0689178001

Il Progetto H.A.P.S.

Storie_di_successo, tecnologie, Machine_Learning, Cyber_Security

Il Progetto H.A.P.S.

  • d.barbato
  • Nessun commento

NS12 ha partecipato al progetto di Cyber Security H.A.P.S., contribuendo al training degli algoritmi di Machine Learning e realizzando un prototipo di sistema Rule-Based per l’analisi in tempo reale degli Scenari di “attacco informatico”.

Che cosa è il progetto HAPS?

HOLISTIC ATTACK PREVENTION SYSTEM” è un progetto di Ricerca & Sviluppo finanziato dalla Regione Lazio, che ha realizzato una Soluzione di Cyber Security basata su algoritmi di Intelligenza Artificiale, per individuare in real-time gli attacchi informatici.

Le caratteristiche più importanti di HAPS sono:

  • La segnalazione degli attacchi in near real-rime, tenendo sotto controllo il flusso continuo degli eventi provenienti dai vari sistemi di monitoraggio delle infrastrutture Hw/Sw;
  • L’utilizzo di software open-source;
  • Il ricorso a tecniche di Machine Learning (ML) e Sistemi Esperti Rule-Based, attraverso la realizzazione di un modello “misto” di Artificial Intelligence (AI);
  • L’utilizzo di algoritmi di ML molto sofisticati, efficaci, e ancora ottimizzabili;
  • La capacità di fornire agli Esperti della Sicurezza funzioni specifiche per migliorare il training del sistema, creando trainingSet direttamente a partire dai log (reali) dei sistemi;
  • Un’architettura modulare ed espandibile, che permetterà l’aggiunta di nuovi componenti, per contrastare attacchi informatici, oramai sempre più sofisticati, attraverso lo studio delle correlazioni fra eventi che avvengono in momenti diversi, anche se segnalati da sistemi diversi.

In particolare, il sistema intercetta tutte le richieste di servizi (HTTP Requests) dirette verso i Web Server di una organizzazione, e individua le richieste che possono nascondere una serie di attacchi. Riportiamo i sei più significativi.

1. XSS

È un attacco di tipo injection, in cui script malevoli sono iniettati all’interno di applicazioni benigne e fidate. Questi attacchi occorrono quando un attaccante usa un’applicazione web per inviare codice malevolo, generalmente sotto forma di script browser side, a un altro utente. Le falle che permettono a questi attacchi di avere successo sono generalmente quelle che permettono all’utente di inviare dell’input all’applicazione, ad esempio tramite il campo di un form, senza validarlo o codificarlo. Il browser della vittima non ha modo di verificare l’affidabilità dello script e lo esegue, perché considera che la fonte sia la stessa dell’applicazione. A questo punto lo script ha i diritti di accesso a qualunque informazione sensibile memorizzata dal browser e usata con quel sito (cookies, tokens, …) e, ovviamente, può anche modificare l’HTML della pagina.

2. SQL Injection

È un tipo di attacco che consiste nell’iniezione di query SQL attraverso dati immessi in input dal client all’applicazione.

Un exploit di questo tipo effettuato con successo può leggere dati sensibili dal database, modificarne i dati (Insert/Update/Delete), eseguire operazioni con diritti da amministratore (come lo shutdown), recuperare contenuti relativi a un dato presente nel file system del DBMS file system e in alcuni casi eseguire comandi a livello di sistema operativo.

3. LDAP Injection

È un attacco che ha il fine di sfruttare applicazioni web per costruire statements LDAP basati sull’input dell’utente. Quando un’applicazione non ripulisce l’input dell’utente in maniera corretta è possibile modificare statements LDAP usando un proxy. Questo può risultare nell’esecuzione di comandi arbitrari come ad esempio garantire permessi di accesso a query non autorizzate e modificare il contenuto dell’albero LDAP. Questo tipo di exploit usa le stesse tecniche di SQLi.

4. XPath Injection

È simile a SQL Injection, ma occorre quando un’applicazione web fa uso di una query XPath costruita dall’utente e fornita tramite un campo di input per scorrere dati di tipo XML.

