Vai al contenuto| Home page|

   Ti trovi in: HOME »Programmi, progetti e risultati »I progetti »PRIN - Programmi di ricerca di Rilevante Interesse Nazionale»Programma di ricerca
INIZIO_TESTO_DA_INDICIZZARE

PROGRAMMA DI RICERCA 2006

italiano - english
Unità di Ricerca
Programmi di ricerca simili:
Classificazione scientifico-disciplinare
Classificazione brevettuale
Classificazione geografica
Bibliografia
[1] D. Moore, K. Keys, R. Koga, E. Lagache, K.C. Claffy, The CoralReef Software Suite as a Tool for System and Network Administrators, In LISA ’01: Proc. of the 15th USENIX Conference on System Administration, pp. 133–144, San Diego, CA, USA, Dec. 2001.
[2] V. Paxson, BRO: a system for detecting network intruders in real-time, in Proc. of the 7th USENIX Security Symposium, San Antonio, TX, USA, Jan. 1998.
[3] M. Roesch, SNORT: Lightweight Intrusion Detection for Networks, In LISA ’99: Proc. of the 13th Conference on Systems Administration, pp. 229–238, Seattle, WA, USA, Nov. 1999.
[4] A. W. Moore, K. Papagiannaki, Toward the Accurate Identification of Network Applications, In Proc. of the 6th Passive and Active Measurement Workshop, pp. 41-54, Boston, MA, USA, Oct. 2005.
[5] Y. Guan, X. Fu, D. Xuan, P.U. Shenoy, R. Bettati, W. Zhao, NetCamo: camouflaging network traffic for QoS-guaranteed missioncritical applications, IEEE Trans. on SMC-Part A, 31, (4): 253-265, 2001.
[6] V. Paxson, Empirically derived analytic models of wide-area TCP connections, IEEE/ACM Trans. Netw., 2(4):316–336, 1994.
[7] V. Paxson, S. Floyd, Wide area traffic: the failure of Poisson modeling, IEEE/ACM Trans. Netw., 3(3):226–244, 1995.
[8] A. Mena, J. Heidemann, An Empirical Study of Real Audio Traffic, In Proc. of the IEEE Infocom, pp. 101–110, Tel-Aviv, Israel, Mar. 2000.
[9] C. Dewes, A. Wichmann, A. Feldmann, An analysis of Internet chat systems, In IMC ’03: Proc. of the 3rd ACM SIGCOMM Conference on Internet measurement, pp. 51–64, Miami Beach, FL, USA, Oct. 2003.
[10] F. Hernández-Campos, F.D. Smith, K. Jeffay, A.B. Nobel, Statistical Clustering of Internet Communications Patterns, In Computing Science and Statistics, volume 35, Jul. 2003.
[11] A. McGregor, M. Hall, P. Lorier, J. Brunskill. Flow Clustering Using Machine Learning Techniques, In Proc. of the 5th Passive and Active Measurement Workshop, pp. 205-214, Antibes Juan-les-Pins, France, Mar. 2004.
[12] M. Roughan, S. Sen, O. Spatscheck, N. Duffield, Class-of-service mapping for QoS: a statistical signature-based approach to IP traffic classification, In IMC ’04: Proc. of the 4th ACM SIGCOMM conference on Internet measurement, pp. 135–148, Taormina, Italy, Oct. 2004.
[13] C. Trivedi, H.J. Trussel, A. Nilsson, M.-Y. Chow, Implicit Traffic Classification for Service Differentiation, Technical report, ITC Specialist Seminar, Wurzburg, Germany, Jul. 2002.
[14] T. Karagiannis, K. Papagiannaki, M. Faloutsos, BLINC: multilevel traffic classification in the dark, In SIGCOMM’05: Proc. of the 2005 conference on Applications, technologies, architectures, and protocols for computer communications, pp. 229–240, Philadelphia, PA, USA, Aug. 2005.
[15] J. Xu, J. Fan, M.H. Ammar, S.B. Moon, Prefix-Preserving IP Address Anonymization: Measurment-Based Security Evaluation and a New Cryptography-Based Scheme, In Proc. of the 10th IEEE International Conference on Network Protocols, pp. 280-289, Paris, France, Nov. 2002.
[16] T. Kohno, A. Broido, K.C. Claffy, Remote Physical Device Fingerprinting, In Proc. of the IEEE Symposium on Security and Privacy, pp. 211-225, Oakland, CA, USA, May 2005.
[17] R. Pang, M. Allman, V. Paxson, J. Lee, The Devil and Packet Trace Anonymization, ACM SIGCOMM Computer Communication Review, 36(1): 29–38, 2006.
[18] Force10 Networks, P-series Datasheet, available online at http://www.force10networks.com/products/p-series_overview.asp.
[19] H. Song, T. Sproull, M. Attig, J. Lockwood, Snort Offloader: A Reconfigurable Hardware NIDS Filter in Proc. of 15th International Conference on Field Programmable Logic and Applications, Tampere, Finland, Aug. 24-26, 2005.
