I. D. S. : H O S T & N E T W O R K B A S E D

Transcript

1 I. D. S. : H O S T & N E T W O R K B A S E D ANALISI DEL PROBLEMA Presentazione a cura di Gianfranco Reppucci e Massimo Scandurra

2 Perché preoccuparsi? Negli ultimi anni il problema della sicurezza informatica si è accresciuto in modo significativo e, con buona probabilità, continuerà a preoccuparci anche nel prossimo futuro. Esplosione del fenomeno Internet: sempre più computer sono connessi alla rete in modo permanente e quindi finiscono per diventare potenziali bersagli di qualche pirata informatico. Ma quale dovrebbe essere l'interesse nel violare una rete aziendale? Curiosi o piccoli sabotatori che intendono procurare danni all'azienda compromettendo, quasi per gioco, attrezzature e dati Vere e proprie azioni di spionaggio industriale ed appropriazione indebita di informazioni riservate. G. Reppucci, M. Scandurra 2

3 Che si intende per intrusione? Un intrusione può essere definita come: Qualsiasi tipo di azioni che compromettono l integrità, la riservatezza e la disponibilità delle risorse di un computer Tutte le intrusioni sono legate ad una politica di sicurezza: Una politica di sicurezza definisce cosa è permesso e cosa è negato su un sistema A meno che si sappia a priori cosa è e cosa non è permesso sul sistema, è inutile provare a rilevare le intrusioni G. Reppucci, M. Scandurra 3

4 Tipi di attacco / 1 Exploit Identifica un metodo che, sfruttando un bug o una vulnerabilità, porta all acquisizione di privilegi o al Denial Of Service di un computer Shellcode E un programma in linguaggio assembly che tradizionalmente esegue una shell. Può essere usato per sfruttare l exploit consentendo ad un cracker di acquisire l accesso alla riga di comando di un computer Cracking Violazione dei sistemi in rete allo scopo di danneggiarli o recuperare informazioni Backdoor Porte di servizio che consentono di superare le procedure di sicurezza attivate in un sistema informatico. G. Reppucci, M. Scandurra 4

5 Tipi di attacco / 2 Sniffing Attività di intercettazione passiva dei dati che transitano in una rete telematica (password, dati sensibili, ecc.) Spoofing Tecnica con la quale il cracker invia pacchetti modificando l ip sorgente facendo credere all host di destinazione di essere una macchina differente Malware (virus, trojan e worm) Software creato con lo scopo di creare danni più o meno estesi al computer su cui viene eseguito DoS Si cerca di portare il funzionamento di un sistema informatico che fornisce un servizio al limite delle prestazioni sino a renderlo non piu in grado di erogare il servizio Social Engineering Studio del comportamento di una persona al fine di carpirne delle informazioni G. Reppucci, M. Scandurra 5

6 Top Vulnerabilities in Windows Web Servers & Services Workstation Service Windows Remote Access Services Microsoft SQL Server (MSSQL) Windows Authentication Web Browsers File-Sharing Applications LSAS Exposures Mail Client Instant Messaging (fonte: dati del 2004) G. Reppucci, M. Scandurra 6

7 Top Vulnerabilities in UNIX BIND Domain Name System Web Server Authentication Version Control Systems Mail Transport Service Simple Network Management Protocol (SNMP) Open Secure Sockets Layer (SSL) Misconfiguration of Enterprise Services NIS/NFS Databases Kernel (fonte: dati del 2004) G. Reppucci, M. Scandurra 7

8 Cos è un I.D.S.? L'Intrusion Detection System o IDS è un dispositivo software utilizzato per identificare accessi non autorizzati ai computer o alle reti locali, sfruttando sorgenti d'informazioni disponibili sul sistema (log) o dalla rete stessa (traffico di rete). Le intrusioni rilevate possono essere quelle prodotte da cracker esperti, da tool automatici o da utenti inesperti che utilizzano programmi semiautomatici (script kiddies). G. Reppucci, M. Scandurra 8