Inviando informazioni intenzionalmente deformate all’applicazione, un attaccante può scoprire come sono strutturati dei dati XML sul server, oppure accedere dati cui non avrebbe accesso normalmente. Inoltre, se dati di tipo XML vengono usati per l’autenticazione lato client, allora questi può accedere a informazioni con privilegi elevati (XML user file). Le query a dei file XML sono fatte scrivendo espressioni di tipo XPath, che permettono la localizzazione di informazioni all’interno dell’albero. Dal momento che non c’è controllo sull’accesso per query XPath, è possibile farsi ritornare l’intero documento.

5. Path Traversal

Conosciuto anche come directory traversal, ha il fine di accedere a file e directories salvate al di fuori della web root folder manipolando variabili che puntano a file con sequence tipo “dot-dot-slash (../)” oppure con path assoluti. È possibile accedere file arbitrari e directories salvate sul file system, come codice sorgente dell’applicazione, file di configurazione o file di sistema.

6. Command Exec

Ha come obiettivo l’esecuzione di comandi arbitrari sul sistema operativo del host attraverso un’applicazione vulnerabile sfruttandone i privilegi di accesso ed esecuzione. Attacchi di questo tipo sono possibili quando l’applicazione passa alla shell di sistema dati non sicuri forniti dall’utente (forms, cookies, HTTP headers etc.), dunque la validazione dell’input non è abbastanza accurata. Questo attacco differisce da Code Injection, perché permette all’attaccante di aggiungere il proprio codice per farlo eseguire all’applicazione, mentre Command Exec mira ad estendere le funzionalità di default dell’applicazione, la quale esegue comandi che agiscono sul sistema, senza la necessità di iniettare codice.

Composizione dell’ATI (Associazione Temporanea di Imprese) responsabile del Progetto

HAPS è frutto della collaborazione di tre Aziende, che hanno portato le proprie esperienze nel progetto:

  • Reply Whitehall (capofila del ATI), società del gruppo Reply che propone alla Pubblica Amministrazione soluzioni tecnologiche ad elevato contenuto d’innovazione. Ha costruito la soluzione HAPS sulla propria piattaforma RUDOLF. Si è avvalsa della collaborazione del CNR per individuare gli algoritmi di I.A. più efficienti;
  • Expleo, ha contribuito con la sua soluzione QMAP (Quality Monitoring Application) che esegue la analisi statica della qualità del codice, per individuare le potenziali vulnerabilità delle applicazioni Web che sono rilasciate sulla infrastruttura ICT sotto controllo;
  • NS12, ha contribuito allo sviluppo del software per acquisire e classificare i dataset di “training” del sistema di AI/ML e ha proposto l’estensione della architettura HAPS con due nuovi moduli: un “Network Intrusion Detection System” ed un modulo di “Analisi di Scenario“, basati sulla tecnologia dei “Sistemi Esperti” Rule-based. Ha anche contribuito al test finale della soluzione con la tecnica del Penetration Test (esecuzione di una serie di attacchi informatici verso una applicazione Pilota).
Come funziona HAPS

Lo schema seguente permette di seguire il flusso delle informazioni all’interno del sistema HAPS e comprendere come il funziona il sistema. I tre punti focali dell’architettura sono:

  • Data Sources: ne fanno parte tutti i connettori che alimentano il Repository del sistema (Data Lake) con una serie di flussi di informazioni continue (Streams) relative alla sicurezza, ricevuti da sistemi eterogenei. Tra i flussi, la misurazione dei parametri che definiscono lo stato delle infrastrutture e delle applicazioni.
  • Enterprise Big Data Hub: è la piattaforma su cui si appoggia il progetto, permette la archiviazione e la elaborazione degli streams di dati, è composto da un DataLake basato su tecnologie Big Data (Hadoop, DB NoSql, Graph DB), da moduli di trattamento dei dati in input (moduli di data extraction, data enrichment, analysis e indexing) e da un modulo di analisi predittiva (che impiega AI-Artificial Intelligence realizzata con tecniche di ML-Machine Learning). Questo modulo produce le segnalazioni dei potenziali attacchi rilevati (Alert).
  • Data Access: consente di visualizzare la sintesi delle attività di monitoraggio attraverso un cruscotto di Advanced Data Visualization, tra cui le notifiche di alert in caso di attacchi in corso o di particolari situazioni critiche rispetto alla sicurezza dei sistemi. Infine l’API System permetterà di integrare il progetto con altri sistemi.

