Vai al contenuto| Home page|

   Ti trovi in: HOME »Programmi, progetti e risultati »I progetti »PRIN - Programmi di ricerca di Rilevante Interesse Nazionale»Programma di ricerca
INIZIO_TESTO_DA_INDICIZZARE

PROGRAMMA DI RICERCA

italiano - english
Unità di Ricerca
Programmi di ricerca simili:
Classificazione scientifico-disciplinare
Classificazione brevettuale
Classificazione geografica
Bibliografia
[1] D. Moore, K. Keys, R. Koga, E. Lagache, K.C. Claffy, The CoralReef Software Suite as a Tool for System and Network Administrators, In LISA ’01: Proc. of the 15th USENIX Conference on System Administration, pp. 133–144, San Diego, CA, USA, Dec. 2001.
[2] V. Paxson, BRO: a system for detecting network intruders in real-time, in Proc. of the 7th USENIX Security Symposium, San Antonio, TX, USA, Jan. 1998.
[3] M. Roesch, SNORT: Lightweight Intrusion Detection for Networks, In LISA ’99: Proc. of the 13th Conference on Systems Administration, pp. 229–238, Seattle, WA, USA, Nov. 1999.
[4] A. W. Moore, K. Papagiannaki, Toward the Accurate Identification of Network Applications, In Proc. of the 6th Passive and Active Measurement Workshop, pp. 41-54, Boston, MA, USA, Oct. 2005.
[5] Y. Guan, X. Fu, D. Xuan, P.U. Shenoy, R. Bettati, W. Zhao, NetCamo: camouflaging network traffic for QoS-guaranteed missioncritical applications, IEEE Trans. on SMC-Part A, 31, (4): 253-265, 2001.
[6] V. Paxson, Empirically derived analytic models of wide-area TCP connections, IEEE/ACM Trans. Netw., 2(4):316–336, 1994.
[7] V. Paxson, S. Floyd, Wide area traffic: the failure of Poisson modeling, IEEE/ACM Trans. Netw., 3(3):226–244, 1995.
[8] A. Mena, J. Heidemann, An Empirical Study of Real Audio Traffic, In Proc. of the IEEE Infocom, pp. 101–110, Tel-Aviv, Israel, Mar. 2000.
[9] C. Dewes, A. Wichmann, A. Feldmann, An analysis of Internet chat systems, In IMC ’03: Proc. of the 3rd ACM SIGCOMM Conference on Internet measurement, pp. 51–64, Miami Beach, FL, USA, Oct. 2003.
[10] F. Hernández-Campos, F.D. Smith, K. Jeffay, A.B. Nobel, Statistical Clustering of Internet Communications Patterns, In Computing Science and Statistics, volume 35, Jul. 2003.
[11] A. McGregor, M. Hall, P. Lorier, J. Brunskill. Flow Clustering Using Machine Learning Techniques, In Proc. of the 5th Passive and Active Measurement Workshop, pp. 205-214, Antibes Juan-les-Pins, France, Mar. 2004.
[12] M. Roughan, S. Sen, O. Spatscheck, N. Duffield, Class-of-service mapping for QoS: a statistical signature-based approach to IP traffic classification, In IMC ’04: Proc. of the 4th ACM SIGCOMM conference on Internet measurement, pp. 135–148, Taormina, Italy, Oct. 2004.
[13] C. Trivedi, H.J. Trussel, A. Nilsson, M.-Y. Chow, Implicit Traffic Classification for Service Differentiation, Technical report, ITC Specialist Seminar, Wurzburg, Germany, Jul. 2002.
[14] T. Karagiannis, K. Papagiannaki, M. Faloutsos, BLINC: multilevel traffic classification in the dark, In SIGCOMM’05: Proc. of the 2005 conference on Applications, technologies, architectures, and protocols for computer communications, pp. 229–240, Philadelphia, PA, USA, Aug. 2005.
[15] J. Xu, J. Fan, M.H. Ammar, S.B. Moon, Prefix-Preserving IP Address Anonymization: Measurment-Based Security Evaluation and a New Cryptography-Based Scheme, In Proc. of the 10th IEEE International Conference on Network Protocols, pp. 280-289, Paris, France, Nov. 2002.
[16] T. Kohno, A. Broido, K.C. Claffy, Remote Physical Device Fingerprinting, In Proc. of the IEEE Symposium on Security and Privacy, pp. 211-225, Oakland, CA, USA, May 2005.
[17] R. Pang, M. Allman, V. Paxson, J. Lee, The Devil and Packet Trace Anonymization, ACM SIGCOMM Computer Communication Review, 36(1): 29–38, 2006.
[18] Force10 Networks, P-series Datasheet, available online at http://www.force10networks.com/products/p-series_overview.asp.
[19] H. Song, T. Sproull, M. Attig, J. Lockwood, Snort Offloader: A Reconfigurable Hardware NIDS Filter in Proc. of 15th International Conference on Field Programmable Logic and Applications, Tampere, Finland, Aug. 24-26, 2005.
