Presentazione Tesi Laurea Magistrale

1. Università degli Studi di TriesteUniversità degli Studi di Trieste
Dipartimento di Ingegneria e ArchitetturaDipartimento di Ingegneria e Architettura
Corso di Laurea Magistrale in Ingegneria InformaticaCorso di Laurea Magistrale in Ingegneria Informatica
Compressione di insiemi di espressioniCompressione di insiemi di espressioni
regolari tramite programmazioneregolari tramite programmazione
genetica in sistemi di rilevazione dellegenetica in sistemi di rilevazione delle
intrusioniintrusioni
Tesi di Laurea in Reti di Calcolatori II
Laureando
Simone Cumar
Relatore
Alberto Bartoli
Correlatore
Eric Medvet

2. ➢
IntroduzioneIntroduzione
➢
Problema
➢
Approccio
➢
Fase Sperimentale

3. BackgroundBackground
➢
Network Intrusion Detection System (NIDS)
➢
Uno standard de facto: Snort
➢
Deep Packet Inspection
➢
Analisi Contenuto
➢
Ricerca Signature

4. Deep Packet InspectionDeep Packet Inspection
➢
Ricerca Signature
➢
Pattern Fissi
➢
Espressioni Regolari
➢
Pesante Computazionalmente
➢
Implementazione HW su FPGA

5. Espressioni RegolariEspressioni Regolari
➢
Descrivono pattern
➢
Esempio
➢
Regex: a*(b|c)
➢
Pattern: b, c, ab, ac, aab, aac, aaab...
➢
I motori di valutazione rappresentano
internamente una regex con NFA o DFA

6. ➢
Introduzione
➢
ProblemaProblema
➢
Approccio
➢
Fase Sperimentale

7. OsservazioniOsservazioni
➢
NIDS usano molte Regex
➢
Importante ridurre l'impatto sul sistema
➢
Difficile implementarle in HW

8. Soluzioni in LetteraturaSoluzioni in Letteratura
➢
Ottimizzare passaggio Regex NFA→
➢
Ottimizzare implementazione NFA su FPGA

9. Soluzioni in Letteratura (2)Soluzioni in Letteratura (2)
RE
Ottimizzazione FPGA
HW
Ottimizzazione NFA
RE NFA→
NFA FPGA→

10. Soluzione PropostaSoluzione Proposta
RE
Ottimizzazione NFA
HW
Compressione RE
Ottimizzazione FPGA
RE NFA→
NFA FPGA→

11. ObiettiviObiettivi
➢
Ridurre la lunghezza delle Regex
“all regular expressions are NOT created equal”
➢
Ridurre il numero di Regex
➢
Il tutto riconoscendo le stesse stringhe

12. ““Riconoscendo le stesseRiconoscendo le stesse
stringhe...”stringhe...”
➢
RE riconosce s RE estrae una sottostringa non↔
vuota di s
➢
Regex: a*(b|c)
➢
Estrazione: daaabde
•
a*beee
•
a*ceee
•
a*deee
•
a*(b|c|d)eee

13. Confrontare Insiemi diConfrontare Insiemi di
Espressioni RegolariEspressioni Regolari
➢
Con la definizione precedente:
stringhe riconosciute da una RE infinite→
➢
Confronto su insiemi finiti di stringhe
➢
Classificare stringhe
➢
Da riconoscere – Esempi Positivi
➢
Da NON riconoscere – Esempi Negativi

14. ➢
Introduzione
➢
Problema
➢
ApproccioApproccio
➢
Fase Sperimentale

15. Genetic ProgrammingGenetic Programming
➢
Paradigma di calcolo evoluzionistico per
l'ottimizzazione multi-obiettivo
➢
Le basi
➢
Individui
➢
Fitness
➢
Generazioni
➢
Operatori genetici – Crossover e Mutation

16. GP nel Nostro CasoGP nel Nostro Caso
➢
Individui
➢
Ogni individuo è un'espressione regolare
➢
Fitness
➢
Lunghezza
➢
Distanza di edit tra la stringa estratta e quella che si
desidera estrarre
➢
Popolazione Iniziale
➢
Mix Regex da ridurre e casuali

