|
Offerta Tesi di Laurea Specialistica Sicurezza Informatica |
Pattern Recognition and Applications Group http://prag.diee.unica.it |
||||
|
|
|
||||
|
Attualmente, la maggior parte degli
attacchi a sistemi informatici viaggia attraverso il protocollo HTTP. I
server e le applicazioni web costituiscono l’interfaccia attraverso la quale
è possibile accedere a una molteplicità di servizi: e-mail, pubblica
amministrazione, commercio elettronico, pagamento delle tasse, estratto conto
corrente, estratto conto contributivo etc. Per garantire la sicurezza di
questi sistemi e dei dati che gestiscono sono necessarie, non solo adeguate
misure preventive, ma anche sistemi in grado di rilevare e eventualmente
bloccare intrusioni informatiche, chiamati Intrusion Detection Systems (IDS).
Un attaccante “intelligente” cerca non solo di realizzare un attacco, ma
anche di sfuggire alla rilevazione da parte dell’IDS. Quando non è possibile
evadere un IDS direttamente, un attaccante può indurre la generazione di
numerosi falsi allarmi, sfruttando debolezze dell’IDS. In questa maniera un
attacco reale può essere difficile da smascherare perché nascosto fra tanti
falsi allarmi (…come un ago nel pagliaio…). Inoltre, in casi pratici il
numero di falsi allarmi deve essere ridotto al minimo perché la verifica
degli allarmi “manuale” rappresenta un costo significativo per una azienda.
Sono disponibili due proposte di tesi di ricerca. |
|||||
|
|
|||||
|
ALERT VERIFICATION - Questa tesi propone la ricerca e
l’implementazione di meccanismi per la verifica degli allarmi di un IDS, al
fine di ridurre il numero falsi allarmi, garantendo comunque la stessa
capacità di rilevazione delle intrusioni. Allo stato dell’arte l’ alert
verification automatica è stata proposta solo per IDS basati su signature,
cioè modelli noti di attacco. Il sistema di verifica degli allarmi dovrà
essere applicato ad un IDS anomaly-based già sviluppato, specifico per il
protocollo HTTP. Un IDS anomaly-based si basa su un modello del traffico
lecito ed è perciò capace di rilevare anche nuovi attacchi. La verifica degli
allarmi su questo tipo di sistemi è un aspetto ancora da approfondire,
malgrado possa essere molto importante per far fronte ad un ambiente ostile
in fase di rilevazione. |
|||||
|
|
|||||
|
DETECTION RELIABILITY ENHANCEMENT – L’affidabilità degli allarmi prodotti da un IDS è
strettamente dipendente dalle caratteristiche (feature) degli eventi di
rete/host estratte, nonché dal modello scelto per descriverne i valori
assunti. Questa tesi propone la ricerca e l’implementazione di meccanismi per
l’acquisizione e la modellazione di feature relative non solo agli input
forniti ad un web server/applicazione, ma anche relative all’output
restituito. Ad esempio: tipologia del documento restituito, struttura del
documento, dimensione del documento, caratteri restituiti, etc. Questo
approccio non è stato ancora affrontato, malgrado appaia notevolmente utile
per incrementare l’affidabilità di rilevazione di diversi tipi di attacco
come Cross-site-scripting, SQL Injection, Path traversal, con tecniche anomaly-based
e addestramento non supervisionato. |
|||||
|
|
|||||
|
|
|||||
|
|
|||||
|
Per maggiori informazioni: |
|||||
|
|
|||||
|
|||||