[20] D. Denning. An Intrusion-Detection Model. IEEE Trans. on Software Engineering. Feb. 1987.
[21] A.B. Tucker Jr., editor. CRC Computer Science and Engineering Handbook. CRC Press, Dec. 1996.
[22] T. Ye, S. Kalyanaraman, D. Harrison, B. Sikdar, B.Mo, H.T. Kaur, K. Vastola, B. Szymanski, Network management and control using collaborative on-line simulation, in Proc. CNDSMS, 2000.
[23] I. Norros, A storage model with self-similar input, Queueing Syst., vol. 16, pp. 387–396, 1994.
[24] R.H. Reidi, M.S. Crouse, V.J. Ribeiro, R.G. Baraniuk, A multi-fractal wavelet model with application to network traffic, IEEE Trans. Inform. Theory, vol. 45, pp. 992–1018, Mar. 1999.
[25] A.C. Gilbert, W. Willinger, A. Feldmann, Scaling analysis of con-servative cascades with applications to network traffic, IEEE Trans. Inform. Theory, vol. 45, pp. 971–991, Mar. 1999.
[26] J. Jung, V. Paxon, A Berger, H. Balakrishnan. Fast Portscan Detection Using Sequential Hypothesis Testing. In IEEE Symposium in Security and Privacy, May 2004.
[27] H-A Kim, H-J Kang, S-C Hung, S-H Chung, J.W. Hong, A Flow Based Method for Abnormal Traffic Detection, In IEEE/IFIP Network Operations and Management Symposium. Seoul, Apr. 2004.
[28] H. Wang, D. Zhang, and K. G. Shin, Detecting syn flooding attacks, in Proc. IEEE INFOCOM, 2002.
[29] S. Savage, D. Wetherall, A.R. Karlin, T. Anderson, Practical network support for IP traceback, in Proc. ACM SIGCOMM, 2000, pp. 295–306.
[30] A. Lakhina, M. Crovella, C. Diot, Characterization of Network-Wide Traffic Anomalies. In ACM Sigcomm, Portland, Aug. 2004.
[31] A. Lakhina, M. Crovella, C. Diot, Mining Anomalies Using Traffic Feature Distributions. In ACM Sigcomm. Philadelphia, Aug. 2005.
[32] C. Kruegel, F. Valeur, G. Vigna. Intrusion Detection and Correlation. Springer, 2005.
[33] S. Axelsson, The Base-Rate Fallacy and the Difficulty of Intrusion Detection, ACM Trans. on Information and System Security, vol. 3, no.3, pp. 186-205, 2000.
[34] I. Finizio, C. Mazzariello, C. Sansone, Combining Genetic-Based Misuse and Anomaly Detection for Reliably Detecting Intrusions in Computer Networks, LNCS, vol. 3617, Springer, pp. 66-74, 2005.
[35] G. Giacinto, F. Roli, L. Didaci, Fusion of multiple classifiers for intrusion detection in computer networks, Pattern Recognition Letters, vol. 24, pp. 1795-1803, 2003.
[36] Y. Liu, K. Chen, X. Liao, W. Zhang, A genetic clustering method for intrusion detection, Pattern Recognition vol. 37, 2004.
[37] A.K. Ghosh, A. Schwartzbard, A Study in Using Neural Networks for Anomaly and Misuse Detection. Proc. USENIX Security Symposium, Washington, USA, Aug. 23-26, 1999.
[38] M. Fugate, J.R. Gattiker, Computer Intrusion Detection with Classification and Anomaly Detection, using SVMs, Int. J. of Pattern Recogn. and Artif. Intell., vol. 17, no. 3, pp. 441-458, 2003.
[39] L.P. Cordella, A. Limongiello, C. Sansone, Network Intrusion Detection by a Multi Stage Classification System, LNCS vol. 3077, Springer, pp. 324-333, 2004.
[40] M. Mellia, TCP Statistic and Analysis Tool home page, http://tstat.tlc.polito.it
[41] M. Mellia, R. Lo Cigno, F. Neri, Measuring IP and TCP behaviour on edge nodes with Tstat, Computer Networks (47), Vol. 1, pp. 1-21, Jan. 2005.
[42] M. Crotti, F. Gringoli, P. Pelosato, L. Salgarelli, A statistical approach to IP-level classification of network traffic, to appear in IEEE ICC’06.
[43] P. Giacomazzi, L. Musumeci, G. Verticale, Transport of TCP/IP traffic over assured forwarding IP differentiated services. IEEE Network, 17(5):18–28, Sept. 2003.
[44] V. Trecordi, G. Verticale, Per-flow delay performance in a FIFO scheduler fed by policed UDP sources. Elsevier Science Computer Communications, 23(4):309–316, Feb. 2000.
Parole Chiave
RETI IP, CLASSIFICAZIONE DEL TRAFFICO, MISURE DI TRAFFICO, RILEVAZIONE DI ANOMALIE, SISTEMI PER LA RILEVAZIONE DI INTRUSIONI, SISTEMI PER LA PREVENZIONE DELLE INTRUSIONI, SICUREZZA DELLE RETI, FUSIONE DI INFORMAZIONI

