Introduzione
stire un numero sempre maggiore di servizi ed applicazioni diverse. Tale com-
plessità, soprattutto nell’ultimo decennio, ha subito un incremento esponenziale a
seguito della sempre più capillare interconnessione dei diversi sistemi informati-
ci; infatti, oggigiorno, la possibilità di comunicare e di scambiare informazioni a
distanza è divenuto un requisito fondamentale per consentire la gestione delle più
disparate attività legate al settore sociale, economico, di ricerca, etc..
L’aumento del livello di complessità dei sistemi informatici, sia per quanto ri-
guarda la loro struttura sia per quanto riguarda i servizi e le applicazioni da essi
gestite, rende sempre più difficoltosa la gestione ottimale del funzionamento del-
le reti stesse. Tutto questo è dovuto al fatto che l’incremento di complessità delle
reti informatiche procede di pari passo con l’incremento di “eventi anomali” di
diversa natura che si possono presentare nel traffico aggregato di dati che viaggia
su tali reti.
Le osservazioni fatte fino ad ora evidenziano come il problema del monitoraggio
e della gestione efficiente delle reti informatiche assume oggigiorno un ruolo
sempre più rilevante tra le diverse attività svolte dai gestori di rete. Data la com-
plessità e la vastità del problema, possibili soluzioni basate sulla conoscenza u-
mana sono del tutto inadeguate. Per questo motivo molti sono e saranno i tentati-
vi di realizzare sistemi automatici di monitoraggio di rete innovativi in questo
campo.
In questo lavoro di tesi saranno presentati i principali approcci sviluppati e pre-
senti in letteratura, che affrontano il problema del Rilievo di Anomalie, analiz-
2
Introduzione
zando i loro pregi ed i loro difetti. Verrà successivamente proposta un’architettu-
ra innovativa per la realizzazione di un Sistema di Rilievo di Anomalie, basato
sull’utilizzo della DTWT, in grado anche di discriminare tra le diverse anomalie
individuate classificandole sulla base del profilo che esse assumono nel tempo.
Inoltre saranno presentate le motivazioni che hanno spinto allo studio ed
all’analisi delle anomalie nel traffico di rete mediante l’uso della DTWT.
I.2. CONTRIBUTI ORIGINALI
Il sistema di analisi delle anomalie di rete proposto in questo lavoro di tesi pre-
senta diversi aspetti interessanti ed originali.
Innanzitutto si è cercato di sviluppare un sistema completo che consentisse non
solo di rilevare eventuali anomalie nel traffico di rete ma anche di classificarle
dal punto di vista del loro profilo temporale, aspetto, questo, quasi del tutto as-
sente negli studi riguardanti le anomalie di rete pubblicati in letteratura.
È stata inoltre sviluppata una particolare tecnica adattativa che consente di co-
struire il segnale utilizzato per il rilievo delle anomalie seguendo le caratteristi-
che della particolare traccia di traffico analizzata; per realizzare ciò è stata impie-
gata in una maniera originale la cosiddetta Funzione Energia, già utilizzata in al-
tri lavori riguardanti il rilievo di anomalie di rete, definita sulla base dei coeffi-
cienti wavelet ottenuti attraverso l’operazione di decomposizione che caratterizza
la DTWT. Grazie alle scelte effettuate è stato possibile realizzare una tecnica in
grado di rilevare con buona precisione gli intervalli di tempo in corrispondenza
dei quali si presenta effettivamente un evento anomalo.
3
Introduzione
Unitamente alla fase di rilievo delle anomalie è stata poi sviluppata, come detto,
una fase, interamente originale, per la classificazione delle stesse anch’essa basa-
ta sull’impiego della DTWT.
I.3. STRUTTURA DEL LAVORO PRESENTATO
La struttura del lavoro di tesi presentato ricalca fedelmente le varie fasi del suo
sviluppo.
