Tesi di Andrea Guido
Relatore: Prof. Marco Cremonini
Tesi sperimentale sulle tecniche di Advanced Evasion proposte da Stonesoft/McAfee. I test sono stati condotti su un sistema corporate usato in produzione.
Im Portablepass: modello per gestore di password multipiattaforma
Intrusion prevention system tecniche di evasione avanzatetest di una soluzione commerciale
1. INTRUSION PREVENTION SYSTEM
TECNICHE DI EVASIONE AVANZATE
TEST DI UNA SOLUZIONE
COMMERCIALE
Relatore Candidato
Prof. Marco CREMONINI Andrea GUIDO
Matr. 758616
Anno Accademico 2012/2013
2. SICUREZZA PERIMETRALE
• Dall’ ‘86 al 2008 10 milioni di malware anno dopo
raddoppio
• Questo è solo una parte del problema
• Strumenti di sicurezza perimetrale
• Limiti del firewall
• IDS
• IDPS
10. MISURAZIONE DELL’EFFICACIA
• Rete con traffico reale
• Costoso l’onere e su chi deve scegliere
• Intrusivo potrebbe non essere semplice
• Prove in seriale
• Metrica non generale
• Rete senza traffico
• Niente carico per valutazione delle performance
• Poco più che una verifica delle sole capacità dichiarate
• Falsi Positivi?
11. MISURAZIONE DELL’EFFICACIA
• DATASET - DARPA IDEVAL
• 200 istanze di 58 attacchi
• Valutazione offline – riproducibile
• Traffico in ambito militare
• Attacchi obsoleti nelle firme e nelle modalità
• Mancanza di errori (checksum)
• Facile tararsi sui contenuti
• Online LARIAT
• Ambiente di test configurabile che copre tutto il ciclo
• Altri DATASET
• Pubblici basati su traffico reale «sanitizzato»
12. MISURAZIONE DELL’EFFICACIA
• Intrusione Detection Capability
• rapporto tra
• la mutua dipendenza (mutua informazione) dell’input e
dell’output dell’IDPS al numeratore
• ed al denominatore l’entropia dell’input.
• Tale rapporto rappresenta la riduzione dell’incertezza
dell’input dell’IDS dato l’output
• [0,1] ed a valori più grandi corrisponde una maggiore
capacità ed accuratezza di classificare
• Si propone come metrica unificante rispetto ad altre
utilizzate FP FN PPV NPV
• Vantaggi …
14. CONSIDERAZIONI FINALI
• Risolvere con le firme non serve la variabilità delle
opzioni e la quantità delle permutazioni sono troppe
vedi SniffJoke
• Principio di robustezza (Postel rfc761)
Be conservative in what you do, be liberal in what you
accept from others
• Impossibilità per problem di performance di
implementare tutte le specificità dei protocolli
• Limiti eleaborativi
• Link a Gb
• Aumento generalizzato del traffico