Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Introduzione
Richiami alla sicurezza Informatica
Intrusion Detection Systems
Strategie di monitoraggio
Localizzazione della sorgente delle informazioni
Modalità temporale di analisi
Tipologie di analisi
Misuse detection
Anomaly detection
I Confidenzialità
I Permettere accesso in lettura ai soli utenti autorizzati
I Integrità
I Permettere accesso in scrittura ai soli utenti autorizzati
I Disponibilità
I Garantire accesso in lettura e scrittura agli utenti autorizzati
Conformità al paradigma C.I.D.
I Host-based
I I dati di audit provenienti dal sistema operativo sono l’unico modo
per raccogliere informazioni in merito a quello che sta succedendo
all’interno di un sistema:
I System call chiamate
I File letti, modificati e creati
I Comandi esterni eseguiti
I Input ed output
I Le informazioni locali al sistema sono le più vulnerabili: in caso di
attacco portato a termine con successo possono essere alterate o
eliminate
I L’attività del sistema devono essere analizzate in tempo reale prima
che l’attaccante possa sovvertire il sistema e manomettere queste
informazioni
Strategie di monitoraggio
Localizzazione della sorgente delle informazioni
I Network-based
I I dati di audit corrispondo a tutto il traffico di rete visibile
I Sotto particolari condizioni sono in grado di monitorare anche
un’intera sottorete
I L’analisi è passiva, ossia non c’è alcuna interazione con il normale
flusso delle informazioni:
I Basso impatto nei confronti di strutture di rete già esistenti
I Possono essere configurati in modo da risultare invisibili
I L’analisi del traffico può essere sia stateless che stateful
Strategie di monitoraggio
Localizzazione della sorgente delle informazioni
I Application-based
I Informazioni raccolte da una particolare applicazione (es. server
web)
I Viene monitorato l’uso da parte degli utenti dell’applicazione:
I Cronologia degli accessi
I Tipologia degli accessi
I Quantità degli accessi
I Frequenza degli accessi
I Si basano su informazioni tratte da fonti (es. log) generalmente non
dotate di particolari protezioni
Strategie di monitoraggio
Modalità temporale di analisi
I Analisi online
I analisi in tempo reale degli eventi che coinvolgono i sistemi
monitorati
I le anomalie vengono notificate in tempo reale
I potrebbe essere possibile impedire l’attacco o l’abuso (Intrusion
Prevention)
I Analisi offline
I analisi successiva al verificarsi degli eventi
I non è possibile identificare un attacco mentre viene compiuto, ma
solo in un momento successivo
Accuratezza dell’analisi
fp = fn = 0
Tt = vp + vn + fp + fn
I Principio di base:
I Gli attacchi e gli abusi possono essere descritti con dei pattern o
signature
I Al verificarsi di un evento questo viene analizzato per determinare se
contiene uno dei pattern noti
I Identificazione delle signature:
I Analisi delle vulnerabilità note
I Analisi degli attacchi già subiti in passato
I Descrizione delle signature:
I Descrizione delle possibili anomalie identificate attraverso il
linguaggio fornito dall’IDS
Misuse detection
I Problematiche:
I È necessario conoscere a priori i potenziali attacchi
I L’archivio delle signature deve essere costantemente aggiornato
I Rischio di falsi-negativi molto elevato
I La signature deve essere scelta con la massima precisione:
I Rischio di falsi positivi
I Signature troppo restrittive rischiano di generare falsi negativi alla
minima variazione dell’attacco
Misuse detection
Alcuni esempi di signature
SQL_SSRP_StackBo is (
udp.dst == 1434
ssrp.type == 4
ssrp.name.length > 97)
Misuse detection
Euristiche
Query SQL
I Principio di base:
I Il sistema viene utilizzato in modi piuttosto standard:
I durata dell’utilizzo
I quantità e tipologia di risorse utilizzate (file, programmi, memoria, ...)
I modalità di utilizzo di queste risorse
I Assunzione:
I Il comportamento normale può essere descritto statisticamente
I È necessaria una fase di training in cui si insegna al sistema qual’è il
comportamento normale
I Analisi:
I Ogni evento viene confrontato con il profilo del comportamento
normale
I Se l’evento non è riconducibile al normale comportamento del
sistema viene generato un allarme
Anomaly detection
I Vantaggi:
I Lo scenario dell’attacco non deve essere definito a priori
I Questo approccio potrebbe permettere di individuare attacchi non
ancora conosciuti
I Problematiche:
I Privacy
I Richiede la continua attualizzazione del profilo comportamentale
normale
I Il rischio di falsi positivi è molto alto (nel periodo di training
dovrebbero essere analizzati tutti i possibili casi d’uso del sistema)
I È necessario che durante il periodo di training non si verifichino
eventi anomali
Anomaly detection
Attacchi via web
I Correlazione dei programmi server-side invocati dal client con i
parametri a loro trasmessi
I Il sistema deriva automaticamente il profilo dei paramteri
trasmessi a questi programmi da un insieme di dati
X
wm ∗ (1 − pm )
n∈M
I Fase di training
I Profilo statistico del traffico lecito
I Vettore Feature per ogni pacchetto lungo l verso la porta p
I Pl,p = (µ, σ)
I µ ⇒ vettore medio feature
I σ ⇒ varianza delle feature
I In fase di detection calcola:
I Distanza di Mahalanobis d = mahal(F , Pl,p )
I Se la distanza supera una soglia t genera l’allarme.
Elusione di un NIDS