9 I.D.S. e Firewall / 1 Proteggono il sistema in maniere diverse Il firewall regola e filtra il flusso di dati in base a certe regole L IDS si occupa di monitorare il traffico dati Lo stato migliore di sicurezza si ottiene utilizzando entrambi gli strumenti In base alla collocazione dell IDS rispetto al Firewall cambiano i risultati del monitoraggio del traffico G. Reppucci, M. Scandurra 9

10 I.D.S. e Firewall / 2 G. Reppucci, M. Scandurra 10

11 I.D.S. e Firewall / 3 Se l IDS viene collocato tra il firewall e la rete locale, rileva il corretto funzionamento del firewall stesso. L IDS collocato tra la WAN e il firewall è invece utile per monitorare il tipo di traffico che arriva dall esterno per creare le regole da applicare poi al firewall. E tipicamente sconsigliato installare IDS e firewall sulla stessa macchina. G. Reppucci, M. Scandurra 11

12 Classificazione degli I.D.S. Esistono quattro tipi di classificazione degli IDS, in base a: Metodo di rilevamento (Misuse/Signature o Anomaly Detection) Meccanismo di analisi (Realtime o Batch/Office) Risposta all intrusione (Passivi o Attivi) Sorgenti di Informazione (Host o Network Based) G. Reppucci, M. Scandurra 12

13 Metodo di rilevamento Misuse Detection L IDS analizza le informazioni che raccoglie e le confronta con un database contenente le attack signatures. In pratica, l IDS cerca uno specifico attacco che è stato già documentato. Le signatures in genere indicano un set di condizioni, ad esempio: Se un pacchetto è IPv4, TCP, la porta di destinazione la 31337, e il payload contiene foo, fai scattare "l'allarme". Come in un antivirus, la qualità di un misuse detection software dipende solamente dall affidabilità del database che utilizza. Anomaly Detection Il riconoscimento di flussi sospetti grazie ad un sofisticato meccanismo di funzioni e algoritmi matematici che si rifanno alle RFC e ai loro standard. L anomaly detector controlla la rete per confrontarne lo stato con le regole impostate. Se uno o piu flussi non rispettano gli standard, il sistema segnala l'errore con il consueto allarme. G. Reppucci, M. Scandurra 13

14 Misuse vs Anomaly Misuse Detection + Meno lavoro da parte dell amministratore + Protezione robusta contro gli attacchi noti - La dipendenza dal database pone l attaccante in una situazione di vantaggio (attacchi nuovi / diversi) Anomaly Detection + Maggiore flessibilità + Previene anche attacchi nuovi - Può provocare eccessivi falsi positivi - Più lavoro per l amministratore G. Reppucci, M. Scandurra 14

15 Meccanismo di analisi Realtime Analizzano il traffico in tempo reale, per cui l allarme viene generato in base agli attacchi correnti. Hanno un alto peso computazionale. Batch/Offline Analizzano il traffico in base a dati salvati precedentemente su log. Gli allarmi non sono immediati. Usati per data mining, statistiche, ecc. G. Reppucci, M. Scandurra 15

16 Risposta all intrusione Passivi I sistemi passivi rispondono notificando l attacco all amministratore, senza provare a rispondere all intrusione. Attivi I sistemi attivi, oltre a notificare l attacco, assumono il controllo del sistema per cercare di eliminare la vulnerabilità (terminando la connessione di rete, killando alcuni processi, ecc.) G. Reppucci, M. Scandurra 16

17 Sorgenti di informazione: Host Based / 1 Caratteristica: viene monitorata l attività di un singolo host. Vengono analizzate diverse aree del sistema, per determinarne l uso improprio o la presenza di un intruso. Possono essere consultati diversi tipi di file di log (kernel, sistema, server, rete, firewall, altri), system call, modifiche al file system, e confrontate le registrazioni con un database interno di firme comuni per gli attacchi già noti. Effettuano un controllo ad intervalli regolari o su richiesta dell admin, confrontando lo stato attuale del sistema con una copia corretta memorizzata in un luogo protetto. G. Reppucci, M. Scandurra 17