Per avere informazioni più dettagliate sul funzionamento dei vari componenti, posizionare il mouse sopra al numero di un componente.

Ns12 H.A.P.S

Data Sources

Dal sistema QMAP arrivano flussi di informazioni con l’analisi della “qualità del codice” delle applicazioni (per indicare eventuali vulnerabilità a particolari tipi di attacchi) e da Nagios (che è una applicazione open source per il monitoraggio di computer e risorse di rete) sono raccolte le statistiche in tempo reale sull’utilizzo delle risorse informatiche (System Status). Si tratta di informazioni che sono utili per avere un quadro più completo dello scenario in cui avviene un attacco.

Data Sources

Gli attacchi informatici che HAPS intercetta, vengono portati attraverso HTTP Request indirizzate ai server delle Applicazioni monitorate, quindi l’input principale al sistema sono i log dei server Apache con l’elenco delle Request processate. I vari dati in input alimentano una “coda di eventi” (feed) realizzata con la piattaforma di stream processing Kafka (ancora di Apache)

Data Sources

Dal sistema QMAP arrivano flussi di informazioni con l’analisi della “qualità del codice” delle applicazioni (per indicare eventuali vulnerabilità a particolari tipi di attacchi) e da Nagios (che è una applicazione open source per il monitoraggio di computer e risorse di rete) sono raccolte le statistiche in tempo reale sull’utilizzo delle risorse informatiche (System Status). Si tratta di informazioni che sono utili per avere un quadro più completo dello scenario in cui avviene un attacco.

Estensioni alla Architettura HAPS proposta da NS12

SNORT è un software open source del tipo Network Intrusion Detection System (IDS), leader nel suo segmento, che intercetta le HTTP Requests dirette verso specifici server con moduli detti sniffers e ne esamina il contenuto in tempo quasi-reale con un motore di parsing molto efficiente per cercare combinazioni di dati (pattern) nel singolo pacchetto che possano indicare un intento malevolo della request stessa.

Enterprise “Big Data” Hub

Tutti le informazioni in input (streams) vengono archiviate nel DataLake, che può acquisire flussi di diversi formati (anche non rigorosamente strutturati) impiegando prevalentemente DB noSQL. La piattaforma HAPS dispone, per usi specifici, di Hadoop Distributed File System (in sigla HDFS, di Apache), MongoDB e SOLR (sempre di Apache).

Machine Learning - Predictive Analytics Engine

Gli Algoritmi di I.A. studiati per individuare i vari tipi di attacchi vengono applicati dal modulo di Machine Learning – Predictive Analytics sul flusso delle informazioni in input (dati delle Requests arricchiti). E’ realizzato con funzioni della piattaforma Spark (un altro progetto Apache), e le procedure sono state scritte con il linguaggio funzionale Scala.

Enterprise “Big Data” Hub

I flussi di dati ricevuti in input vengono decodificati, normalizzati o filtrati in modo da estrarre l’insieme delle caratteristiche significative delle Request che andranno in input agli algoritmi di Intelligenza Artificiale (I.A.). La scelta delle caratteristiche da considerare significative (dette features) è stata uno dei risultati importanti della fase di Analisi e Progettazione dei moduli di I.A..

