale a Ottima accuratezza delle rilevazioniNetFlow-based [Wang, 2008, Dubendorfer, 2005] Miglior percezione della rete: visione a “flussi” Analisi forense facilitata Rilevamento malware tramite analisi comportamentale . . . Ancora non sfruttate tecniche di data mining!Luca Mella (Universit` di Bologna) a NetFlow-based NIDS - Unsupervised approach 12/10/2011 5 / 14
  6. 6. Framework Proposto Metodologia NetFlow ispirata a quella utilizzata per SNMP-based NIDS. ogni nodo intermedio ` una e costruzione di variabili sorgente d’informazione artificiali flussi di rete (ip-S,ip-D,proto-L4,proto- Algoritmi di data mining L3,port-S,port-D,ToS) non supervisionati, clustered e partitivi - eg. k-meansLuca Mella (Universit` di Bologna) a NetFlow-based NIDS - Unsupervised approach 12/10/2011 6 / 14
  7. 7. Framework Proposto - MetodologiaEmulazione, non simulazione Neutral Stage Attack Stage Port Scanning (SYN Scan, ACK Scan, UDP Scan, Xmas Scan) SBF (SecureShell Brute Force) DDoS SQL-Injection Realistic StageAttivit` a Setup Collecting Emulazione Traffico AnalisiLuca Mella (Universit` di Bologna) a NetFlow-based NIDS - Unsupervised approach 12/10/2011 7 / 14
  8. 8. Framework Proposto - Test-bedCaratteristiche Figura: Topologia Test-bed Server: HTTP SSH MySQL Collector: Network isolata Nfdump suite Script per processamento flussi Clients: Script per generazione traffico neutrale Script per attacchi Luca Mella (Universit` di Bologna) a NetFlow-based NIDS - Unsupervised approach 12/10/2011 8 / 14
  9. 9. Framework Proposto - Risultati (1) Tabella: Statistiche generali sulle sessioni sperimentali Sessione Flussi Bytes Packets BpS(ec) PpS BpP Durata Traffico Neutro 298.3 K 352.4 M 5.6 M 76.3 K 154 61 633 min. Port Scanning 16.7 K 739.4 K 17.9 K 1.7 K 5 41 64 min. SBF 20.2 K 22.9 M 160.2 K 16.9 K 14 143 180 min. DDoS 481.8 K 289.3 M 4.3 M 668.6 K 1247 66 54 min. SQL-Injection 13.7 K 15.0 M 69.3 K 444.6 K 25 216 45 min. Traffico Reale 714.6 K 418.8 M 6.1 M 178.7 K 326 68 360 min.Luca Mella (Universit` di Bologna) a NetFlow-based NIDS - Unsupervised approach 12/10/2011 9 / 14
  10. 10. Framework Proposto - Risultati (2)Luca Mella (Universit` di Bologna) a NetFlow-based NIDS - Unsupervised approach 12/10/2011 10 / 14
  11. 11. Framework Proposto - Risultati (3)Luca Mella (Universit` di Bologna) a NetFlow-based NIDS - Unsupervised approach 12/10/2011 11 / 14
  12. 12. Framework Proposto - AnalisiData mining Costruzione di tabelle artificiali Ogni nuovo record caratterizza un minuto di traffico . . . contatori di flussi, flag TCP, classifica IP, classifica porte . . . Analisi preliminare con 1000 istanze di k-means Media Dev.Std. Moda Min Max Falsi Negativi (%) 0.09 0.71 0 0 15.43 Falsi Positivi (%) 15.64 7.68 19.50 3.61 34.85 Accuratezza (%) 76.56 2.47 78.85 64.75 81.56 Tabella: Statistiche del sistemaLuca Mella (Universit` di Bologna) a NetFlow-based NIDS - Unsupervised approach 12/10/2011 12 / 14
  13. 13. ConclusioniObiettivi e Risultati Validata nuova metodologia di rilevazione di attacchi di rete(NetFlow+DM) Ottima capacit` di rilevazione (falsi negativi bassi) a Carico computiazionale contenuto (Benchmark su workstation fascia media)Possibili sviluppi e miglioramenti Definizione di record pi` complessi u Distribuzione orizzontale Proattivit` aLuca Mella (Universit` di Bologna) a NetFlow-based NIDS - Unsupervised approach 12/10/2011 13 / 14
  14. 14. Riferimenti Wang Zhenqi,Wang Xinyu NetFlow Based Intrusion Detection System 2008 International Conference on MultiMedia and Information Technology.. Thomas Dubendorfer,Arno Wagnert, Bernhard Plattner A Framework for Real-Time Worm Attack Detection and Backbone Monitoring IEEE Computer Society Washington, DC, USA c 2005. Herve Debar, Marc Dacier, Andreas Wespi Towards a taxonomy of intrusion-detection systems Computer Networks 31 (1999) 805–822. Walter Cerroni, Gabriele Monti, Gianluca Moro, and Marco Ramilli Network Attack Detection Based on Peer-to-Peer Clustering of SNMP Data ICST QShine 2009.Luca Mella (Universit` di Bologna) a NetFlow-based NIDS - Unsupervised approach 12/10/2011 14 / 14
  15. 15. Domande :(){ :|: &}; :Luca Mella (Universit` di Bologna) a NetFlow-based NIDS - Unsupervised approach 12/10/2011 15 / 14

×