[20] D. Denning. An Intrusion-Detection Model. IEEE Trans. on Software Engineering. Feb. 1987.
[21] A.B. Tucker Jr., editor. CRC Computer Science and Engineering Handbook. CRC Press, Dec. 1996.
[22] T. Ye, S. Kalyanaraman, D. Harrison, B. Sikdar, B.Mo, H.T. Kaur, K. Vastola, B. Szymanski, Network management and control using collaborative on-line simulation, in Proc. CNDSMS, 2000.
[23] I. Norros, A storage model with self-similar input, Queueing Syst., vol. 16, pp. 387–396, 1994.
[24] R.H. Reidi, M.S. Crouse, V.J. Ribeiro, R.G. Baraniuk, A multi-fractal wavelet model with application to network traffic, IEEE Trans. Inform. Theory, vol. 45, pp. 992–1018, Mar. 1999.
[25] A.C. Gilbert, W. Willinger, A. Feldmann, Scaling analysis of con-servative cascades with applications to network traffic, IEEE Trans. Inform. Theory, vol. 45, pp. 971–991, Mar. 1999.
[26] J. Jung, V. Paxon, A Berger, H. Balakrishnan. Fast Portscan Detection Using Sequential Hypothesis Testing. In IEEE Symposium in Security and Privacy, May 2004.
[27] H-A Kim, H-J Kang, S-C Hung, S-H Chung, J.W. Hong, A Flow Based Method for Abnormal Traffic Detection, In IEEE/IFIP Network Operations and Management Symposium. Seoul, Apr. 2004.
[28] H. Wang, D. Zhang, and K. G. Shin, Detecting syn flooding attacks, in Proc. IEEE INFOCOM, 2002.
[29] S. Savage, D. Wetherall, A.R. Karlin, T. Anderson, Practical network support for IP traceback, in Proc. ACM SIGCOMM, 2000, pp. 295–306.
[30] A. Lakhina, M. Crovella, C. Diot, Characterization of Network-Wide Traffic Anomalies. In ACM Sigcomm, Portland, Aug. 2004.
[31] A. Lakhina, M. Crovella, C. Diot, Mining Anomalies Using Traffic Feature Distributions. In ACM Sigcomm. Philadelphia, Aug. 2005.
[32] C. Kruegel, F. Valeur, G. Vigna. Intrusion Detection and Correlation. Springer, 2005.
[33] S. Axelsson, The Base-Rate Fallacy and the Difficulty of Intrusion Detection, ACM Trans. on Information and System Security, vol. 3, no.3, pp. 186-205, 2000.
[34] I. Finizio, C. Mazzariello, C. Sansone, Combining Genetic-Based Misuse and Anomaly Detection for Reliably Detecting Intrusions in Computer Networks, LNCS, vol. 3617, Springer, pp. 66-74, 2005.
[35] G. Giacinto, F. Roli, L. Didaci, Fusion of multiple classifiers for intrusion detection in computer networks, Pattern Recognition Letters, vol. 24, pp. 1795-1803, 2003.
[36] Y. Liu, K. Chen, X. Liao, W. Zhang, A genetic clustering method for intrusion detection, Pattern Recognition vol. 37, 2004.
[37] A.K. Ghosh, A. Schwartzbard, A Study in Using Neural Networks for Anomaly and Misuse Detection. Proc. USENIX Security Symposium, Washington, USA, Aug. 23-26, 1999.
[38] M. Fugate, J.R. Gattiker, Computer Intrusion Detection with Classification and Anomaly Detection, using SVMs, Int. J. of Pattern Recogn. and Artif. Intell., vol. 17, no. 3, pp. 441-458, 2003.
[39] L.P. Cordella, A. Limongiello, C. Sansone, Network Intrusion Detection by a Multi Stage Classification System, LNCS vol. 3077, Springer, pp. 324-333, 2004.
[40] M. Mellia, TCP Statistic and Analysis Tool home page, http://tstat.tlc.polito.it
[41] M. Mellia, R. Lo Cigno, F. Neri, Measuring IP and TCP behaviour on edge nodes with Tstat, Computer Networks (47), Vol. 1, pp. 1-21, Jan. 2005.
[42] M. Crotti, F. Gringoli, P. Pelosato, L. Salgarelli, A statistical approach to IP-level classification of network traffic, to appear in IEEE ICC’06.
[43] P. Giacomazzi, L. Musumeci, G. Verticale, Transport of TCP/IP traffic over assured forwarding IP differentiated services. IEEE Network, 17(5):18–28, Sept. 2003.
[44] V. Trecordi, G. Verticale, Per-flow delay performance in a FIFO scheduler fed by policed UDP sources. Elsevier Science Computer Communications, 23(4):309–316, Feb. 2000.
Parole Chiave
RETI IP, CLASSIFICAZIONE DEL TRAFFICO, MISURE DI TRAFFICO, RILEVAZIONE DI ANOMALIE, SISTEMI PER LA RILEVAZIONE DI INTRUSIONI, SISTEMI PER LA PREVENZIONE DELLE INTRUSIONI, SICUREZZA DELLE RETI, FUSIONE DI INFORMAZIONI

