Anomaly detection per il rilevamento di attacchi DDoS su reti aziendali = Anomaly detection for DDoS attacks on corporate networks

Gli attacchi di denial of service distribuiti (DDoS) sono uno dei maggiori problemi di sicurezza delle reti. Hanno lo scopo di impedire ad utenti legittimi l'accesso ad alcuni servizi o degradare loro le prestazioni. Contestualmente, gli strumenti a disposizione di chi deve mitigare questo tipo di attacchi evolvono con l'affinamento delle tecniche di riconoscimento del traffico e con essi la capacità di monitorare le reti aziendali esposte su Internet. L'applicazione di tecniche di anomaly detection e l'utilizzo di software open source per il machine learning ci ha permesso di sviluppare un software in grado di individuare anomalie nel traffico di rete, una valida alternativa rispetto alle soluzioni proprietarie di molti vendor, delle quali non vengono rivelati i dettagli sul funzionamento e con minore richiesta di risorse sui router rispetto ai classici sistemi di intrusion detection signature based. Inoltre l'obiettivo delle piccole e medie imprese di avere sempre maggiore padronanza della propria infrastruttura IT si scontra continuamente con l'aumentare del numero e con la continua evoluzione degli applicativi, della tecnologia e dell'espansione complessiva della rete stessa, una soluzione come quella da noi ipotizzata ha lo scopo di aiutarle nel rilevare le irregolarità. In questa tesi proveremo a identificare anomalie riconducibili ad attacchi DDoS, in un contesto di una rete aziendale con più sedi, usando un riconoscimento delle anomalie effettuato tramite una rete neurale allenata su dati provenienti dai router di più sedi aziendali e una successiva mitigazione degli attacchi tramite un agent sugli stessi. Approfondiremo l'uso di una particolare tipologia di rete neurale chiamata autoencoder, che si sta diffondendo rapidamente sia in ambito accademico che industriale nell'ambito dell'anomaly detection. Esporremo il nostro contributo prendendo come caso d'uso dati raccolti da una sede distaccata della società Tiesse s.p.a., produttrice di router e altri dispositivi di rete, coinvolta nello studio e nella realizzazione di questo progetto.