Studio e realizzazione di un sistema per il rilevamento delle intrusioni in ambiente Linux basato sul paradigma anomaly based

Un sistema per l'individuazione delle intrusioni informatiche (Intrusion Detection System, IDS) e` un sistema software che cerca di identificare e isolare quasi in tempo reale le intrusioni in un sistema informatico. Una classificazione piuttosto generale distingue tra sistemi locali, o basati su host (Host Intrusion Detection Systems, HIDS), e sistemi di rete, o centrati sulla rete (Network Intrusion Detection Systems, NIDS). I sistemi di tipo HIDS controllano le operazioni svolte dal sistema operativo di un computer per individuare eventuali tentativi di intrusione, mentre i sistemi di tipo NIDS controllano il traffico di rete. In entrambi i casi, e` possibile una classificazione piu` fine in base al meccanismo adottato per riconoscere eventuali attivita` illecite. In particolare, i sistemi cosiddetti "signature-based" identificano gli abusi basandosi su un modello di comportamento abusivo, mentre quelli "anomaly-based" segnalano deviazioni dal comportamento normale del sistema. L'identificazione invece dei comportamenti anomali si basa sulla descrizione di quelli normali, piuttosto che sulla descrizione degli attacchi, e su una misura di scostamento da essi. Lo scopo di questo progetto è di realizzare un prototipo di HIDS basato su anomalie ed operante su piattafome Linux. Il prototipo verra` sviluppato usando strumenti open source e verra` reso disponibile alla comunita` scientifica risultando cosi' il primo HIDS anomaly based operante sulle correnti versioni di Linux. Difatti, attualmente l'unico strumento di questo genere disponibile nel mondo open source e` Process Homeostasis (PH), scaricabile all'URL http://www.scs.carleton.ca/~soma/pH/index.html, ormai considerato obsoleto, e' anche limitato ad operare con versioni motlot datate del sistema Linux.