Machine Learning - Predictive Analytics Engine

Il training degli Algoritmi di AI. viene effettuato con l’approccio “supervisionato”, cioè deve essere indicato al programma di Machine Learning come sono classificati i casi che si presentano in input (cioè quali sono “attacchi” e quali no), in modo che l’algoritmo “impari”, definendo da sé le “regole” con cui analizzerà altri casi simili. L’input agli algoritmi di ML viene dato con dataset che raccolgono evidenze di attacchi effettivi (specificando anche il tipo di attacco, fra i 6 previsti) e di “normale traffico di rete”: si tratta dei (Security) TrainingSet. Solo una parte dei TrainingSet viene usata per per il training iniziale, le parti rimanenti sono utilizzate per la verifica (cioè il perfezionamento della capacità dell’algoritmo di riconosce i vari casi) e la validazione degli algoritmi di AI (in pratica il “collaudo” delle regole di AI). Nel caso di HAPS, inizialmente si sono utilizzati dataset di training standard disponibili in internet (utilizzati spesso per fare benchmark di diversi soluzioni di AI), ma si è poi preferito realizzare dataset specifici, con casi di test realizzati sulle specifiche installazioni Hw/Sw dei sistemi monitorati. In particolare la Validazione finale del sistema è stata fatta con una attività di Penetration Test (attacchi reali portati su una copia del sistema Pilota utilizzato per i test) che ha permesso di aggiornare il training del sistema con la capacità di riconoscere anche le più recenti tecniche di attacco.

Machine Learning - Predictive Analytics Engine

L’interfaccia HAPS Web mette a disposizione dell’esperto di sicurezza una serie di funzioni che gli permettono di acquisire nuovi log, classificarli, aggiungerli ai training set già definiti oltre che modificare / cancellare log già acquisiti. Questo è un risultato importante di HAPS, perché permette agli “Esperti di Dominio” (gli Esperti della Sicurezza) di perfezionare il training dei moduli di AI/ML senza aver bisogno della supervisione degli esperti di AI/ML, che sono stati impiegati solo nella fase di progettazione del modello di ML.

Machine Learning - Predictive Analytics Engine

Modulo di “Analisi di Scenario”. Nasce con l’obiettivo di interpretare le segnalazioni generate dal modulo di AI/ML (analisi che sono intrinsecamente soggette ad percentuale di incertezza) sulla base di informazioni provenienti anche da altre fonti, per validare la situazione reale sulla base della maggior quantità di informazioni possibili correlando frqa loro anche eventi che avvengono in momenti diversi. Viene realizzato con un sistema esperto “a Regole” per essere rapidamente aggiornato, anche per riconoscere nuove minacce che non si sono ancora concretizzate (ad esempio zero-day-exploit).

Estensioni alla Architettura HAPS proposta da NS12

Infine i risultati della analisi predittiva producono delle segnalazioni di “potenziale allarme” dirette al team responsabile di tenere sotto controllo la sicurezza dei sistemi ICT, attraverso una Dashboard che presenta anche le informazioni provenienti da QMAP (parametri di qualità del codice che viene messo in produzione) e dal monitoraggio dell’utilizzo delle risorse informatiche (System Status prodotto da moduli Nagios).
Al termine del progetto, HAPS è stato in grado di individuare correttamente il 95,8% degli attacchi subiti, tuttavia, il 28,3% delle http request lecite vengono classificate come anomale (problema dei “falsi positivi”). La “precisione” di HAPS nell’individuare gli attacchi è maggiore rispetto ai benchmark di riferimento, ma il risultato conferma che quello dei “falsi positivi” (cioè i “falsi allarmi”) è il maggior problema presente in questa tipologia di sistemi di detection basati su modelli di apprendimento supervisionato, come si è già riscontrato in progetti simili.
Questo problema, ora che è stato messo a fuoco, potrà essere superato con un adeguato tuning del modello, e soprattutto con una scrupolosa politica di bonifica dei dati non idonei che producono solamente rumore all’interno del dataset e portano il modello a classificare in modo scorretto determinate http request.

Data Sources

1. Gli attacchi informatici che HAPS intercetta, vengono portati attraverso HTTP Request indirizzate ai server delle Applicazioni monitorate, quindi l’input principale al sistema sono i log dei server Apache con l’elenco delle Request processate. I vari dati in input alimentano una “coda di eventi” (feed) realizzata con la piattaforma di stream processing Kafka (ancora di Apache)

2. Dal sistema QMAP arrivano flussi di informazioni con l’analisi della “qualità del codice” delle applicazioni (per indicare eventuali vulnerabilità a particolari tipi di attacchi) e da Nagios (che è una applicazione open source per il monitoraggio di computer e risorse di rete) sono raccolte le statistiche in tempo reale sull’utilizzo delle risorse informatiche (System Status). Si tratta di informazioni che sono utili per avere un quadro più completo dello scenario in cui avviene un attacco.