RECIPE: Classificazione robusta ed affidabile del traffico in reti IP

Università degli Studi di Napoli "Federico II"
Abstract
La classificazione del traffico nelle reti IP ha assunto un ruolo strategico all’interno dei sistemi di network management, sia per l’allocazione delle risorse che per la rilevazione delle anomalie.

Lo scopo principale di questo progetto consiste pertanto nell’analisi e nello sviluppo di strumenti efficaci per la classificazione dei flussi a livello di trasporto rispetto all’applicazione che li ha generati.

La valutazione degli strumenti sviluppati verrà effettuata utilizzando tracce di traffico reale. L’insieme di tali tracce e gli strumenti di cui sopra saranno resi disponibili sul sito web del progetto.

Le tecniche di classificazione del traffico sviluppate in questo progetto saranno anche utilizzate, nel contesto della sicurezza nelle reti, per migliorare le prestazioni dei sistemi per la rilevazione delle intrusioni basati su tecniche di anomaly detection e per lo sviluppo di nuovi sistemi per la prevenzione delle intrusioni. <<<

Coordinatore Scientifico del Programma di Ricerca
Carlo Sansone Università degli Studi di NAPOLI "Federico II"
Obiettivo del Programma di Ricerca
La classificazione corretta ed efficiente del traffico di rete è un’operazione di fondamentale importanza per molti sistemi di network management, allocazione delle risorse e rilevazione delle intrusioni. Dato il numero sempre crescente di protocolli e servizi in ascolto su porte di livello trasporto non standard, i metodi di classificazione del traffico basati sull'analisi esclusiva dei campi dell'header di livello trasporto stanno rapidamente divenendo inefficaci. D'altra parte, i meccanismi basati sull'analisi dell'intero payload, proposti nel recente passato, richiedono risorse computazionali troppo elevate per poter essere utilizzati sulla maggior parte dei collegamenti a larga banda: questi approcci sono, infatti, tipicamente basati sulla decodifica dei protocolli a livello applicazione, per la quale è necessario mantenere una macchina a stati finiti completa, ovvero su tecniche di pattern matching per le quali è necessario analizzare tutti i dati trasportati dal pacchetto. Quest'ultimo approccio, tra l’altro, può anche creare problemi legati alla riservatezza dei dati. Inoltre gli algoritmi di classificazione basati su signature possono fallire nel caso in cui il traffico sia incapsulato in altri protocolli di livello applicativo. Ad esempio, nel caso in cui HTTP sia utilizzato come livello di trasporto per traffico peer-to-peer, molti rilevatori basati su signature potrebbero classificare tali flussi come regolari flussi HTTP. Nel caso peggiore, le tecniche di analisi del payload possono diventare completamente inefficaci, ad esempio quando meccanismi di cifratura “end-to-end” come Transport Layer Security vengono utilizzati per proteggere il payload.