17. StrategiaStrategia
R
Genetic Programming
R'
Classificazione Esempi
Esempi Classificati
RE da Ridurre

18. Strategia (2)Strategia (2)
R
Genetic Programming
R'
Classificazione Esempi Generatore Esempi

19. Generazione EsempiGenerazione Esempi
➢
Esempi Negativi
➢
Generati casualmente
➢
Esempi Positivi
➢
Generati dalle espressioni regolari

20. ConsiderazioniConsiderazioni
➢
GP ricerca un individuo ottimo
➢
Il nostro obiettivo è un insieme di individui
Come trovare questo insieme?

21. Strategia di Set CoverageStrategia di Set Coverage
R'
Set Coverage
R''
Output GP
Insieme Ricoprente

22. Generazione di un nuovo insieme di esempi
Esempi Positivi Esempi Negativi

23. Selezioniamo RE con maggior accuracy
Selezioniamo RE

24. Eliminiamo esempi positivi riconosciuti
Positivi Riconosciuti

25. Selezioniamo RE con maggior accuracy sui restanti
Selezioniamo RE

26. Eliminiamo esempi positivi riconosciuti
Positivi Riconosciuti

27. Stop quando l'accuracy non può più aumentare
STOP
Accuracy NON può
più aumentare
Accuracy Aumenta

28. Strategia di Set Coverage (2)Strategia di Set Coverage (2)
R R'
Set Coverage
R''
Regex Iniziali Output GP
Insieme Ricoprente
Set Coverage

29. ➢
Introduzione
➢
Problema
➢
Approccio
➢
Fase SperimentaleFase Sperimentale

30. Fase SperimentaleFase Sperimentale
➢
Evoluzione
➢
7 insiemi di espressioni regolari da Snort – Ruleset
➢
4 evoluzioni per insieme
➢
Tempi esecuzione – da 4/5h fino a qualche giorno
➢
Testing
➢
Verifica su insieme di esempi differente

31. RisultatiRisultati
RulesetRuleset # RE prima# RE prima # RE dopo# RE dopo RatioRatio
chat.rules.pcre 14 8 0.57
policy.rules.pcre 10 4 0.4
pop3.rules.pcre 16 2 0.13
web-php.rules.pcre 16 2 0.13
ftp.rules.pcre 35 5 0.14
spyware-put.rules.pcre 460 67 0.15
web-activex.rules.pcre 474 1 < 0.01
Diminuzione media di circa l'80% sul numero
di espressioni regolari

32. Risultati (2)Risultati (2)
Ruleset Σ lunghezze prima Σ lunghezze dopo Ratio
chat.rules.pcre 307 82 0.27
policy.rules.pcre 260 134 0.52
pop3.rules.pcre 265 42 0.16
web-php.rules.pcre 400 127 0.32
ftp.rules.pcre 645 66 0.10
spyware-put.rules.pcre 16277 2421 0.15
web-activex.rules.pcre 59742 24 < 0.01
Diminuzione media di circa l'80% sulla
lunghezza aggregata delle RE

33. TestingTesting
Ruleset Accuracy FPR FNR
chat.rules.pcre 100.00% 0% 0%
policy.rules.pcre 97.14% 5.13% 0%
pop3.rules.pcre 99.82% 0.36% 0%
web-php.rules.pcre 99.29% 1.43% 0%
ftp.rules.pcre 98.00% 4.09% 0%
spyware-put.rules.pcre 99.17% 1.67% 0%
web-activex.rules.pcre 100.00% 0% 0%
Accuracy superiore al 97%
FNR sempre 0%

34. Sviluppi FuturiSviluppi Futuri
➢
Esempi
➢
Esempi più significativi
➢
Set Coverage
➢
Tener conto della lunghezza RE
➢
Fitness
➢
Mantenere la “biodiversità”

35. Grazie per l'attenzioneGrazie per l'attenzione