Your SlideShare is downloading. ×
Rilevamento di Attacchi di Rete tramite Protocolli di Monitoraggio per Router IP
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Saving this for later?

Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime - even offline.

Text the download link to your phone

Standard text messaging rates apply

Rilevamento di Attacchi di Rete tramite Protocolli di Monitoraggio per Router IP

201
views

Published on


0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
201
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
1
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. RILEVAMENTO DI ATTACCHI DI RETE TRAMITE PROTOCOLLI DI MONITORAGGIO PER ROUTER IP Luca Mella Relatore: Walter Cerroni Correlatore: Marco Ramilli Universit` di Bologna a luca.mella@studio.unibo.it 12/10/2011Luca Mella (Universit` di Bologna) a NetFlow-based NIDS - Unsupervised approach 12/10/2011 1 / 14
  • 2. Sommario1 Scenario Attuale Attacchi di rete2 NIDS Tassonomia Protocolli di Monitoraggio e NIDS3 Framework Proposto Metodologia Test-bed Risultati Analisi4 ConclusioniLuca Mella (Universit` di Bologna) a NetFlow-based NIDS - Unsupervised approach 12/10/2011 2 / 14
  • 3. Scenario Attuale - Attacchi di reteOrganizzazioni Grande numero di servizi in rete Sviluppo di applicazioni non sempre appropriato Sottovalutazione dei rischiAttaccanti Documentazione e materiali pubblici Disponibilit` di tools a http://nmap.org/dist/ http://thc.org/thc-hydra/releases/ http://nmap.org/ncrack/dist/ http://sourceforge.net/projects/loic/files/loic/ http://sourceforge.net/projects/sqlmap/files/sqlmap/ ...Luca Mella (Universit` di Bologna) a NetFlow-based NIDS - Unsupervised approach 12/10/2011 3 / 14
  • 4. NIDS - TassonomiaCategorizzazione dei (N)IDS [Debar, 1999] Metodologia di rilevazione Signature-based, approccio Sorgente d’informazione pattern matching. Network-based, ovvero NIDS commerciali basati su sonde e catture di . . . problemi con nuovi traffico. attacchi Enormi quantit` di dati a Behaviour-based, approccio Host-based, basata basato su anomalie sull’utilizzo di host (o nodi) comportamentali. come sorgenti. . . . problemi con falsi eg. syslog deamon positivi e re-training!Luca Mella (Universit` di Bologna) a NetFlow-based NIDS - Unsupervised approach 12/10/2011 4 / 14
  • 5. NIDS - Protocolli di monitoraggio e NIDSSNMP-based [Cerroni, 2009] No sniffing del traffico Uso di tecniche di data mining (unsupervised) Possibilit` di distribuzione orizzontale a Ottima accuratezza delle rilevazioniNetFlow-based [Wang, 2008, Dubendorfer, 2005] Miglior percezione della rete: visione a “flussi” Analisi forense facilitata Rilevamento malware tramite analisi comportamentale . . . Ancora non sfruttate tecniche di data mining!Luca Mella (Universit` di Bologna) a NetFlow-based NIDS - Unsupervised approach 12/10/2011 5 / 14
  • 6. Framework Proposto Metodologia NetFlow ispirata a quella utilizzata per SNMP-based NIDS. ogni nodo intermedio ` una e costruzione di variabili sorgente d’informazione artificiali flussi di rete (ip-S,ip-D,proto-L4,proto- Algoritmi di data mining L3,port-S,port-D,ToS) non supervisionati, clustered e partitivi - eg. k-meansLuca Mella (Universit` di Bologna) a NetFlow-based NIDS - Unsupervised approach 12/10/2011 6 / 14