Di conseguenza, lo scopo principale di questo progetto consiste nell'ideazione e sviluppo di strumenti efficaci per la classificazione del traffico nelle reti IP utili per la rilevazione delle anomalie, la rilevazione e la prevenzione delle intrusioni, il rafforzamento delle policy di sicurezza ottenuto attraverso il filtraggio del traffico, la gestione della qualità del servizio e il “traffic engineering”.

Gli strumenti proposti dovranno essere in grado di classificare il traffico IP coerentemente con i protocolli di livello applicativo e in maniera robusta ed efficiente al fine di rimuovere le tipiche limitazioni dei meccanismi di classificazione basati sull'analisi delle porte (a livello di trasporto) e del payload. In questo caso, con il termine “robusta” si intende, in primo luogo, che i risultati della classificazione non dovranno cambiare qualora un flusso non aderisca perfettamente alle specifiche dello standard applicativo cui appartiene; secondariamente, che dovrà essere possibile classificare sia traffico incapsulato che cifrato. A tale scopo verranno sfruttate le caratteristiche statistiche che possono essere derivate dall'analisi dei flussi di traffico generati da applicazioni differenti. Saranno quindi usate diverse tecniche statistiche e di elaborazione dei segnali, così come diversi approcci all'analisi del traffico (es. analisi a livello pacchetto, a livello di flusso ecc.). Il termine “efficiente” indica, invece, che gli strumenti proposti dovranno essere in grado di classificare il traffico anche sulle dorsali più veloci. Per questo motivo saranno utilizzate architetture hadware dedicate: parte del progetto, infatti, consisterà nell'ottimizzazione degli algoritmi sviluppati finalizzata all'implementazione dei classificatori per una piattaforma basata su Network Processor. Più in dettaglio, saranno analizzati i principali colli di bottiglia di un Network Processor e gli algoritmi saranno modificati ed ottimizzati in funzione dei risultati ottenuti.

Numerosi saranno i risultati che verranno raggiunti durante il corso del progetto parallelamente allo sviluppo del sistema di classificazione, in particolare:
(i) Gli strumenti saranno testati su traffico reale proveniente da reti reali. Un certo numero di tracce di traffico sarà reso pubblicamente e gratuitamente disponibile, attraverso il sito web del progetto.

(ii) Al fine di poter rendere disponibili le tracce di traffico utilizzate per questo progetto dovranno essere condotte due attività. La prima riguarderà l’implementazione di architetture efficienti e veloci per la cattura dei pacchetti dalla rete. La seconda sarà incentrata sullo sviluppo di strumenti per l'anonimizzazione del traffico, al fine di preservare la riservatezza dei dati. Ogni strumento realizzato sarà reso pubblicamente disponibile.

(iii) Saranno sviluppati strumenti per estrarre ed analizzare proprietà statistiche del traffico a livello pacchetto, come metodologie e tecniche per la caratterizzazione del traffico.

(iv) Le tecniche di classificazione saranno applicate per migliorare le prestazioni dei sistemi per la rilevazione delle intrusioni (IDS) esistenti e basati su tecniche di rilevazione delle anomalie, oppure per svilupparne di nuovi.

(v) Le stesse tecniche saranno infine applicate al contesto specifico della prevenzione delle intrusioni di rete, azione che richiede decisioni accurate da prendere in tempo reale, appena i primi pacchetti di un nuovo flusso vengono rilevati.

Un ulteriore obiettivo del progetto sarà la divulgazione dei principali risultati nell'ambito della comunità scientifica internazionale, sia quella accademica che quella industriale, migliorando il grado di diffusione della conoscenza acquisita, pubblicizzando i risultati, e fornendo un contributo alla diffusione libera del software sviluppato e della conoscenza acquisita durante il corso del progetto. In aggiunta alla sottomissione dei risultati ottenuti a riviste e conferenze, sarà organizzato un workshop nella fase terminale del progetto.

