Riassunto analitico
Le botnet costituiscono una seria minaccia alla sicurezza delle infrastrutture online e delle organizzazioni in rete. Queste reti costituite da dispositivi infetti sono usate per svolgere vari attacchi informatici. Per riconoscere e per segnalare tali violazioni, si impiegano gli Intrusion Detection System. Questi sistemi catturano ed esaminano le comunicazioni degli host e i processi delle workstation con l'obiettivo di rilevare anomalie e intrusioni. Una buona parte dei recenti sistemi di rilevamento utilizza algoritmi di Machine Learning per analizzare e classificare i diversi eventi osservati. Gli algoritmi di apprendimento automatico consentono di migliorare le performance predittive e raggiungere risultati significativi. Malgrado i vantaggi, queste tecniche sono vulnerabili ad adversarial attack basati su manipolazioni dei record che eludono il rilevamento. Perturbando i campioni da sottoporre ai detector, è possibile evadere facilmente i modelli. Questa tipologia di attacchi evidenzia la necessità di rendere i sistemi più resilienti e più robusti. Finora, in letteratura, nessuna delle strategie usate come contromisure riesce a rispondere adeguatamente agli attacchi avversari. L'idea del lavoro di tesi è generare sample sintetici di traffico tramite i quali potenziare le prestazioni di Intrusion Detection System basati su Machine Learning. In particolare, si definisce un metodo per rafforzare i detector soggetti ad adversarial attack. La metodologia prevede di rappresentare il traffico di rete tramite grafi. Questa rappresentazione consente di esaminare le relazioni tra tutti i flussi di rete. In seguito, le caratteristiche dei grafi sono codificate considerando le corrispondenti strutture topologiche tramite un'architettura autoencoder basata su Graph Neural Network. L'allenamento dell'autoencoder sfrutta un modulo avversario per rendere più robusti i codici latenti nello spazio trasformato. A partire da queste variabili, vengono allenati un classificatore e un regressore per ricostruire i dati. I campioni generati mediante la ricostruzione riportano alcune alterazioni negli attributi che consentono di consolidare i detector. I campioni originali con i record ricostruiti sono successivamente utilizzati per riaddestrare i rilevatori e renderli più resilienti. Il metodo migliora performance e resistenza di sistemi soggetti ad attacchi avversari. La metodologia proposta è valutata eseguendo un'estesa fase sperimentale su dataset pubblici che contengono diverse famiglie di bot e numerose tipologie di attacco. Questa ricerca fornisce importanti risultati rivelando un incremento delle performance dei sistemi in assenza e in presenza di attacchi cioè in ogni situazione.
|
