Ricerca | Progetti Finanziati

TECNICHE DI INFERENZA INNOVATIVE PER L'IDENTIFICAZIONE E LA MITIGAZIONE DI ATTACCHI DISTRIBUITI DI TIPO DDOS (DISTRIBUTED DENIAL OF SERVICE) NELLE RETI DI TELECOMUNICAZIONE

Obiettivo del presente progetto di ricerca sarà principalmente quello di caratterizzare attacchi di rete di tipo distribuito a livello applicazione (application-layer DDoS), tematica di scottante attualità nel mondo delle telecomunicazioni. Nella visione unificata dettata dalla rapida convergenza delle diverse tecnologie di comunicazione verso il paradigma delle reti a pacchetto, i moderni sistemi di telecomunicazione (LTE, 5G, SDN, NFV etc.), dell’Internet of Things (IoT), e delle reti dati nella loro accezione più generale, devono essere in grado di interagire attraverso strumenti comuni basati sul paradigma TCP/IP. L'elevato grado di interoperabilità tra i suddetti sistemi li espone al contempo ad attacchi di rete sempre più sofisticati. Tra le varianti di attacco più pericolose possiamo annoverare il citato application-layer DDoS, che potrebbe causare disservizi non solo ad un generico server, ma anche ad una rete di dispositivi IoT, ad una wireless sensor network, o ancora a un’infrastruttura complessa di telecomunicazioni. Sfortunatamente, i metodi per la rivelazione di classici attacchi DDoS a ripetizione non sono utili per contrastare le versioni di tipo “application-layer”. In queste ultime varianti, infatti, i messaggi che possono essere introdotti dagli agenti malevoli all’interno della rete non rispettano più uno schema ripetitivo. Volendo caratterizzare (per poi proporre una strategia di rivelazione) un attacco DDoS evoluto che sia in grado di sfruttare le caratteristiche del livello applicazione, è ragionevole prendere in considerazione una botnet opportunamente modellata, composta da un certo numero di elementi intelligenti i quali, sotto la guida di un coordinatore (botmaster), siano in grado di produrre richieste sufficientemente differenti tra loro, e quindi non rivelabili attraverso i tradizionali approcci basati su analisi volumetriche. Il modello di base prevederà che ogni entità malevola distribuita (bot) abbia la possibilità, attraverso l’ausilio del botmaster, di costruire in maniera dinamica un dizionario di messaggi “leciti” a livello applicazione (del tutto simili a richieste legittime) che verranno utilizzati in maniera subdola per sovraccaricare le risorse di rete e creare un attacco DDoS di difficile rivelazione. Una volta definito il modello, si passerà a progettare un algoritmo che sia in grado di identificare la botnet generatrice di attacchi DDoS evoluti. Da un lato, i classici metodi offerti dalla statistica parametrica (test di Neyman-Pearson, test di massima verosimiglianza, etc.) consentono di modellare bene il problema e di ottenere risultati analiticamente ben definiti quando esiste una conoscenza piuttosto accurata del modello di base, condizione non applicabile al caso in esame; dall'altro, le metodologie non parametriche e/o non statistiche (machine learning, reti neurali, etc.) hanno il vantaggio di poter operare senza una conoscenza dettagliata dei modelli che caratterizzano il problema, ma sono tipicamente caratterizzate da scarsa trattabilità analitica, difficoltà di adattare gli algoritmi quando i parametri di interesse sono suscettibili di variazioni, assenza di garanzie di prestazione. L’algoritmo dovrà soddisfare la proprietà di consistenza, intesa come la capacità di discriminare in maniera sempre più precisa, all’aumentare del tempo di osservazione, la botnet dalle entità legittime che producono traffico. Inoltre, l'algoritmo dovrà essere caratterizzato da una ragionevole complessità computazionale, che ne renda plausibile l’integrazione all’interno di uno scenario di rete realistico.