18 Sorgenti di informazione: Host Based / 2 Esistono quattro tipi di HISD: File System Monitors viene controllata l integrità di file e directory Log File Analyzers vengono analizzati i file di log alla ricerca di patterns che indicano l attività sospetta Connection Analyzers vengono monitorati tentativi di connessione da e verso un host (o porte specifiche) Kernel-based IDSs viene rilevata l attività maliziosa a livello kernel (system calls ) G. Reppucci, M. Scandurra 18

19 Host Based I.D.S.: File System Monitors / 1 Vengono comparati regolarmente i file di una macchina con un database creato precedentemente. Caratteristiche controllate dei file: Tipo Permessi Inode Numero di links Proprietario / Gruppo Dimensione / Dimensione della directory Tempi creazione / modifica / ultimo accesso Checksum G. Reppucci, M. Scandurra 19

20 Host Based I.D.S.: File System Monitors / 2 I file e le directory che devono essere monitorati vengono specificati in un file di configurazione insieme al tipo di controllo da effettuare su ognuno Il controllo dei file viene effettuato regolarmente (in termini di tempo), e i risultati vengono spediti via all amministratore Visto che il file system cambia spesso, il database deve essere regolarmente aggiornato. Questa operazione deve essere effettuata tanto frequentemente quanto più viene usato il sistema. La scelta ideale è quella di monitorare solo i file di sistema e le librerie, poiché cambiano raramente G. Reppucci, M. Scandurra 20

21 Host Based I.D.S.: File System Monitors / 3 Possibili evasioni al monitor: Usare directory non monitorate (ad es. /tmp) Sfruttare un installazione di programma (nascondendosi tra falsi positivi) Modificare i tempi di modifica e creazione dopo aver alterato i file (comando touch) Ripristinare le dimensioni del file dopo averlo alterato Rimuovere le tracce dai file di log Ripristinare il checksum dopo aver modificato i file (difficile!) Sfruttare bug implementativi degli IDS Sfruttare privilegi di amministratore per alterare o rimuovere l IDS G. Reppucci, M. Scandurra 21

22 Host Based I.D.S.: File System Monitors / 4 Come evitare le evasioni: Fare attenzione alla configurazione Utilizzare flag APPEND_ONLY per i file di log Prevenire l alterazione dell IDS (utilizzare librerie statiche da un FS read only) Monitorare i file in realtime (costoso!) Accertarsi che l IDS non contenga bug G. Reppucci, M. Scandurra 22

23 Host Based I.D.S.: Log File Analyzers / 1 Analizzando i file di log, verificando un tentativo di intrusione, gli HIDS di questo tipo possono allertare l amministratore di sistema. In UNIX o GNU/Linux viene usato frequentemente syslog per la sua capacità di separare eventi registrati a seconda della loro importanza (per es. messaggi della stampante da eventi del kernel). L HIDS filtra i log, che possono essere lunghi, e analizza i messaggi rietichettando quelli anomali, con il proprio grado di importanza, raccogliendoli nel proprio file log specializzato per l analisi dell amministratore. La verifica dei log può essere fatta in tre modi: Pattern Matching Pattern Matching con correlazione tra eventi Anomaly Detection G. Reppucci, M. Scandurra 23

24 Host Based I.D.S.: Log File Analyzers / 2 Caratteristiche Vengono applicate espressioni regolari sui file di log Vengono stampate a schermo le eventuali linee di log che indicano un attacco Ad ogni allarme viene inviata una di notifica al sysadmin Per ogni attacco rilevato viene eseguito un particolare programma predefinito Utilizzando write, è possibile allertare utenti loggati sul sistema Protezione sui flood di allarmi Supporta file di log ad anello La manutenzione dipende dal tipo di file di log trattato (ad es. un demone SSH è facilmente gestibile; Apache, al contrario, ha numerose estensioni!) G. Reppucci, M. Scandurra 24