Infine, si preventiva di mettere a disposizione della comunità scientifica un archivio di pubblico dominio (sito web), contenente dati sperimentali sia grezzi che elaborati. Su tali dati, i ricercatori saranno in grado di effettuare analisi statistiche e di verificare modelli teorici. In questo modo, i risultati di questo progetto saranno utili anche a ricercatori esterni alle unità di ricerca qui coinvolte. Sullo stesso sito web saranno resi disponibili i moduli per l'acquisizione dei dati e per l'analisi del traffico sviluppati. <<<
Durata
24 mesi
Base di partenza scientifica nazionale o internazionale
L’obiettivo finale del progetto è lo sviluppo di un motore efficiente, veloce e robusto per la classificazione del traffico di rete.
Le applicazioni che ne possono trarre beneficio sono numerose: implementazione del QoS nelle reti; tool per l’analisi, allocazione e gestione delle risorse di rete; strumenti per la rilevazione di traffico anomalo.
In particolare si è interessati a sfruttare i risultati della classificazione nell'ambito della rilevazione delle anomalie, per aumentare l’affidabilità dei sistemi per la rilevazione delle intrusioni (NIDS).

Classificazione del traffico
In letteratura sono stati proposti numerosi metodi di classificazione del traffico di rete. Il più semplice è basato sull’analisi delle porte a livello di trasporto [1]. Esso non è però adatto alle odierne applicazioni Internet in quanto molte non utilizzano più porte di trasporto assegnate.
Un approccio più affidabile realizza la classificazione in base all’analisi dettagliata del payload dei pacchetti: sebbene la tecnica richieda notevole potenza di calcolo, è implementata in molti NIDS [2,3]. Un esempio di classificatore basato sull’analisi del payload è presentato in [4] dove gli autori cercano di identificare classi di traffico e non specifiche applicazioni.
Un approccio diverso e innovativo è basato sull’analisi statistica del traffico di rete il cui comportamento a livello di trasporto dipende fortemente dal tipo di applicazione: in particolare il modo in cui il flusso di dati è frammentano in pacchetti. Un algoritmo di classificazione ad apprendimento potrebbe quindi distinguere i flussi osservati in funzione del protocollo senza manifestare i problemi delle tecniche legate all'analisi del payload: potrebbe quindi riconoscere quando un flusso è usato come tunnel per incapsulare altro traffico e, infine, potrebbe classificare traffico cifrato, caratteristica lo rende molto appetibile - nel giro di pochi anni, infatti, gran parte del traffico Internet sarà crittato [5].
I primi tentativi di classificazione del traffico basati su tecniche statistiche sono [6,7]. In [8] si dimostra come il traffico di tipo Real Audio possa essere identificato attraverso una semplice analisi della dimensione dei pacchetti e del loro tempo di interarrivo. Un approccio analogo [9] è applicato all’analisi del traffico IRC. Sebbene i risultati siano promettenti, questi lavori sono limitati ad un unica applicazione. Altri approcci ad apprendimento confermano, tuttavia, la possibilità di discriminare i vari flussi a seconda dell’applicazione che li ha generati: in [10,11] si dimostra che tecniche di clusterizzazione gerarchica per il raggruppamento dei flussi permettono una rudimentale suddivisione del traffico per classi di applicazioni. [12] dimostra, utilizzando algoritmi di Nearest Neighbour e di Linear Discriminant Analysis, come sia possibile differenziare il traffico in classi applicative attraverso un’analisi “trasversale” rispetto allo stack protocollare (pacchetto, flusso, connessione). L’approccio proposto in [13] evidenzia risultati promettenti in termini di attribuzione del traffico a specifiche applicazioni: basato su tecniche di clustering, mira alla caratterizzazione statistica di ogni protocollo in base alle sole informazioni di dimensione dei pacchetti e di tempi di inter-arrivo. Infine [14] classifica i flussi in base al loro comportamento dopo aver associato ad ogni applicazione un pattern comportamentale: l’attribuzione del traffico generato da un host ad una determinata classe di applicazioni è poi affidata ad analisi euristiche.
Sebbene i risultati citati in questi lavori siano promettenti, si deve sottolineare che la validazione delle varie tecniche è stata effettuata con solo traffico interno alle reti dei rispettivi istituti di ricerca. È perciò plausibile supporre che la loro validità possa essere messa in discussione quando esse vengano applicate a traffico da e verso Internet. Risulta poi altrettanto difficile confrontare le varie tecniche tra di loro, vista la mancanza di tracce di traffico “pre-validate”. Per tali motivi la comunità scientifica dovrebbe promuovere la pubblicazione di tracce di traffico pre-classificate e opportunamente anonimizzate. È necessario, quindi, sviluppare opportuni metodi per anonimizzare le tracce senza rendere i dati offerti inutilizzabili per scopi di ricerca. Numerose sono le problematiche legate alla pubblicazione delle tracce: in [15] si dimostra che a fronte di un processo di anonimizzazione poco curato dell’indirizzo IP, si possono ricavare informazioni dettagliate sulle attività degli utenti di una rete. Gli autori in [16] hanno recentemente dimostrato che dall’analisi dell’opzione timestamp di TCP è possibile identificare univocamente un host. La medesima attenzione dev’essere poi riservata all’anonimizzazione dei numeri di porta: in [17] si dimostra che un host può essere identificato univocamente in base all’insieme di servizi che esso offre. Sulla base di quanto esposto si evince che una politica di anonimizzazione poco curata può compromettere la privacy di chi offre le proprie tracce.

