Ricerca | Progetti Finanziati

TECNICHE DI INFERENZA AVANZATE PER LA CYBER-SECURITY: IDENTIFICAZIONE DI ATTACCHI DI RETE DISTRIBUITI E RIVELAZIONE DI TRAFFICO MULTIMEDIALE CRIPTATO

Come esposto nel paragrafo precedente, il progetto di ricerca avrà due direttrici primarie. Per quanto riguarda la rivelazione di attacchi DDoS, l’obiettivo del progetto di ricerca sarà quello di estendere i risultati esistenti in letteratura a modelli più sofisticati e realistici. I modelli esistenti in letteratura contemplano la presenza di una singola botnet, i cui nodi generano artificialmente traffico di rete (ad emulazione di traffico reale e legittimo) "pescando" messaggi ammissibili da un dizionario di emulazione. Tale dizionario, costruito attraverso un'attività di monitoraggio del sito da attaccare, è messo a disposizione dell'intera botnet, ed è pertanto comune a tutti i nodi della stessa. Tuttavia, in molti scenari reali, è plausibile assumere che sottogruppi diversi della botnet abbiano accesso a dizionari diversi. Questa assunzione può derivare dal fatto che un botmaster abbia costruito un dizionario, e ne abbia poi disseminato porzioni diverse ai singoli bot, ovvero dal fatto che singoli sottogruppi della botnet abbiano costruito indipendentemente i propri dizionari di emulazione. In altri termini, la botnet è organizzata in “cluster”, in cui gli agenti malevoli vengono raggruppati e agiscono come micro-botnet che utilizzano, per l’emulazione del traffico, dizionari completamente o parzialmente non sovrapposti. Sfortunatamente, gli algoritmi disponibili in letteratura non sono in grado di garantire l'identificazione della botnet in presenza di cluster multipli. Scopo dell'attività di ricerca sarà dunque quello di generalizzare/modificare gli algoritmi disponibili in letteratura al fine di rivelare la botnet, facendo al contempo emergere le caratteristiche dei singoli cluster. Per quanto riguarda il filone relativo alla rivelazione di traffico multimediale criptato, l’idea principale è quella che l’attaccante possa agire sul traffico VoIP attraverso delle manipolazioni di pacchetti che coinvolgono operazioni quali padding (riempimento artificiale del pacchetto VoIP), e shifting (ovvero traslazione temporale dei pacchetti VoIP) allo scopo di mascherare il traffico originario. Di contro, il difensore (analista di rete) tenterà di rivelare la presenza di flussi VoIP criptati. Dal momento che il traffico in esame è soggetto a vincoli fisici (si pensi ai requisiti di real-time o di bassa latenza che caratterizzano le comunicazioni multimediali), le trasformazioni consentite all’attaccante saranno confinate in una regione di ammissibilità. A questo punto, per tener conto in modo sano della lotta tra attaccante e difensore, il problema verrà convenientemente descritto utilizzando il contesto dell’ “adversarial signal processing”, e in particolare il paradigma della teoria dei giochi. L’attaccante sceglierà una strategia che gli consenta, a partire da operazioni di padding e/o shifting, di operare una trasformazione del traffico originario nella regione di ammissibilità. Il difensore invece giocherà la sua strategia scegliendo una regione di accettazione che gli consenta, sotto opportune condizioni, di individuare o meno un punto nello spazio delle features che sia rappresentativo di un flusso VoIP. Il gioco sarà quindi impostato in maniera tale da individuare un equilibrio di Nash tra le strategie dell’attaccante e del difensore, e sarà implementato un algoritmo in grado di trovare il suddetto equilibrio.