25 Host Based I.D.S.: Log File Analyzers / 3 Possibili evasioni al monitor: Se il pattern matching non tiene conto della correlazione di eventi, potrebbe capitare che linee di log apparentemente innocenti siano in realtà sintomo di un attacco multiplo (portscan, ecc.) Configurazioni errate (ad esempio sul numero massimo di tentativi di login per utente, ecc.) potrebbero causare falsi positivi o falsi negativi Sfruttare privilegi di amministratore per alterare o rimuovere l IDS Il cracker può tentare di eludere il monitor utilizzando stringhe modificate Ad es. in un file di log di Apache: [31/Jan/2005:03:17: ] GET /page.php?page=..%2f..%2f..%2fetc%2fpasswd HTTP/1.1 non corrisponderà ad una regola impostata su /etc/passwd G. Reppucci, M. Scandurra 25

26 Host Based I.D.S.: Log File Analyzers / 4 Come evitare le evasioni: Utilizzare la correlazione di eventi, monitorando file di log multipli contemporeaneamente Utilizzare un decoder di log Unificare il conteggio dei tentativi di accesso di tutti i demoni attivi (e conseguenti log) Raccogliere tutti i file di log in un sistema sicuro, ad esempio utilizzando NFS, spostando cosi su quel sistema l analisi dei dati G. Reppucci, M. Scandurra 26

27 Host Based I.D.S.: Connection Analyzers / 1 Monitorano le connessioni aperte su un host. Possono rilevare connessioni non autorizzate e alcuni tipi di portscan in base alla quantità di richieste che arrivano. Caratteristiche: Connessioni TCP e UDP su porte non autorizzate. Portscan detection Rilevamento passivo (non si mostra al cracker) Protezione flood (ferma la notifica superato un certo numero di alarm identici) Port binding (simula un demone su una porta specificata) Host blocking dinamico G. Reppucci, M. Scandurra 27

28 Host Based I.D.S.: Connection Analyzers / 2 Il file di configurazione deve contenere sia le porta da monitorare, sia il numero massimo di connessioni, superato il quale scatta l allarme. La configurazione è relativamente semplice, e non richiede modifiche frequenti a meno che non vengano aggiunti o rimossi servizi. Va fatta attenzione al file /etc/hosts.deny, che potrebbe allungarsi troppo. E possibile impostare limiti di tempo (ban temporanei), o creare una lista di host amici (trusted) G. Reppucci, M. Scandurra 28

29 Host Based I.D.S.: Connection Analyzers / 3 Possibili evasioni al monitor: Uso di protocolli non supportati dall HIDS (ad es. ipv6) Slow-scanning (non si raggiunge il trigger limit) Usare scan non supportati (SYN, ACK, ecc.) Decoy scanning (l attacker usa diversi ip sorgenti per confondersi ) Portscan da IP multipli (il portscan viene distribuito tra più macchine) DoS (si riempie l hard disk fino alla sua dimensione massima, o si effettua lo spoofing dell ip di un servizio vitale) G. Reppucci, M. Scandurra 29

30 Host Based I.D.S.: Connection Analyzers / 4 Come evitare le evasioni: Implementare il riconoscimento di tutti i protocolli Impostare un livello di trigger basso, per individuare anche gli slow scan Supportare tutti i tipi di scan Bloccare blocchi di hosts Implementare una protezione da flood per il file di log Implementare una friend-list G. Reppucci, M. Scandurra 30

31 Host Based I.D.S.: Kernel Based IDSs / 1 Sono moduli aggiunti o integrati al kernel, in modo che lo stesso si occupi di rilevare le intrusioni. Per farlo ci sono varie strade: Rilevamento di anomalie basato sul comportamento dell utente Rilevamento e logging delle system call sospette Rilevamento e logging delle modifiche ai file di sistema Logging dei portscan G. Reppucci, M. Scandurra 31

32 Host Based I.D.S.: Kernel Based IDSs / 2 Possibili evasioni: Solitamente è difficile aggirare questo tipo di IDS poiché anche se il cracker riuscisse a guadagnare i privilegi di admin, dovrebbe comunque trovarsi fisicamente vicino alla macchina (la configurazione dei moduli del kernel è molto difficile da remoto!). L unica possibilità è quella di installare una versione crackata dell IDS da far avviare dall amministratore stesso. Come evitare le evasioni: Impostare gli eseguibili e la configurazione di shell del root in READ_ONLY, cosi da poter impedire la modifica dei file sensibili. G. Reppucci, M. Scandurra 32