Implementazione ad elevate performance
L’implementazione hardware di sistemi di classificazione basati su tecniche avanzate di elaborazione di pacchetti manifesta due esigenze contrapposte: a) elevate prestazioni imposte dalla grande quantità di dati da esaminare; b) elevata flessibilità: ovvero la possibilità di sostituire o migliorare l’algoritmo di classificazione. In particolare, i requisiti elaborativi degli algoritmi più avanzati e la velocità delle reti moderne spinge nella direzione di creare dispositivi hardware. Tuttavia, nonostante l'elevata richiesta di prodotti in grado di operare ad alta velocità, il loro numero è ancora limitato e, più importante, questi prodotti non tengono in dovuta considerazione l'esigenza della flessibilità.
Uno dei prodotti più all’avanguardia [18] è in grado di analizzare traffico con ampiezza di banda fino a 10Gb applicando fino a 1000 “Snort rules” [3] ma le sue possibilità di riprogrammazione sono limitate all’aggiornamento di tali regole. Altri approcci prevedono la possibilità di utilizzare schede di accelerazione hardware [19] per un pre-filtraggio dei pacchetti al fine di ridurre la quantità di traffico da analizzare via software: l’impossibilità di riconfigurare la parte hardware non permette però di adattare il sistema a nuovi algoritmi di classificazione.

Rilevazione delle anomalie
Spesso il comportamento delle reti è caratterizzato da eventi inusuali (anomalie), che necessitano di una appropriata classificazione al fine di generare per essi una opportuna contromisura che tenda al ripristino di una condizione di normalità. La sfida principale nella classificazione automatica delle anomalie consiste nel fatto che esse possono essere generate da diverse cause: utenti malevoli, guasti alle apparecchiature, comportamenti inusuali (ma comunque legittimi) da parte degli utenti. Un sistema generale capace di distinguere fra diversi tipi di anomalie è sicuramente un obiettivo molto ambizioso, visto che non può essere vincolato ad analizzare un insieme predefinito di eventi di origine nota, ma deve essere aperto alle nuove anomalie, specialmente quelle collegate a comportamenti malevoli.
La rilevazione delle anomalie nel traffico di rete risale almeno a [20] ed il campo di ricerca riceve ancora considerevoli attenzioni. [21] elenca tre modelli statistici largamente utilizzati per la rilevazione delle anomalie: modelli operazionali (basati su soglia), il modello della media e deviazione standard, e modelli basati su serie temporali. La scelta del modello statistico è influenzata dal tipo di dati misurati, come il volume di traffico, il valore di alcuni campi degli header o i valori di alcune variabili di network management. La modellizzazione accurata del comportamento normale in un particolare scenario di rete è un argomento di ricerca ancora attivo, specialmente nel caso della modellizzazione "online" del traffico di rete [22]. Esistono modelli di traffico che catturano accuratamente proprietà di scala frattali e multifrattali, come i modelli "self-similar" [23] ed i modelli a cascata [24]. In [25] è fornita una descrizione più orientata alla tecnica cascade-scaling.
Tutti questi modelli sono adatti a rilevare anomalie nel volume di traffico su singoli link, ma lasciano non risolto un elevato numero di problemi. Inoltre, un grande numero di articoli fornisce tecniche molto efficaci ma di limitata applicabilità, cioè capaci di rilevare specifiche categorie di anomalie note: portscan [26], worm [27], attacchi DoS [28], intrusioni in reti di calcolatori [29]. Di recente, infine, sono state proposte alcune nuove tecniche capaci di rilevare anomalie nel volume del traffico estese a tutta la rete [30] oppure ad alcuni campi dell’header dei pacchetti [31].

