Definizione e sintesi di modelli del traffico di rete per la rilevazione in tempo reale delle intrusioni in reti di calcolatori

Transcript

1 Definizione e sintesi di modelli del traffico di rete per la rilevazione in tempo reale delle intrusioni in reti di calcolatori Francesco Oliviero folivier@unina.it Napoli, 22 Febbraio 2005 ipartimento di Informatica e Sistemistica, Università di Napoli Federico II Comics Group 1

2 Contesto Sistemi di Intrusion Detection (IDS) Network Based INTERNET IDS Local Network ipartimento di Informatica e Sistemistica, Università di Napoli Federico II Comics Group 2

3 Attacchi informatici Requisiti di sicurezza dei dati: Riservatezza Integrità Disponibilità Tipologie di attacchi informatici: Network probe Remote To Local (R2L) User To Root (U2R) Denial of Service (DoS) ipartimento di Informatica e Sistemistica, Università di Napoli Federico II Comics Group 3

4 Classificazione degli Intrusion Detection Systems Sorgente delle informazioni da analizzare: Host-based Network-based Stack-based Metodologie di rilevazione degli attacchi: Anomaly detection Capacità di rilevare nuovi attacchi Numero elevato di falsi allarmi Misuse detection Numero esiguo di falsi allarmi Incapacità di rilevare nuove tipologie di attacchi ipartimento di Informatica e Sistemistica, Università di Napoli Federico II Comics Group 4

5 Un Framework per la rilevazione di nuovi attacchi mediante l uso l di algoritmi di Data Mining Packet Connection Features Normal Sniffer Processor Classifier Raw Data Anomalous Network Database Connection Features Rules Set Data Mining Algorithm Algoritmi di Data Mining Sistemi di rilevazione delle intrusioni in real time ipartimento di Informatica e Sistemistica, Università di Napoli Federico II Comics Group 5

6 I modelli per la detection delle intrusioni (1) Individuare modelli che descrivano i comportamenti normali o anomali della rete: Insieme di parametri che descrivono il profilo degli utenti Differenti tipologie di attacchi richiedono differenti modelli per la rilevazione dell intrusione: Parametri sul payload del pacchetto Parametri sulle relazioni temporali tra i differenti flussi di traffico ipartimento di Informatica e Sistemistica, Università di Napoli Federico II Comics Group 6

7 I modelli per la detection delle intrusioni (2) Le informazioni che costituiscono il modello possono riferirsi: Al singolo pacchetto All intera sessione a cui il pacchetto appartiene Alle relazioni temporali e statistiche tra le differenti sessioni La connessione come entità su cui si basa l analisi: Il traffico UDP e ICMP Il traffico TCP ipartimento di Informatica e Sistemistica, Università di Napoli Federico II Comics Group 7

8 Il Modello di Riferimento Parametri descrittivi del traffico KDD DARPA - MIT Lee-Stolfo Interpretazione proposta Necessità di lavorare in real-time Coerenza con le definizioni della teoria delle RdC ipartimento di Informatica e Sistemistica, Università di Napoli Federico II Comics Group 8

9 Connection Features Un set di connection features definite dal prof. Salvatore J. Stolfo della Columbia University: Intrinsic features Forniscono informazioni generali sulla connessione Durata, protocollo, numero di byte inviati dalla sorgente al destinatario, ecc. Content features Forniscono informazioni sul contenuto dei pacchetti della connessione Numero di tentativi di login falliti, numero di file creati, ecc. Traffic features Informazioni sulle relazioni statistiche tra le connessioni ipartimento di Informatica e Sistemistica, Università di Napoli Federico II Comics Group 9

10 Traffic Features Le traffic features possono essere suddivise in: Same host: Relazioni statistiche tra tutte le connessioni che hanno lo stesso indirizzo di destinazione della connessione corrente (numero di connessioni, percentuale di connessioni con un SYN error ecc.) Same service: Relazioni statistiche tra tutte la connessioni che richiedono lo stesso servizio (il porto di destinazione) della connessione corrente (numero di connessioni, percentuale di connessioni con un SYN error ecc.) Time-based traffic faetures Host-based traffic features ipartimento di Informatica e Sistemistica, Università di Napoli Federico II Comics Group 10

11 Realizzazione di un architettura per la detection in real time Connection Features Normal Monitor Classifier Network traffic Anomalous L architettura progettata deve soddisfare le esigenze di un IDS real time: Monitorare il traffico di rete al fine di estrarre un set di parametri (connection features) Classificare i comportamenti in base ai parametri estratti ipartimento di Informatica e Sistemistica, Università di Napoli Federico II Comics Group 11

12 Il sistema di monitoraggio del traffico Packet Connection Features Sniffer Processor Network traffic Il monitoraggio del traffico presenta i maggiori problemi da un punto di vista dell analisi in real-time Analisi off-line vs analisi on-line Componenti del sistema di monitoraggio nella nostra architettura: Sniffer Processor per l estrazione delle connections features ipartimento di Informatica e Sistemistica, Università di Napoli Federico II Comics Group 12

13 Le esigenze del sistema real time Per il calcolo delle traffic features è necessario: Conoscere lo stato della connessione a cui il pacchetto che si sta analizzando appartiene Traffico UDP e ICMP Traffico TCP Disporre di informazioni su tutte le passate connessioni attive e non attive Calcolo delle traffic features same host e same service ipartimento di Informatica e Sistemistica, Università di Napoli Federico II Comics Group 13

14 Un N-IDS N open-source source: Snort * È costituito da quattro componenti: Sniffer Preprocessor engine Detection engine Output tools Architettura modulare che consente di sviluppare nuove funzionalità nel sistema (program plugin) Preprocessor plugin per la ricostruzione delle sessioni TCP * Detection Plugin Preprocessor Plugin Network traffic Alert/logging Detection Engine Preprocessor Engine Packet Sniffer ipartimento di Informatica e Sistemistica, Università di Napoli Federico II Comics Group 14

