Un modello integrato control-flow e data-flow per il rilevamento ...
Un modello integrato control-flow e data-flow per il rilevamento ...
Un modello integrato control-flow e data-flow per il rilevamento ...
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
2<br />
Modelli <strong>per</strong> l’anomaly detection<br />
In questa tesi si è interessati al r<strong>il</strong>evamento e alla conseguente segnalazione di com-<br />
portamenti anomali tenuti da parte di un processo in esecuzione su un elaboratore.<br />
Questo obiettivo prevede innanzitutto <strong>il</strong> possesso di un <strong>modello</strong> del comportamen-<br />
to del processo e successivamente la capacità di verificare che <strong>il</strong> processo, durante<br />
l’esecuzione, si comporti conformemente al <strong>modello</strong> (Figura 2.1).<br />
Processo<br />
Eventi<br />
Algoritmo di<br />
apprendimento<br />
Offline Online<br />
Modello<br />
Processo<br />
Eventi<br />
Motore di verifica<br />
del <strong>modello</strong><br />
Figura 2.1: Architettura generale di un sistema black-box.<br />
In letteratura si possono trovare decine di metodologie volte alla costruzione di<br />
modelli <strong>per</strong> l’anomaly detection basate su idee anche molto differenti tra di loro. La<br />
distinzione fondamentale <strong>per</strong>ò è forse quella tra metodologie white-box e black-box.<br />
Le prime prevedono di avere a disposizione <strong>il</strong> codice sorgente (o anche <strong>il</strong> binario)<br />
del programma in modo da poterlo analizzare staticamente e costruire un model-<br />
lo. Le seconde invece prevedono esclusivamente l’osservazione dell’esecuzione di un<br />
programma e, in base agli eventi generati, costruiscono un <strong>modello</strong>.