Recentemente la ricerca si è confrontata con una problematica non prevista nel design iniziale di Internet, e legata alla associazione di flussi di traffico alle rispettive applicazioni di rete che li hanno generati. Originariamente ciascuna applicazione Internet utilizzava protocolli noti e porti di livello trasporto che ne consentivano un’agevole identificazione. Negli ultimi anni non è più così. Le applicazioni con protocolli proprietari si sono moltiplicate a dismisura (es. Skype), l’associazione applicazione/porto è oggi volutamente falsata, il traffico in alcuni casi è cifrato, altre volte incapsulato in protocolli classici (ad es. HTTP). Questi sono solo alcuni dei problemi che rendono oggi difficile non solo comprendere come vengano impiegate le risorse di rete dagli utenti, ma anche come imporre politiche di sicurezza (es. firewalling), di qualità del servizio, di billing, e come opportunamente configurare e dimensionare nodi e link. La continua evoluzione, quindi, del traffico di rete ha portato la comunità scientifica a rivedere tecniche e metodologie di analisi del traffico che sembravano essere più assestate. Ad oggi, esistono sostanzialmente due principali approcci di ricerca alla classificazione del traffico, suddivisibili in due categorie: quelli basati sull’analisi del payload dei pacchetti e quelli basati invece su proprietà peculiari di ciascuna tipologia di traffico, fortemente legati alle tecniche di analisi statistica in parte già sviluppate in letteratura. Nonostante questi ultimi approcci siano molto promettenti (anche perché meno invasivi e più robusti rispetto alle tecniche basate sull’ispezione del payload), ad oggi non esiste una soluzione perfetta. Inoltre, vista l’importanza delle tecniche di classificazione e il loro continuo sviluppo è recentemente emerso il problema della verificabilità e comparazione dei differenti approcci proposti dai ricercatori del settore, dovuto anche alla difficoltà della comunità scientifica di disporre da un lato di dati di riferimento e dall’altro di implementazioni di tecniche comuni. In questa tesi viene affrontato il problema dello studio del traffico Internet, proponendo approcci originali (ad esempio nell’analisi del traffico al livello pacchetto), contribuendo allo studio di applicazioni di nuova generazione (es. Peer-to-Peer IPTV), ed investigandone l’applicazione in contesti legati al controllo ed alla sicurezza (quali l’individuazione di traffico malware ed in particolare attacchi di Denial of Service e Worm). Le conoscenze e le tecniche acquisite nel corso dell’attività di Dottorato hanno trovato applicazione nell’ambito della classificazione del traffico di rete, proponendo approcci originali ed un’architettura software, orientata all’impiego da parte della comunità scientifica, per la classificazione del traffico online e la multi-classificazione.
Understanding Internet Traffic: Can We Classify the Unknown? / Ventre, Giorgio; Pescape', Antonio; K., Claffy. - (2008).
Understanding Internet Traffic: Can We Classify the Unknown?
VENTRE, GIORGIO;PESCAPE', ANTONIO;
2008
Abstract
Recentemente la ricerca si è confrontata con una problematica non prevista nel design iniziale di Internet, e legata alla associazione di flussi di traffico alle rispettive applicazioni di rete che li hanno generati. Originariamente ciascuna applicazione Internet utilizzava protocolli noti e porti di livello trasporto che ne consentivano un’agevole identificazione. Negli ultimi anni non è più così. Le applicazioni con protocolli proprietari si sono moltiplicate a dismisura (es. Skype), l’associazione applicazione/porto è oggi volutamente falsata, il traffico in alcuni casi è cifrato, altre volte incapsulato in protocolli classici (ad es. HTTP). Questi sono solo alcuni dei problemi che rendono oggi difficile non solo comprendere come vengano impiegate le risorse di rete dagli utenti, ma anche come imporre politiche di sicurezza (es. firewalling), di qualità del servizio, di billing, e come opportunamente configurare e dimensionare nodi e link. La continua evoluzione, quindi, del traffico di rete ha portato la comunità scientifica a rivedere tecniche e metodologie di analisi del traffico che sembravano essere più assestate. Ad oggi, esistono sostanzialmente due principali approcci di ricerca alla classificazione del traffico, suddivisibili in due categorie: quelli basati sull’analisi del payload dei pacchetti e quelli basati invece su proprietà peculiari di ciascuna tipologia di traffico, fortemente legati alle tecniche di analisi statistica in parte già sviluppate in letteratura. Nonostante questi ultimi approcci siano molto promettenti (anche perché meno invasivi e più robusti rispetto alle tecniche basate sull’ispezione del payload), ad oggi non esiste una soluzione perfetta. Inoltre, vista l’importanza delle tecniche di classificazione e il loro continuo sviluppo è recentemente emerso il problema della verificabilità e comparazione dei differenti approcci proposti dai ricercatori del settore, dovuto anche alla difficoltà della comunità scientifica di disporre da un lato di dati di riferimento e dall’altro di implementazioni di tecniche comuni. In questa tesi viene affrontato il problema dello studio del traffico Internet, proponendo approcci originali (ad esempio nell’analisi del traffico al livello pacchetto), contribuendo allo studio di applicazioni di nuova generazione (es. Peer-to-Peer IPTV), ed investigandone l’applicazione in contesti legati al controllo ed alla sicurezza (quali l’individuazione di traffico malware ed in particolare attacchi di Denial of Service e Worm). Le conoscenze e le tecniche acquisite nel corso dell’attività di Dottorato hanno trovato applicazione nell’ambito della classificazione del traffico di rete, proponendo approcci originali ed un’architettura software, orientata all’impiego da parte della comunità scientifica, per la classificazione del traffico online e la multi-classificazione.I documenti in IRIS sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.