15 Un preprocessor plugin per Snort (1) Realizzazione di un preprocessor plugin* per il calcolo delle connection features Organizzazione opportuna dei dati sulle connessioni in modo tale da ridurre i tempi di accesso Implementazione di due alberi binari autobilanciati (Splay Tree): Same host tree Same service tree * ipartimento di Informatica e Sistemistica, Università di Napoli Federico II Comics Group 15

16 Un preprocessor plugin per Snort (2) Same host tree Memorizzazione in un singolo nodo dell albero di tutte le connessioni che presentano le stesse caratteristiche Due liste collegate per il calcolo delle traffic features time-based e hostbased Dst IP addr Src IP addr Src port 143 Dst port 80 Time Stamp Src IP addr Src port 654 Dst port 22 Time Stamp Src IP addr Src port 54 Dst port 23 Time Stamp Dst IP addr Dst IP addr Src IP addr Src port 654 Dst port 22 Time Stamp Src IP addr Src port 54 Dst port 23 Time Stamp Dst IP addr Dst IP addr ipartimento di Informatica e Sistemistica, Università di Napoli Federico II Comics Group 16

17 L algoritmo per il calcolo delle features (1) Protocol Analysis Intrinsic Features ICMP Intrinsic Features UDP Intrinsic Features TCP Traffic Features ipartimento di Informatica e Sistemistica, Università di Napoli Federico II Comics Group 17

18 L algoritmo per il calcolo delle features (2) Source IP address Source Port number 54 Destination IP address Destination Port number 80 Payload Host-based traffic features ame host tree Dst IP addr Src IP addr Src port 143 Dst port 80 Time Stamp Src IP addr Src port 654 Dst port 22 Time Stamp Src IP addr Src port 54 Dst port 80 Time Stamp Dst IP addr Dst IP addr Src IP addr Src port 654 Dst port 22 Time Stamp Src IP addr Src port 54 Dst port 80 Time Stamp Dst IP addr Dst IP addr Time-based traffic features ipartimento di Informatica e Sistemistica, Università di Napoli Federico II Comics Group 18

19 Valutazione delle prestazioni (1) Valutazione overhead su traffico simulato: Rete del laboratorio del DIS CPU: Intel Pentium III 1GHz RAM: 256 MB OS: Mandrake Linux 9.1 Rate traffico: circa 20 pps Snort preprocessor + logging su file + logging su socket % pacchetti persi % % % % % utilizzo CPU % utilizzo MEM Snort % Snort % + preprocessor % + preprocessor % + logging su file % + logging su file % + logging su socket % + logging su socket % ipartimento di Informatica e Sistemistica, Università di Napoli Federico II Comics Group 19

20 Valutazione delle prestazioni (2) Valutazione overhead su traffico reale: Rete CNR di Genova CPU: Intel Pentium IV 2GHz RAM: 512 MB OS: RedHat Linux 8.0 Max speed: 16 Mbits/s Rate traffico: circa 500 pps % utilizzo CPU Snort Snort preprocessor plugin spredator % pacchetti persi 0.468% 0.757% % utilizzo MEM Snort % Snort % Snort preprocessor plugin spredator % Snort preprocessor plugin spredator % ipartimento di Informatica e Sistemistica, Università di Napoli Federico II Comics Group 20

21 Monitoraggio e Classificazione distribuiti Classifier Monitor Monitor Classifier Ridurre la percentuale di pacchetti persi Aumentare la scalabilità del sistema ipartimento di Informatica e Sistemistica, Università di Napoli Federico II Comics Group 21

22 Valutazione delle prestazioni del sistema di monitoraggio Valutazione overhead su traffico reale: Rete CNR di Genova CPU: Intel Pentium IV 2GHz RAM: 512 MB OS: RedHat Linux 8.0 Max speed: 16 Mbits/s Rate traffico: circa 500 pps Snort Snort preprocessor plugin featuressender % pacchetti persi 0.468% 0.041% % utilizzo CPU % utilizzo MEM Snort % Snort % Snort preprocessor plugin featuressender % Snort preprocessor plugin featuressender % ipartimento di Informatica e Sistemistica, Università di Napoli Federico II Comics Group 22

23 Conclusioni e sviluppi futuri Conclusioni È possibile realizzare un sistema real time con un contenuto overhead in termini di percentuale CPU utilizzata ed un ridotto numero di pacchetti persi Sviluppi futuri Migliorare la percentuale di memoria occupata Applicazione di diversi algoritmi di Data Mining per la costruzione di set di regole, e valutazione della loro capacità di detection in uno scenario reale Realizzazione di IDS distribuito ipartimento di Informatica e Sistemistica, Università di Napoli Federico II Comics Group 23

24 Riferimenti Bace. (2000). Intrusion Detection. Macmillan Technical Publishing. Stolfo, Fan, Lee, Prodromidis, Chan. (2000). Cost-Based Modelling for Fraud and Intrusion Detection Results from the Jam Project. In Proceeding of the 2000 DISCEX Conference. Lee, Stolfo. (2000). A Framework for costructing Features and Models for Intrusion Detection Systems. In ACM Transactions on Information and System Security. Vol. 3, number 4, pages Baker, Caswell, Poor. (2004). Snort 2.1 Intrusion Detection Second Edition. Syngress. Esposito, Mazzariello, Oliviero, Romano, Sansone. (2005). Real Time Detection of Novel Attacks by Means of Data Mining Techniques. In Proceeding of 2005 ICEIS Conference. ipartimento di Informatica e Sistemistica, Università di Napoli Federico II Comics Group 24