Multiple-Classifier Payload-based Anomaly Detectors
Cosa è la Payload Analysis?
Con il termine Payload Analysis si indica tipicamente l'analisi dell'application layer payload* finalizzata alla rilevazione di attacchi a livello applicativo. L'analisi si prefigge di discriminare i payloads in normali e malevoli. Ad esempio, nel caso del protocollo HTTP sono da considerarsi malevoli i payload che contangano degli attacchi o contro il web server o contro le web application che esso ospita. La rilevazione dei payload malevoli è basata sull'assunzione che questi presentino una distribuzione dei byte differente rispetto a quella presente nei payload normali.
*(ovvero la porzione di un pacchetto che contiene il protocollo applicativo es. HTTP, FTP, SMTP, etc.)
Cosa sono McPAD and HMMPayl?
McPAD and HMMPayl sono due network-based Intrusion Detection Systems che realizzano la payload analysis. Entrambi gli IDS operano in due fasi distinte. Durante la fase di training essi creano un modello che rappresenta la distribuzione dei bytes nei payload normali. Durante la fase di detection segnalano come anomaly quei payloads la cui distribuzione dei bytes si presenta differente, da un punto di vista statistico, rispetto a quella creata per i payload normali.
La rappresentazione della distribuzione dei bytes crata da McPAD si basa sulla 2-nu-gram analysis. Si tratta di fatto di un approssimazione della n-gram analysis (quest' ultima viene spesso utilizzata per risolvere problemi di classificazione dei testi). La classificazione dei payload in normali e anomali è basata sull'utilizzo di un insieme di Support Vector Machines, combinati secondo il paradigma dei Sistemi di Classificatori Multipli.
HMMPayl crea un modello del payload più accurato, in quanto implementa una n-gram analysis vera e propria. Così come McPAD, anche HMMPayl si avvale di un insieme di classificatori, che sono però in questo caso degli Hidden Markov Models. In consequenza della maggiore accuratezza nella modellazione del payload, nella fase di comparazione sperimentale HMMPayl è risultato essere generalmente più efficace di McPAD (ovvero ha generato sia meno falsi che mancati allarmi).
Sia McPAD che HMMPayl sono stati testati principalmente sul protocollo HTTP. Tuttavia, nessuno dei due sistemi sfrutta alcuna peculiarità del protocollo. Pertanto entrambi i sistemi possono essere in linea di principio utilizzati per analizzare qualsiasi protocollo (non binario) di livello applicativo.