33 Host Based I.D.S.: Conclusioni Utili per il rilevamento degli attacchi provenienti dall interno del sistema che i NIDS potrebbero perdere. Solitamente non sono realtime: si corre il rischio che l attacco venga avvertito solo dopo aver causato danni. Un bravo attacker potrebbe rimuovere le prove dell avvenuta intrusione. Elevato carico di lavoro. Difficile trovare la configurazione perfetta. G. Reppucci, M. Scandurra 33

34 Host Based I.D.S. su UNIX: Tripwire Nato inizialmente per il solo UNIX, attualmente è disponibile, in versione free, anche per Linux. Una volta scelti i file da controllare, Tripwire registra la data di ultima modifica e un dato di controllo per verificarne l integrità creando un checksum di ognuno di essi con md5sum o sha1sum. Confrontando periodicamente questo dato con i checksum creati precedentemente, Triwire può riscontrare anomalie, avvisando opportunamente l admin (tramite mail, SMS, altro). G. Reppucci, M. Scandurra 34

35 Host Based I.D.S. su UNIX: Tripwire G. Reppucci, M. Scandurra 35

36 Sorgenti di informazione: Network Based / 1 Caratteristica: analizzano il traffico di uno o più segmenti di una LAN al fine di individuare anomalie nei flussi o probabili intrusioni. Le logiche su cui i NIDS si basano sono Pattern Matching Anomaly Detection Il NIDS è formato da quattro componenti. Uno o più sensori utilizzati per ricevere le informazioni dalla rete o dai computer. Una console utilizzata per monitorare lo stato della rete e dei computer e un motore che analizza i dati prelevati dai sensori e provvede a individuare eventuali falle nella sicurezza informatica. Il motore di analisi si appoggia ad un database ove sono memorizzate una serie di regole utilizzate per identificare violazioni della sicurezza. G. Reppucci, M. Scandurra 36

37 Sorgenti di informazione: Network Based / 2 Alcuni problemi: Monitorando molti host si arriva rapidamente a saturare la banda disponibile Alto carico computazionale Difficile o impossibile analizzare traffico crittografato (https, ssh, vpn, ecc.) Mancanza di contesto: un tentativo di attacco che può essere grave per un certo sistema operativo, sarebbe un falso positivo se effettuato su un altro OS non affetto dalla stessa vulnerabilità (ad es. il tentativo di intrusione su NetBios porta 139 di Windows 98 non sortisce effetto su una Linux con Samba) G. Reppucci, M. Scandurra 37

38 Network Based I.D.S. su UNIX: Snort / 1 Da Snort is a lightweight NIDS, capable of performing realtime traffic analysis and packet logging on IP networks. It can perform protocol analysis, content searching/matching, and it can be used to detect a variety of attacks and probes, such as buffer overflows, stealth portscans, CIG attacks, SMB probes, OS fingerprintings attempts, and much more. Snort uses a flexible rules language to describe traffic that it should collect or pass, as well as a detection engine that utilizes a modular plugin architecture. Snort has a realtime capability as well, incorporating alerting mechanisms for syslog, a user specified file, a UNIX socket, or WinPopup messages to Windows clients using Samba s smbclient G. Reppucci, M. Scandurra 38

39 Network Based I.D.S. su UNIX: Snort / 2 Caratteristiche: E plugin based, per estenderne le funzionalità senza modificare il software Capacità di rispondere attivamente alle intrusioni (IPS) E basato su un vasto database di vulnerabilità aggiornato quotidianamente dalla stessa comunità di utilizzatori Leggero ma efficiente Adotta un meccanismo di policy detection attraverso regole specifiche E portabile (ci sono anche versioni per MS Windows!) E free (rilasciato sotto licenza GNU/GPL) Viene utilizzato anche dal Ministero della Difesa USA! G. Reppucci, M. Scandurra 39

40 Network Based I.D.S. su UNIX: Snort / 3 G. Reppucci, M. Scandurra 40

41 Network Based I.D.S. su UNIX: Snort / 4 Snort è diviso in tre blocchi : il packet sniffer il parser delle regole il motore di analisi dei pacchetti. G. Reppucci, M. Scandurra 41