Network Intrusion Detection Systems (NIDS) e Network Intrusion Prevention Systems (NIPS)
I NIDS e i NIPS mirano ad identificare tracce di attacchi nel traffico di rete al fine di inviare un allarme all'amministratore (NIDS) o di attuare una contromisura automatica, come il "dropping" dei pacchetti di origine sospetta (NIPS). I NIDS e i NIPS di maggior successo ispezionano il payload dei pacchetti e lo confrontano con regole o firme che descrivono attacchi noti. Tale tecnica è nota come "misuse-based" ed ha il vantaggio di generare un numero molto ridotto di falsi allarmi. Tuttavia, non consente di rilevare nuovi tipi di intrusioni nè di essere utilizzata con traffico cifrato. Inoltre, richiede complessi motori di correlazione degli allarmi per identificare intrusioni che coinvolgano diversi nodi della rete. Una descrizione dettagliata di tali motori di correlazione può essere trovata in [32]. D'altra parte, le tecniche di anomaly detection possono identificare nuovi tipi di attività malevole (i cosiddetti "zero-day attacks") e possono facilmente seguire l'evoluzione di eventi che coinvolgano tutta la rete; il loro difetto consiste nell'elevato numero di falsi allarmi prodotti.
La sfida attuale per NIDS e NIPS anomaly-based sta nella riduzione dei falsi allarmi [33], che può essere ottenuta sia utilizzando algoritmi di classificazione del traffico più accurati che integrando tecniche anomaly e misuse-based [34].
Infine, è opportuno osservare che la rilevazione di intrusioni può anche essere vista come un problema di Pattern Recognition (PR) [35]: date delle informazioni riguardanti connessioni tra coppie di host, il compito da assolvere è quello di assegnare ognuna di tali connessioni ad una fra due classi, quella del traffico normale e quella degli attacchi. In questo contesto, il termine "connessione" è riferito a sequenze di pacchetti correlate ad un particolare servizio. Un NIDS deve rilevare le connessioni correlate ad attività malevole, quindi ogni connessione può essere vista come un "pattern" da classificare. L’applicabilità dell’approccio di pattern recognition al problema della rilevazione delle intrusioni è stato discusso in [35]. Diversi sistemi di PR sono stati proposti nel recente passato per la realizzazione di un IDS, basati su differenti tecniche di intelligenza computazionale [36-38]. In quest'ambito sono stati proposti anche sistemi basati sull’utilizzo di classificatori multipli al fine di ridurre ulteriormente il numero di falsi allarmi [39].