RECIPE: Classificazione robusta ed affidabile del traffico in reti IP

Università degli Studi di Napoli "Federico II"
Abstract
La classificazione del traffico nelle reti IP ha assunto un ruolo strategico all’interno dei sistemi di network management, sia per l’allocazione delle risorse che per la rilevazione delle anomalie.

Lo scopo principale di questo progetto consiste pertanto nell’analisi e nello sviluppo di strumenti efficaci per la classificazione dei flussi a livello di trasporto rispetto all’applicazione che li ha generati.

La valutazione degli strumenti sviluppati verrà effettuata utilizzando tracce di traffico reale. L’insieme di tali tracce e gli strumenti di cui sopra saranno resi disponibili sul sito web del progetto.

Le tecniche di classificazione del traffico sviluppate in questo progetto saranno anche utilizzate, nel contesto della sicurezza nelle reti, per migliorare le prestazioni dei sistemi per la rilevazione delle intrusioni basati su tecniche di anomaly detection e per lo sviluppo di nuovi sistemi per la prevenzione delle intrusioni.

Coordinatore Scientifico del Programma di Ricerca
Carlo Sansone Università degli Studi di NAPOLI "Federico II"
Obiettivo del Programma di Ricerca
La classificazione corretta ed efficiente del traffico di rete è un’operazione di fondamentale importanza per molti sistemi di network management, allocazione delle risorse e rilevazione delle intrusioni. Dato il numero sempre crescente di protocolli e servizi in ascolto su porte di livello trasporto non standard, i metodi di classificazione del traffico basati sull'analisi esclusiva dei campi dell'header di livello trasporto stanno rapidamente divenendo inefficaci. D'altra parte, i meccanismi basati sull'analisi dell'intero payload, proposti nel recente passato, richiedono risorse computazionali troppo elevate per poter essere utilizzati sulla maggior parte dei collegamenti a larga banda: questi approcci sono, infatti, tipicamente basati sulla decodifica dei protocolli a livello applicazione, per la quale è necessario mantenere una macchina a stati finiti completa, ovvero su tecniche di pattern matching per le quali è necessario analizzare tutti i dati trasportati dal pacchetto. Quest'ultimo approccio, tra l’altro, può anche creare problemi legati alla riservatezza dei dati. Inoltre gli algoritmi di classificazione basati su signature possono fallire nel caso in cui il traffico sia incapsulato in altri protocolli di livello applicativo. Ad esempio, nel caso in cui HTTP sia utilizzato come livello di trasporto per traffico peer-to-peer, molti rilevatori basati su signature potrebbero classificare tali flussi come regolari flussi HTTP. Nel caso >>>

Durata
24 mesi
Base di partenza scientifica nazionale o internazionale
L’obiettivo finale del progetto è lo sviluppo di un motore efficiente, veloce e robusto per la classificazione del traffico di rete.
Le applicazioni che ne possono trarre beneficio sono numerose: implementazione del QoS nelle reti; tool per l’analisi, allocazione e gestione delle risorse di rete; strumenti per la rilevazione di traffico anomalo.
In particolare si è interessati a sfruttare i risultati della classificazione nell'ambito della rilevazione delle anomalie, per aumentare l’affidabilità dei sistemi per la rilevazione delle intrusioni (NIDS).

Classificazione del traffico
In letteratura sono stati proposti numerosi metodi di classificazione del traffico di rete. Il più semplice è basato sull’analisi delle porte a livello di trasporto [1]. Esso non è però adatto alle odierne applicazioni Internet in quanto molte non utilizzano più porte di trasporto assegnate.
Un approccio più affidabile realizza la classificazione in base all’analisi dettagliata del payload dei pacchetti: sebbene la tecnica richieda notevole potenza di calcolo, è implementata in molti NIDS [2,3]. Un esempio di classificatore basato sull’analisi del payload è presentato in [4] dove gli autori cercano di identificare classi di traffico e non specifiche applicazioni.
Un approccio diverso e innovativo è basato sull’analisi statistica del traffico di rete il cui comportamento a livello di trasporto dipende fortemente dal >>>