42 Snort: Packet sniffer Lo sniffing è l attività di intercettazione passiva dei dati che transitano su una rete. Snort è capace di effettuare packet sniffing, mostrando sia l intero pacchetto, sia le sole informazioni dell header. G. Reppucci, M. Scandurra 42

43 Snort: Parser delle regole Il linguaggio utilizzato per la sintassi delle regole utilizzate da Snort è molto semplice e potente. Esempio: alert any any -> (content: /cgi-bin/phf ; msg: PHF cgi probe ;) Rileva ogni pacchetto proveniente da qualsiasi indirizzo ip e da qualsiasi porta, destinato alla porta 80 del server web contenente nel body la stringa /cgi-bin/phf, riportando nel messaggio di allerta la dicitura PHF cgi probe. G. Reppucci, M. Scandurra 43

44 Snort: Motore di analisi dei pacchetti Snort è in grado di analizzare il body dei pacchetti alla ricerca di signatures note. Questo è un compito molto oneroso in termini di CPU, per cui diventa necessario disporre di un buon algoritmo di pattern matching. Inizialmente veniva utilizzato un semplice string-compare: molto semplice da implementare ma inefficiente! Attualmente, come struttura dati per le regole da applicare, viene utilizzata una matrice tridimensionale implementata attraverso liste. Questo permette di organizzare le regole in modo da averne applicate sempre il minor numero possibile, scartando quelle che risultano false ad ogni controllo. G. Reppucci, M. Scandurra 44

45 Snort, il nostro esempio d uso: ambiente Installare, configurare ed eseguire Snort non è cosa semplice: occorre una minima esperienza su ambienti Linux e reti LAN. Per il nostro test abbiamo utilizzato la distribuzione Ubuntu: Da Ubuntu is a complete Linux-based operating system, freely available with both community and professional support. It is developed by a large community and we invite you to participate too! The Ubuntu community is built on the ideas enshrined in the Ubuntu Philosophy: that software should be available free of charge, that software tools should be usable by people in their local language and despite any disabilities, and that people should have the freedom to customise and alter their software in whatever way they see fit. G. Reppucci, M. Scandurra 45

46 Snort, il nostro esempio d uso: avvio Avviare Snort: Questo comando avvierà Snort con la configurazione /etc/snort.conf, attivandolo sull interfaccia eth0, in modalità sniffing, e il log verrà salvato in modalità ascii. G. Reppucci, M. Scandurra 46

47 Snort, il nostro esempio d uso: ICMP ping Una volta attivato, Snort rimane in primo piano bloccando il prompt dei comandi fino a quando non viene terminato. Nella modalità sniffer, però, vengono mostrati a schermo tutti gli eventuali attacchi e tutti i pacchetti rilevati. In questo screenshot, ecco cosa succede quando viene rilevato un ICMP ping in ingresso. G. Reppucci, M. Scandurra 47

48 Snort, il nostro esempio d uso: portscan G. Reppucci, M. Scandurra 48

49 Snort, il nostro esempio d uso: attacco su netbios G. Reppucci, M. Scandurra 49

50 Snort, il nostro esempio d uso: terminazione Una volta terminato, Snort riporta una statistica generale sui pacchetti inviati e ricevuti, sulla tipologia di traffico, sugli attacchi segnalati e quelli loggati, ecc. Ovviamente Snort può essere avviato come demone in background, in maniera tale da non occupare il prompt dei comandi inutilmente. G. Reppucci, M. Scandurra 50

51 Sorgenti di informazione: soluzioni ibride Un Hybrid IDS combina gli approcci Host e Network. Le informazioni recuperate dagli agenti in esecuzione negli host vengono integrate con le informazioni prelevate dai sensori nella rete locale. Un esempio di Hybrid IDS è Prelude. G. Reppucci, M. Scandurra 51

