• distributed
• information
• mobile
• network
• security

La vasta diffusione di nuove minacce alla sicurezza della reti e i moderni attacchi su larga scala pongono nuove sfide per la protezione di reti e sistemi. Vi è quindi una forte necessità di infrastrutture per la sicurezza informatica che siano in grado di identificare intrusioni e nuovi malware il più presto possibile. In particolare, riteniamo che gli approcci di monitoraggio distribuito siano i più adatti per reagire alle minacce intrinsecamente distribuite, come i malware auto-replicanti e le intrusioni che sfruttano vulnerabilità ampiamente diffuse.

In questo lavoro presentiamo architetture collaborative adatte a grandi reti informatiche e in contesti di mobilità. I contributi principali di questa tesi sono tre.

1) Introduciamo una nuova architettura adatta alle reti di grandi organizzazioni che sfrutta schemi di cooperazione gerarchica e peer-to-peer tra Network Intrusion Detection Systems (NIDSs) distribuiti. L'obiettivo principale è di facilitare la cooperazione tra reti differenti riducendo il numero di allarmi e garantendo la privacy.
Queste caratteristiche permettono all'amministratore di sistema di concentrarsi sui pochi allarmi che rappresentano una vera minaccia per l'infrastruttura controllata e di essere informato sulle intrusioni più pericolose, anche prima che il proprio dipartimento venga attaccato. Inoltre, tali funzioni permettono di limitare le informazioni condivise riguardanti dati sensibili mediante la configurazione delle politiche di privacy.

2) Proponiamo una nuova architettura distribuita per la rilevazione di cyberattacchi e di intrusioni informatiche, basata su Distributed Hash Tables (DHT) e Complex Event Processing (CEP). I principali moduli di questa architettura sono: le sorgenti di eventi, geograficamente distribuite tra differenti organizzazioni; il layer di collaborazione, realizzato mediante una DHT; e il motore di analisi utilizzato per il CEP (CEP engine). L'architettura progettata supporta differenti CEP engines e non è vincolata ad una specifica logica di analisi degli eventi. Il prototipo da noi realizzato è stato validato in un realistico scenario di attacco Man-in-the-Middle.

3) Consideriamo i contesti mobili, che stanno affrontando una rapida diffusione di nuove minacce. Abbiamo trovato una nuova tipologia di attacchi, definita mobility-based NIDS evasion technique (tecnica di evasione di sistemi NIDS basata sulla mobilità), che permette ad un utente malintenzionato di sfruttare la mobilità dei nodi per compiere attacchi alla rete che passino inosservati. Tali attacchi non sono rilevabili nemmeno da NIDS allo stato dell'arte capaci di compiere analisi stateful. In particolare, questi attacchi prendono di mira gli eventi di roaming dei nodi mobili ed affliggono tutti i protocolli che supportano la mobilità in modo trasparente, come il Wi-Fi, il Mobile IPv4 e il Mobile IPv6.
Noi introduciamo una nuova strategia di difesa basata sullo scambio delle informazioni interne tra NIDS installati in reti differenti. Abbiamo progettato ed implementato un framework completo, basato su Snort, in grado di supportare i più diffusi protocolli per la mobilità. Il design modulare garantisce un' ottima flessibilità in termini di installazione e di future estensioni atte a supportare eventuali nuovi protocolli. L'analisi delle prestazioni effettuata in uno scenario realistico dimostra l'efficacia e l'efficienza della soluzione proposta, che rappresenta un chiaro avanzamento dello stato dell'arte.

The widespread diffusion of new network security threats and the large scale of today attacks pose new challenges for the protection of networks and systems. There is a strong need for computer security infrastructures that are able to identify network intrusions and new malware as soon as possible. In particular, we claim that distributed network monitoring approaches are best suitable to react to inherently distributed threats, such as self-replicating malware and intrusions leveraging widespread vulnerabilities. In this work, we present collaborative architectures suitable to large networked systems and mobile environments. There are three main contributions in this thesis. 1) We introduce a new architecture suitable to large organization networks which leverages hierarchical and peer-to-peer cooperation schemes among distributed Network Intrusion Detection Systems (NIDSs). Its main objective is to facilitate cooperation among different networks by reducing the amount of alerts and by guaranteeing privacy. These features allow a system administrator to focus on the few alerts that represent a real threat for the controlled infrastructure and to be informed about the most dangerous intrusion(s) even before his department is attacked. Moreover, they make it possible to restrict information sharing concerning sensible data through a configuration of the privacy policy. 2) We propose a novel distributed architecture for collaborative detection of cyber attacks and network intrusions based on Distributed Hash Tables (DHT) and Complex Event Processing (CEP). The main functional blocks of this architecture are the event sources, geographically distributed among different organizations, the collaboration layer, realized through a DHT, and the engine for CEP. We implement a prototype validated in a realistic scenario of Man-in-the-Middle attacks. The design of the architecture supports different CEP engines and is not tied to a specific event processing logic. 3) We consider the mobility contexts which are facing a rapid diffusion of emerging threats. We found a new type of attack, called mobility-based NIDS evasion technique, which allows a malicious user to exploit node mobility to perform stealth network attacks. They are undetectable even by the state-of-the-art NIDSs having stateful capabilities. The attack targets roaming events of Mobile Nodes and affects all protocols supporting seamless mobility, such as Wi-FI, Mobile IPv4 and Mobile IPv6. We introduce a new collaborative defense strategy based on the exchange of state information among NIDSs deployed in different networks. We designed and implemented a complete framework supporting the most popular protocols for node mobility that is based on Snort. The modular design guarantees great flexibility in terms of deployment and of future extension to possible new mobile protocols. The performance evaluation of the framework carried out in realistic scenarios demonstrate the efficacy and efficiency of the proposed solution that represent a clear advancement of the state of the art.