Nel Capitolo 1 verrà presentata un’analisi generale del problema degli eventi a-
nomali che si possono presentare all’interno del traffico di rete. Verranno descrit-
te le possibili cause che possono determinare eventi anomali riscontrabili nel traf-
fico IP relativo ad una rete informatica unitamente agli effetti che tali eventi a-
nomali producono sul funzionamento e le prestazioni della rete stessa.
Nel Capitolo 2 verrà effettuata una disamina generale delle tecniche di Rilievo di
Anomalie con una descrizione, per quanto sia possibile, completa dello Stato
dell’Arte relativo ai Sistemi di Rilievo sviluppati e proposti in letteratura. Verran-
no evidenziati i loro aspetti caratteristici prestando attenzione agli aspetti innova-
tivi introdotti ed alle loro limitazioni.
Nel Capitolo 3 verrà presentato il metodo e l’architettura proposti e sviluppati
per la realizzazione di un nuovo ed originale sistema di rilievo e classificazione
di anomalie che cerca di superare i limiti dei principali sistemi già proposti. Ver-
ranno giustificate le diverse scelte effettuate per lo sviluppo del metodo proposto
4
Introduzione
e verranno inoltre descritte le funzioni, i requisiti e gli aspetti fondamentali dei
singoli stadi di cui è composta l’architettura proposta.
Nel Capitolo 4, verranno presentati i risultati ottenuti sulla base di diverse prove
sperimentali effettuate per testare il sistema di analisi proposto. Tali risultati met-
teranno in evidenza le capacità di rilievo e classificazione del sistema di analisi
sviluppato.
Infine, si cercherà di valutare il potenziale dell’architettura proposta, offrendo, si
spera, interessanti spunti per ricerche e lavori successivi.
5
Capitolo 1- “Anomalie di Rete”
CAPITOLO 1
“ANOMALIE DI RETE”
1.1. CONCETTO DI “ANOMALIA” NEL TRAFFICO DI RETE
Facendo riferimento al traffico dati aggregato associato ad una generica rete in-
formatica, un’anomalia, o evento anomalo, da un punto di vista del tutto genera-
le, corrisponde ad un qualsiasi evento non previsto che modifica in modo più o
meno sostanziale il profilo del traffico di rete ritenuto “nella norma” sulla base
delle caratteristiche tipiche del traffico relativo alla particolare rete monitorata.
1.2. SUDDIVISIONE DELLE “ANOMALIE DI RETE”
Attualmente lo scambio di informazioni e dati per via telematica ha assunto un
ruolo che, a ragion veduta, può essere considerato fondamentale nella stragrande
maggioranza dei settori della vita quotidiana; tutto questo ha portato le reti in-
formatiche a raggiungere, negli ultimi anni, dei livelli di complessità strutturale e
funzionale estremamente elevati. Lo sviluppo, sia in termini di complessità che di
importanza, delle reti informatiche ha determinato la proliferazione di una serie
molto variegata di eventi anomali che si possono presentare ed osservare nel traf-
fico di rete.
6
Capitolo 1- “Anomalie di Rete”
Le possibili cause di tali eventi anomali sono molteplici come dimostrano diversi
lavori, presenti in letteratura, che hanno affrontato questo problema, come ad e-
sempio [2-3-4-5]. Le diverse cause che possono determinare un’anomalia di rete
consentono di suddividere le anomalie stesse in categorie. Da un punto di vista
generale le anomalie di rete possono essere suddivise in due grandi categorie
come viene presentato in [2]. La prima categoria fa riferimento a problemi relati-
vi al funzionamento ed alle prestazioni della rete, la seconda categoria, invece, fa
riferimento a problemi relativi alla sicurezza informatica.
1.3. PROBLEMI RELATIVI AL FUNZIONAMENTO ED ALLE
PRESTAZIONI DELLA RETE
In questa categoria ricadono tutti gli eventi anomali che sono causati da problemi
legati all’infrastruttura ed al funzionamento interno della rete monitorata. Tali
eventi anomali possono essere ulteriormente suddivisi in sottocategorie che pos-
sono essere indicate con i termini: file server failures, babbling node, transient
congestions, network misconfigurations. Nei successivi paragrafi verrà riportata
una breve descrizione delle sottocategorie indicate.