52 Sorgenti di informazione: soluzioni ibride G. Reppucci, M. Scandurra 52

53 I.D.S.: alcuni problemi L IDS perfetto è quello che riesce ad individuare tutte e sole le intrusioni, cosa che attualmente non è possibile, e probabilmente non lo sarà mai Sia HIDS che NIDS, se configurati male, possono generare intrusioni false. Nello specifico: Falsi Positivi: è una situazione dove è riportato qualcosa di anormale, ma non è un intrusione. Avere troppi falsi positivi significa avere difficoltà a scovare le vere intrusioni. Falsi Negativi: è una situazione in cui l IDS non riporta un intrusione attualmente in atto. Anche solo un falso negativo può compromettere il sistema. G. Reppucci, M. Scandurra 53

54 Futuro degli I.D.S. La ricerca si orienta in due direzioni: Utilizzo di tecniche proprie della behaviour engineering Utilizzo di algoritmi basati sull apprendimento non supervisionato G. Reppucci, M. Scandurra 54

55 Behaviour I.D.S. La behaviour engineering studia i comportamenti in modo da provare a riprodurne versioni sintetiche. Ad esempio esistono ricerche per classificare il comportamento degli utenti di un sito web mediante un modello di Markov, a scopo predittivo. Il modello di Markov è un insieme di stati, per ognuno dei quali è definita la probabilità di passaggio allo stato successivo, tenendo conto degli istanti precedenti. Dal comportamento degli utenti di un sistema costruiamo un modello di Markov, cercando di capire se il comportamento in un certo istante corrisponde al modello utente normale, al modello utente che fa qualcosa di strano, o al modello utente estraneo al sistema! G. Reppucci, M. Scandurra 55

56 Apprendimento non supervisionato / 1 Le tecniche di apprendimento non supervisionato mirano ad estrarre in modo automatico della conoscenza all interno di basi di dati senza avere una specifica cognizione dei contenuti analizzati. Gli algoritmi che utilizzano questo approccio lavorano confrontando i dati e ricercando similarità o differenze. Sono molto efficienti con elementi di tipo numerico, dato che possono utilizzare tutte le tecniche derivate dalla statistica, ma sono molto meno efficienti con dati non numerici. Se i dati sono dotati di un ordinamento intrinseco gli algoritmi riescono comunque ad estrarre informazioni, ma se i dati in ingresso non sono dotati di un qualche tipo di ordinamento spesso gli algoritmi falliscono. Esempio: Una rete neurale è un algoritmo capace di interpolare funzioni e classificare oggetti basandosi su esempi. G. Reppucci, M. Scandurra 56

57 Apprendimento non supervisionato / 2 Gli algoritmi hanno bisogno di un apprendimento ricevendo input ed output corretti (supervisionato), ma noi vorremmo che l algoritmo apprendesse autonomamente on-line durante le operazioni. Caratteristiche: Outlyer Detection: individuazione del concetto di strano all interno dei fenomeni Robustezza e generalizzazione: un modello di apprendimento è più resistente al polimorfismo rispetto a un modello basato su regole Adattamento: la precisione può migliorare con l uso, se i dati vengono riutilizzati per l addestramento Non supervisionato: non vogliamo utilizzare conoscenza umana, ma vogliamo che sia l algoritmo a determinare le anomalie. G. Reppucci, M. Scandurra 57

58 Domande? :-) G. Reppucci, M. Scandurra 58

59 Contatti e Riferimenti Gianfranco Reppucci me@gianfrancoreppucci.com Massimo Scandurra info@cronico.it Slides disponibili online agli indirizzi e G. Reppucci, M. Scandurra 59

60 Bibliografia / 1 Stefan Axelsson Intrusion Detection Systems: A Survey and Taxonomy Matteo Selmi, Enrico Tassi Intrusion Detection Systems: Snort e Tripwire Pieter de Boer & Martin Pels Host-based Intrusion Detection Systems Ozalp Babaoglu IDS: Intrusion Detection Systems G. Reppucci, M. Scandurra 60

61 Bibliografia / 2 Stefano Zanero Intrusion Detection Systems Kevin D. Mitnick L'arte dell'inganno Feltrinelli 2003 Brian Laing How To Guide - Implementing a Network Based Intrusion Detection System Red Hat Enterprise Linux 4 Security Guide G. Reppucci, M. Scandurra 61