  • 7. Framework Proposto - MetodologiaEmulazione, non simulazione Neutral Stage Attack Stage Port Scanning (SYN Scan, ACK Scan, UDP Scan, Xmas Scan) SBF (SecureShell Brute Force) DDoS SQL-Injection Realistic StageAttivit` a Setup Collecting Emulazione Traffico AnalisiLuca Mella (Universit` di Bologna) a NetFlow-based NIDS - Unsupervised approach 12/10/2011 7 / 14
  • 8. Framework Proposto - Test-bedCaratteristiche Figura: Topologia Test-bed Server: HTTP SSH MySQL Collector: Network isolata Nfdump suite Script per processamento flussi Clients: Script per generazione traffico neutrale Script per attacchi Luca Mella (Universit` di Bologna) a NetFlow-based NIDS - Unsupervised approach 12/10/2011 8 / 14
  • 9. Framework Proposto - Risultati (1) Tabella: Statistiche generali sulle sessioni sperimentali Sessione Flussi Bytes Packets BpS(ec) PpS BpP Durata Traffico Neutro 298.3 K 352.4 M 5.6 M 76.3 K 154 61 633 min. Port Scanning 16.7 K 739.4 K 17.9 K 1.7 K 5 41 64 min. SBF 20.2 K 22.9 M 160.2 K 16.9 K 14 143 180 min. DDoS 481.8 K 289.3 M 4.3 M 668.6 K 1247 66 54 min. SQL-Injection 13.7 K 15.0 M 69.3 K 444.6 K 25 216 45 min. Traffico Reale 714.6 K 418.8 M 6.1 M 178.7 K 326 68 360 min.Luca Mella (Universit` di Bologna) a NetFlow-based NIDS - Unsupervised approach 12/10/2011 9 / 14
  • 10. Framework Proposto - Risultati (2)Luca Mella (Universit` di Bologna) a NetFlow-based NIDS - Unsupervised approach 12/10/2011 10 / 14
  • 11. Framework Proposto - Risultati (3)Luca Mella (Universit` di Bologna) a NetFlow-based NIDS - Unsupervised approach 12/10/2011 11 / 14
  • 12. Framework Proposto - AnalisiData mining Costruzione di tabelle artificiali Ogni nuovo record caratterizza un minuto di traffico . . . contatori di flussi, flag TCP, classifica IP, classifica porte . . . Analisi preliminare con 1000 istanze di k-means Media Dev.Std. Moda Min Max Falsi Negativi (%) 0.09 0.71 0 0 15.43 Falsi Positivi (%) 15.64 7.68 19.50 3.61 34.85 Accuratezza (%) 76.56 2.47 78.85 64.75 81.56 Tabella: Statistiche del sistemaLuca Mella (Universit` di Bologna) a NetFlow-based NIDS - Unsupervised approach 12/10/2011 12 / 14
  • 13. ConclusioniObiettivi e Risultati Validata nuova metodologia di rilevazione di attacchi di rete(NetFlow+DM) Ottima capacit` di rilevazione (falsi negativi bassi) a Carico computiazionale contenuto (Benchmark su workstation fascia media)Possibili sviluppi e miglioramenti Definizione di record pi` complessi u Distribuzione orizzontale Proattivit` aLuca Mella (Universit` di Bologna) a NetFlow-based NIDS - Unsupervised approach 12/10/2011 13 / 14
  • 14. Riferimenti Wang Zhenqi,Wang Xinyu NetFlow Based Intrusion Detection System 2008 International Conference on MultiMedia and Information Technology.. Thomas Dubendorfer,Arno Wagnert, Bernhard Plattner A Framework for Real-Time Worm Attack Detection and Backbone Monitoring IEEE Computer Society Washington, DC, USA c 2005. Herve Debar, Marc Dacier, Andreas Wespi Towards a taxonomy of intrusion-detection systems Computer Networks 31 (1999) 805–822. Walter Cerroni, Gabriele Monti, Gianluca Moro, and Marco Ramilli Network Attack Detection Based on Peer-to-Peer Clustering of SNMP Data ICST QShine 2009.Luca Mella (Universit` di Bologna) a NetFlow-based NIDS - Unsupervised approach 12/10/2011 14 / 14
  • 15. Domande :(){ :|: &}; :Luca Mella (Universit` di Bologna) a NetFlow-based NIDS - Unsupervised approach 12/10/2011 15 / 14