1.3.1. FILE SERVER FAILURES
Le anomalie appartenenti a tale categoria sono causate da problemi legati ai file
server, ovvero fornitori di dati relativi ad un qualche servizio. Un esempio tipico
di file server failure è un Web Server
1
Failure. Tale evento anomalo si verifica
1
Web Server: fornitore di servizi in rete.
7
Capitolo 1- “Anomalie di Rete”
quando si presenta un aumento marcato di richieste ftp
2
verso un determinato
Web Server. Questa situazione produce un aumento complessivo dei tempi di ri-
sposta del Web Server nella fornitura del servizio a cui è preposto e, nei casi più
critici, la perdita di parte delle richieste ftp inviate dagli utenti. La conseguenza di
ciò è rappresentata da una degradazione generale della Qualità del Servizio (QoS)
offerta con ripercussioni essenzialmente di tipo economico (perdita di clienti,
scontenti del servizio fornito, e quindi perdita di profitti per il fornitore del servi-
zio stesso).
1.3.2. BABBLING NODE
Babbling Node letteralmente sta ad indicare “Nodo Balbuziente”. Anomalie di
rete di questo tipo si verificano quando un generico nodo della rete monitorata,
per effetto di un malfunzionamento hardware o software, entra in un ciclo infi-
nito durante il quale invia verso l’esterno pacchetti IP, generalmente di piccole
dimensioni, non richiesti. Tale anomalia produce del traffico aggiuntivo non utile
sulla rete, in particolare nella zona del nodo malfunzionante. Questo aumento di
traffico determina una riduzione della larghezza di banda disponibile e di conse-
guenza una riduzione della QoS generale per gli utenti della rete.
1.3.3. TRANSIENT CONGESTIONS
Anomalie di questo tipo si possono verificare quando, in un intervallo temporale
molto breve, si presenta un’elevata quantità di traffico che deve essere instradato
all’interno della rete. Se la quantità di traffico risulta essere eccessiva per le ca-
2
ftp: File Transfer Protocol, protocollo di alto livello per la gestione del trasferimento di file tra stazioni
di lavoro collegate in rete.
8
Capitolo 1- “Anomalie di Rete”
pacità di gestione dei router di rete allora, questi ultimi, non sono più in grado di
supportare il carico ed iniziano a perdere pacchetti. In questa situazione, se non
viene rilevato prontamente il problema e non vengono attuate le contromisure
corrette per la risoluzione del problema stesso, la rete rischia di collassare su se
stessa ed andrà persa la quasi totalità dei pacchetti trasmessi. Ciò si verifica in
quanto una congestione, presente in corrispondenza di un punto della rete, produ-
ce velocemente un effetto a valanga sui nodi vicini causando un aumento dei pac-
chetti persi; i mittenti di tali pacchetti, non ricevendo risposta, li ritrasmetteranno
aggiungendo altro traffico sulla rete alimentando in questo modo ulteriormente la
congestione stessa. In definitiva quindi si può affermare che una congestione in
generale produce una fortissima degradazione delle prestazioni e della qualità dei
servizi offerti dalla rete
3
.
Dal punto di vista del traffico di rete il verificarsi di una congestione produce
come effetto l’alterazione di tale traffico rispetto all’andamento tipico previsto.
Monitorando il traffico di rete durante una congestione si osserva un aumento ri-
levante del suo livello medio ed in particolare si ha un aumento del numero di
pacchetti ritrasmessi; infatti, come detto in precedenza, con una congestione in
atto, il tasso di pacchetti persi aumenta rispetto alle condizioni di lavoro normali
in quanto i router non hanno le capacità sufficienti per processare in maniera cor-
retta tutti i pacchetti in transito.
3
Per una descrizione più dettagliata del problema delle Congestioni di Rete si rimanda a [6].