Competenze delle Unità di Ricerca
Unità I: Il lavoro di ricerca sulla classificazione del traffico del gruppo del Dipartimento di Informatica e Sistemistica dell’Università di Napoli (UniNA) è frutto delle competenze maturate sia nell’ambito delle tecniche di monitoraggio e caratterizzazione del traffico di rete, anche grazie al lavoro svolto nell’ambito di progetti di ricerca internazionali (INTERMON, CADENUS), che nel campo delle tecniche di intelligenza computazionale applicate ai problemi di sicurezza nelle reti di calcolatori [34,39].
Il gruppo attivo presso UniNA collabora strettamente con altre unità di ricerca sia in Italia che all’estero, ed è coinvolto in diversi progetti nazionali ed internazionali nell’ambito della ricerca riguardante i problemi di monitoraggio caratterizzazione e sicurezza nelle reti di calcolatori (WebMINDS, E-Next, NetQoS, OneLab).
Unità II: il Gruppo Reti di Telecomunicazioni del Dipartimento di Elettronica del Politecnico di Torino (TNG-Polito), ha messo a punto uno strumento di monitoraggio e analisi delle prestazioni della rete chiamato TSTAT - TCP STatistic and Analysis Tool. TSTAT è in grado di fornire tradizionali indici di prestazioni a livello IP, ma anche di ricostruire lo stato delle connessioni TCP, e fornire quindi indici di prestazione a livello TCP [40,41]. Questo aspetto permette di ricavare indici prestazionali direttamente sensibili dall'utente della rete, che possono essere usati con successo da algoritmi di classificazione, direttamente integrabili in TSTAT.
Grazie alla disponibilità del Ce.Si.T., TNG-Polito ha la possibilità di catturare il traffico dati generato da tutti i terminali all'interno del Politecnico. Inoltre, TNG-Polito sta collaborando con il TOPIX - Torino Piemonte Internet Exchange - per la caratterizzazione del traffico su canali di dorsale ad alta velocità, ed ha intrapreso una collaborazione con FASTWEB, che vede la possibilità di accedere a canali ad alta velocità dell'operatore grazie alla possibilità di inserire sonde di cattura sui loro collegamento operanti a velocità di 1Gbps.
Unità III: il gruppo di Reti di Telecomunicazione del Dipartimento di Elettronica per l'Automazione dell'Università di Brescia ha iniziato a lavorare nell'ambito della classificazione del traffico nel 2004. Il primo risultato di tale ricerca consiste in un metodo innovativo per la classificazione basata su parametri statistici [42]. Lo sforzo futuro in questo ambito si indirizzerà soprattutto verso la generalizzazione di tale metodo e nella sua estensione per renderlo robusto rispetto alla crittografia.
Il gruppo collabora strettamente da molto tempo con l’Ufficio per la Rete Telematica della Facoltà di Ingegneria ed è attivamente coinvolto nello sviluppo della rete di Ateneo. Grazie a questa collaborazione l’UdR di Brescia potrà avere accesso, per tutta la durata del progetto, a tracce di rete molto eterogenee, con traffico generato da classi di utenti molto diversificate, sia indirizzato a reti interne all'Ateneo, sia verso la rete GARR.
Unità IV: l’Università di Pisa partecipa al progetto con il Gruppo di Ricerca in Reti di TLC. Negli ultimi anni ha acquisito una solida competenza nello sviluppo per trial sperimentali di dispositivi prototipali basati su software open-source.
Inoltre, il gruppo ha maturato un’ampia esperienza nello sviluppo su architetture Network Processor, della famiglia Intel IXP 2400, di dispositivi hardware riconfigurabili per la garanzia del servizio in reti IP e per misure di traffico.
Nell’ambito della sicurezza l’attività di ricerca ha riguardato lo sviluppo di IDS basati su analisi statistica del traffico progettandone l’implementazione su piattaforme Network Processor.
In questi ultimi anni infine il gruppo è stato coinvolto in numerosi progetti di ricerca europei (eTen-COBRA, con funzioni di coordinamento, IST-MOICANE, ACTS-PETERPAN, EURO-NGI) e nazionali.
Unità V: PoliMI ha solide competenze nella classificazione del traffico IP, in particolare nel contesto della gestione della Qualità di Servizio [43] e nella caratterizzazione delle sorgenti di traffico [44].
Nel corso dell’anno 2006 PoliMI ha costituito un laboratorio per la valutazione delle prestazioni e delle funzionalità di strumenti di Intrusion Prevention. Tale laboratorio contiene generatori di traffico casuale oppure contenente attacchi informatici documentati, strumenti di misura delle prestazioni e hardware specializzato per le funzionalità di deep-packet inspection del traffico in linea. Le velocità di linea delle interfacce sono tutte Gigabit-Ethernet. <<<