Descrizione del modulo "Rilevazione e controllo di anomalie mediante analisi comportamentale (INT.P01.004.001)"

Type

• Descrizione modulo (Classe)

Label

• Descrizione del modulo "Rilevazione e controllo di anomalie mediante analisi comportamentale (INT.P01.004.001)" (literal)

Potenziale impiego per bisogni individuali e collettivi

• La disponibilita' del software in produzione da parte del modulo e' garantita dalla modalita' di licensing, opensource secondo il modello GNU General Public License. I nostri software potranno quindi essere utilizzati in tutti i settori sia da parte di singoli che di organizzazioni governative e non per migliorare la produttività in generale. Nello specifico si ipotizza che il software NetVan potra' essere utilizzato da network manager per il controllo di sedi remote; Log Mail Analyzer e Mail Transaction Sniffer da parte dei system manager responsabili dei servizi di posta elettronica in un'azienda, anche allo scopo di creare reportistica per il management. (literal)

Tematiche di ricerca

• L'attività di ricerca si diversifica in tre tematiche principali. Intrusion detection tramite algoritmi statistici: proponiamo di individuare tentativi di accesso all'interno di una rete studiando i parametri caratteristici del traffico in condizioni normali. Vengono analizzati, a diversi livelli di granularita', features fondamentali di ogni protocollo come il numero totale di messaggi, il numero di reject , gli indirizzi utilizzati. Tramite campionamenti temporali si costruiscono comportamenti che rappresentano la norma e conseguentemente si calcolano soglie di attivazione allarmi. Verranno attivate due nuove linee di ricerca. La prima riguarda l'utilizzo di metodi di Machine Learning per l'individuazione di Covert Channels di tipo DNS tunnleing. La seconda riguarda la rilevazione attraverso metodi statistici di non correlazione per l'individuazione di attacchi di tipo DOS a livello applicativo denominati slow DOS (literal)

Competenze

• Conoscenza dei protocolli di rete piu' in uso; strumenti di sviluppo software (vari linguaggi); competenza sistemistica di gestione delle reti, delle apparecchiature ad esse connesse, dei server e dei servizi Internet, sia nel mondo Unix che in quello Windows. Formazione avanzata nel settore system management e network security. Conoscenze dei protocolli wireless, loro vulnerabilità e sistemi di protezione. Conoscenze di metodologie di anomaly detection e utilizzo di strumenti appropriati per l'analisi dei dati. Sviluppo di applicazioni mobile in grado di effettuare attacchi di tipo SlowDOS per testare la robustezza della propria rete informatica. (literal)

Potenziale impiego per processi produttivi

• Log Mail Analyzer (LMA) e la sua estensione MTS (Mail Transaction Sniffer) si rivolgono a una platea piu' specialistica, ovvero le aziende o gli enti fornitrici di connettivita' e/o servizi ICT, nonché naturalmente le forze dell'Ordine. I software mobile che verranno sviluppati potranno essere usati da system administrator e tecnologi per testare la robustezza della propria rete. I software di analisi dei pacchetti tcp/ip potranno essere utilizzati dalla comunità scientifica come piattaforma per lo sviluppo di nuovi algoritmi di intrusion detection. Lo sviluppo delle metodologie di Intrusion Detection per diverse tipologie di attacco potranno invece essere implementati da produttori di firewall avanzati per ottenere un livello di sicurezza maggiore. Nello specifico sara' possibile rilevare attacchi di tipo tunneling analizzando in maniera statistica il traffico di rete. (literal)

Tecnologie

• modellazione comportamentale basata su osservazione statistica protratta nel tempo. algoritmi di machine learning che comprendono supervised e unsupervised learning. (literal)

Obiettivi

• L'obiettivo previsto del modulo consiste nella prototipazione di vari software la cui applicazione si trova nel settore della network security. Accanto a software dalle caratteristiche realmente innovative come Worm Poacher, in grado di rilevare minacce a fronte di analisi statistica del traffico, ci proponiamo di effettuare system integration di tecnologie già note per produrre prodotti nuovi. Inoltre ci proponiamo di acquisire visibilita' verso l'esterno, mediante partecipazione a convegni e fiere tematiche, in modo da poterci proporre come partner nel campo ICT Security per le Istituzioni che ne abbiano bisogno. Nei nostri obiettivi rientra l'approfondimento delle tecniche di indagine forense relative a crimini informatici. Riguardo alle due nuove tematiche di ricerca (DNS tunneling e slow DOS), ci proponiamo in primis un approfondito studio dell'attuale stato dell'arte, e secondariamente l'implementazione di software che utilizzi le tecniche di intrusione detection utilizzate e comprovate da studi di efficacia. (literal)

Stato dell'arte

• Al momento attuale nel campo dell'intrusion detection le risorse disponibili in rete sono per la maggior parte Signature Based, ovvero sistemi in grado di trovare virus e intrusioni informatiche sulla base del riconoscimento di pattern gia' noti agli esperti del campo. Il limite di un tale approccio consiste nella dimensione dei database di signature e relativo tempo richiesto per individuare una minaccia (performance) oltre che l'esposizione al rischio durante il tempo richiesto agli esperti per riconoscere una nuova minaccia. Non sono noti protocolli/dispositivi di filtraggio centralizzato dei pacchetti ip sui router mediante credenziali fornite da appositi Centri riconosciuti da un'Autorita' di Certificazione. Riguardo la rilevazione di Covert Channel basati su DNS tunneling, al momento mancano metodi efficaci in grado di rilevare tali tipologie di traffico. Per quanto concerne lo studio degli attacchi slow DOS, essendo relativamente recenti, gli studi di Intrusion Detection sono ancora in fase embrionale da parte della comunità scientifica. (literal)

Tecniche di indagine

• algoritmi di rilevazione degli attacchi informatici basati su anomalia del traffico di rete, utilizzo di metodologie di sniffing per l'intercettazione dei pacchetti tcp/ip; gestione dei flussi Internet mediante estrazione delle caratteristiche principali e inserimento in database. Utilizzo dei tunnel ssh, delle macchine virtuali, dei certificati digitali e relative Certification Authority per la gestione di desktop remoti sicuri. Connessioni automatiche generate dall'interno di una rete utilizzando il Network address translation. Filtering avanzato sui router. (literal)

Descrizione di

• Rilevazione e controllo di anomalie mediante analisi comportamentale (INT.P01.004.001) (Modulo)

Incoming links:

Descrizione

• Rilevazione e controllo di anomalie mediante analisi comportamentale (INT.P01.004.001) (Modulo)