9
Capitolo 1- “Anomalie di Rete”
1.3.4. NETWORK MISCONFIGURATIONS
Gli eventi anomali appartenenti a tale categoria sono essenzialmente di tipo soft-
ware e sono causati da errori nell’implementazione dei diversi protocolli, ovvero
gli insiemi di regole, che consentono di gestire in maniera corretta il funziona-
mento complessivo della generica rete informatica. Questi errori determinano
appunto una cattiva configurazione della rete stessa che, di conseguenza, non è in
grado di funzionare in modo ottimale.
Diversi lavori presenti in letteratura, come ad esempio [3], [4], hanno fornito e-
sempi di network misconfigurations ed hanno descritto gli effetti prodotti da tali
anomalie. Nel prossimo paragrafo verrà fornita una descrizione dettagliata di un
esempio rilevante di anomalia di tipo network misconfiguration che mette in evi-
denza le caratteristiche di questa tipologia di eventi anomali.
1.3.4.1. Duplicazione dello Spazio degli Indirizzi IP
Questo particolare evento anomalo si osserva frequentemente in reti di medie e
grandi dimensioni. In particolare la Duplicazione dello Spazio degli Indirizzi IP,
tipicamente, si presenta quando una nuova sottorete s-n2 viene aggiunta alla rete
preesistente n1, a seguito di un’operazione di espansione, oppure quando, a se-
guito di un’operazione di manutenzione od aggiornamento, lo spazio degli indi-
rizzi inizialmente assegnato ad s-n2 viene alterato. In questi casi si può verificare
che, inavvertitamente, lo spazio degli indirizzi assegnato ad s-n2 vada a duplica-
re, completamente od in parte, lo spazio degli indirizzi assegnato ad una sottorete
differente s-n1 anch’essa collegata alla rete principale n1.
10
Capitolo 1- “Anomalie di Rete”
Le possibili cause di questo particolare tipo di anomalia possono essere:
a) Mancanza di coordinazione tra divisioni che amministrano porzioni diverse
della stessa rete.
b) Mancanza di aggiornamento delle informazioni relative alle modifiche re-
centi effettuate su alcune porzioni della rete monitorata.
Nel momento in cui si verifica questo tipo di anomalia essa va ad interferire con
l’instradamento dei pacchetti all’interno della rete n1. Per meglio descrivere que-
sto effetto si consideri l’esempio presentato in figura 1.1 e si faccia l’ipotesi che
per la gestione dell’instradamento dei pacchetti all’interno della rete n1 venga u-
tilizzato un protocollo basato sul Distance Vector (DV)
4
.
figura 1.1
Possibile Scenario di Duplicazione dello Spazio degli Indirizzi IP.
In questa situazione i nodi di rete in prossimità della sottorete s-n2 malconfigura-
ta, il cui spazio degli indirizzi è il duplicato dello spazio di s-n1, subiranno una
modifica delle loro tabelle interne di instradamento; infatti lo scambio di infor-
4
Per una descrizione più dettagliata dei protocolli di instradamento si rimanda a [6].
11
Capitolo 1- “Anomalie di Rete”
mazioni tra i router attraverso i loro DV rileva, erroneamente, la presenza di un
percorso di rete più breve verso il particolare prefisso di rete relativo allo spazio
degli indirizzi IP associato alla sottorete s-n1 a causa della loro vicinanza a s-n2.
Pertanto, dopo una fase di transizione, le tabelle interne di instradamento di alcu-
ni router della rete monitorata subiranno una modifica. Sia m(s-n2) l’insieme dei
router di rete le cui tabelle di instradamento hanno subito tale modifica per effet-
to della cattiva configurazione.
Si supponga ora che un client appartenente alla sottorete s-n1 richieda un servi-
zio ad un server che si trovi nella sottorete s-n3 anch’essa collegata alla rete prin-
cipale n1 come le due sottoreti s-n1, s-n2. Il server, ricevuta la richiesta da parte
del client, invia i pacchetti IP richiesti dal client. A questo punto però i pacchetti
inviati dal server vengono processati da un router appartenente all’insieme
m(s-n2) e pertanto tali pacchetti verranno dirottati, in maniera errata, verso il ter-
minale duplicate della sottorete s-n2 il cui indirizzo IP risulta essere il duplicato
dell’indirizzo del client.
