Un modello integrato control-flow e data-flow per il rilevamento ...
Un modello integrato control-flow e data-flow per il rilevamento ...
Un modello integrato control-flow e data-flow per il rilevamento ...
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
5<br />
Conclusioni e sv<strong>il</strong>uppi futuri<br />
La sempre maggiore <strong>per</strong>vasività dei sistemi di calcolo, siano essi computer veri e<br />
propri o dispositivi embedded, impone una sempre maggiore necessità di garantire<br />
la loro sicurezza. Esistono diversi meccanismi e diverse tecniche <strong>per</strong> raggiungere<br />
questo scopo anche se in ogni caso dare un livello di sicurezza totale non è possib<strong>il</strong>e.<br />
Quello che <strong>per</strong>ò è possib<strong>il</strong>e è cercare di creare sistemi di difesa sempre più efficaci e<br />
ad ampio spettro.<br />
I sistemi che implementano le difese si possono classificare in due categorie, quelli<br />
che si occupano di misuse detection, ovvero tramite pattern matching verificano la<br />
presenza di signature di un attacco e quelli che fanno anomaly detection, ovvero che<br />
cercano di capire se sono in atto comportamenti che si discostano dalla norma.<br />
Il monitoraggio delle chiamate di sistema va sotto la classe dell’anomaly detec-<br />
tion: se un processo deve aprire un f<strong>il</strong>e e spedirlo via rete, nel momento in cui questo<br />
processo fa una chiamata ad execve() <strong>il</strong> comportamento esce dalla norma ed è so-<br />
spetto <strong>per</strong>ché ha poco senso che <strong>per</strong> svolgere suo <strong>il</strong> compito sia necessario lanciare<br />
un altro processo. L’osservazione delle system call come tecnica di r<strong>il</strong>evamento delle<br />
intrusioni è nota fin dagli anni ’90 e i modelli che sono stati costruiti sono i più<br />
svariati. In questa tesi sono stati considerati vari modelli esistenti in letteratura che<br />
solo osservando le system call e i loro parametri consentono di apprendere informa-<br />
zioni relative al <strong>control</strong> <strong>flow</strong> e al <strong>data</strong> <strong>flow</strong> del programma. Dopo aver discusso le<br />
loro caratteristiche sono state messe in luce alcune debolezze, che hanno portato allo<br />
sv<strong>il</strong>uppo di un nuovo <strong>modello</strong> che tratta in modo <strong>integrato</strong> <strong>control</strong> <strong>flow</strong> e <strong>data</strong> <strong>flow</strong>.<br />
Il nuovo <strong>modello</strong> risolve le debolezze dei precedenti apprendendo le informazioni in<br />
modo più fine.