Il terminale duplicate, che riceve i pacchetti inviati dal server, effettua su di essi i
dovuti controlli di congruenza ed ovviamente non trova riscontro con le informa-
zioni contenute nelle proprie tabelle in quanto, in realtà, i pacchetti non sono de-
stinati ad esso. Pertanto i pacchetti ricevuti vengono scartati e non avranno la
possibilità di raggiungere il client. Quest’ultimo, non ricevendo risposta alla pro-
pria richiesta, vede scadere i suoi timeout interni
5
e pertanto ritrasmette la richie-
sta verso il server e si innesca in questo modo un processo a catena che genera
5
Per una descrizione dettagliata dei timeout interni si rimanda a [6].
12
Capitolo 1- “Anomalie di Rete”
traffico aggiuntivo sulla rete in quanto verranno ritrasmessi più volte pacchetti IP
che non giungono mai a destinazione.
Tutto questo si ripete per tutti gli indirizzi IP duplicati quindi, in reti di medie e
grandi dimensioni, il traffico aggiuntivo causato dall’anomalia può assumere li-
velli anche molto elevati riducendo in modo marcato la larghezza di banda com-
plessiva disponibile e ciò, indirettamente, si può ripercuotere anche sugli utenti
della rete il cui traffico non attraversa i router appartenenti all’insieme m(s-n2).
Questo aumento anomalo di traffico di rete, dovuto all’anomalia e costituito es-
senzialmente da pacchetti ritrasmessi, può essere osservato e rilevato attraverso
un’attenta operazione di monitoraggio del traffico.
1.4. PROBLEMI RELATIVI ALLA SICUREZZA INFORMATICA
In questa categoria ricadono tutti gli eventi anomali, che si possono osservare nel
traffico di rete, provocati da azioni non legittime, prodotte da entità malevole,
che hanno lo scopo di violare, in qualche misura, le difese di una rete informatica
in modo da poter disporre dei dati e delle risorse presenti all’interno della rete
violata.
Negli ultimi anni si è osservato un incremento esponenziale nella diffusione e
nell’importanza delle reti informatiche; oggigiorno, grazie all’interconnessione di
tali reti, centinaia di milioni di computers, distribuiti nel mondo, hanno la possi-
bilità di scambiare dati a distanza garantendo in questo modo un elevato numero
di servizi utili per un numero incalcolabile di individui ed organizzazioni. Pur-
13
Capitolo 1- “Anomalie di Rete”
troppo con l’incremento della diffusione delle reti informatiche è cresciuto di pari
passo anche il numero di tentativi di intrusione all’interno di esse, sfruttando le
vulnerabilità nei loro sistemi di sicurezza. Le intrusioni nelle reti informatiche, in
molti casi, possono produrre un rilevante danno economico e pertanto, attual-
mente, il problema delle intrusioni è divenuto estremamente critico per i gestori
di rete.
In letteratura si utilizza il termine di “incidente informatico” o, più comunemen-
te, “attacco informatico” per definire una qualsiasi azione attraverso la quale si
tenta di forzare i sistemi di sicurezza di una rete informatica per accedere in mo-
do non autorizzato ai dati e alla risorse presenti in essa. Nei prossimi paragrafi,
facendo riferimento a [7-8], verrà fornita una descrizione dettagliata delle caratte-
ristiche principali di un attacco informatico.
1.4.1. L’ATTACCO INFORMATICO COME PROCESSO
Il generico attacco informatico può essere visto come un processo costituito da
diverse componenti in sequenza. Lo schema di principio di tale processo è pre-
sentato in figura 1.2.
AGGRESSORI STRUMENTI ACCESSO RISULTATI OBIETTIVI
figura 1.2
L'Attacco Informatico visto come Processo.
14
Ricevi informazioni sui nostri servizi, sulle offerte e non perdere news e consigli su università e lavoro.