Enterprise “Big Data” Hub

3. Tutti le informazioni in input (streams) vengono archiviate nel DataLake, che può acquisire flussi di diversi formati (anche non rigorosamente strutturati) impiegando prevalentemente DB noSQL. La piattaforma HAPS dispone, per usi specifici, di Hadoop Distributed File System (in sigla HDFS, di Apache), MongoDB e SOLR (sempre di Apache).

4. I flussi di dati ricevuti in input vengono decodificati, normalizzati o filtrati in modo da estrarre l’insieme delle caratteristiche significative delle Request che andranno in input agli algoritmi di Intelligenza Artificiale (I.A.). La scelta delle caratteristiche da considerare significative (dette features) è stata uno dei risultati importanti della fase di Analisi e Progettazione dei moduli di I.A..

Machine Learning - Predictive Analytics Engine

5. Gli Algoritmi di I.A. studiati per individuare i vari tipi di attacchi vengono applicati dal modulo di Machine Learning – Predictive Analytics sul flusso delle informazioni in input (dati delle Requests arricchiti). E’ realizzato con funzioni della piattaforma Spark (un altro progetto Apache), e le procedure sono state scritte con il linguaggio funzionale Scala.

6. Il training degli Algoritmi di AI. viene effettuato con l’approccio “supervisionato”, cioè deve essere indicato al programma di Machine Learning come sono classificati i casi che si presentano in input (cioè quali sono “attacchi” e quali no), in modo che l’algoritmo “impari”, definendo da sé le “regole” con cui analizzerà altri casi simili. L’input agli algoritmi di ML viene dato con dataset che raccolgono evidenze di attacchi effettivi (specificando anche il tipo di attacco, fra i 6 previsti) e di “normale traffico di rete”: si tratta dei (Security) TrainingSet. Solo una parte dei TrainingSet viene usata per per il training iniziale, le parti rimanenti sono utilizzate per la verifica (cioè il perfezionamento della capacità dell’algoritmo di riconosce i vari casi) e la validazione degli algoritmi di AI (in pratica il “collaudo” delle regole di AI). Nel caso di HAPS, inizialmente si sono utilizzati dataset di training standard disponibili in internet (utilizzati spesso per fare benchmark di diversi soluzioni di AI), ma si è poi preferito realizzare dataset specifici, con casi di test realizzati sulle specifiche installazioni Hw/Sw dei sistemi monitorati. In particolare la Validazione finale del sistema è stata fatta con una attività di Penetration Test (attacchi reali portati su una copia del sistema Pilota utilizzato per i test) che ha permesso di aggiornare il training del sistema con la capacità di riconoscere anche le più recenti tecniche di attacco.

7. L’interfaccia HAPS Web mette a disposizione dell’esperto di sicurezza una serie di funzioni che gli permettono di acquisire nuovi log, classificarli, aggiungerli ai training set già definiti oltre che modificare / cancellare log già acquisiti. Questo è un risultato importante di HAPS, perché permette agli “Esperti di Dominio” (gli Esperti della Sicurezza) di perfezionare il training dei moduli di AI/ML senza aver bisogno della supervisione degli esperti di AI/ML, che sono stati impiegati solo nella fase di progettazione del modello di ML.

Data Access

8. Infine i risultati della analisi predittiva producono delle segnalazioni di “potenziale allarme” dirette al team responsabile di tenere sotto controllo la sicurezza dei sistemi ICT, attraverso una Dashboard che presenta anche le informazioni provenienti da QMAP (parametri di qualità del codice che viene messo in produzione) e dal monitoraggio dell’utilizzo delle risorse informatiche (System Status prodotto da moduli Nagios).

Al termine del progetto, HAPS è stato in grado di individuare correttamente il 95,8% degli attacchi subiti, tuttavia, il 28,3% delle http request lecite vengono classificate come anomale (problema dei “falsi positivi”). La “precisione” di HAPS nell’individuare gli attacchi è maggiore rispetto ai benchmark di riferimento, ma il risultato conferma che quello dei “falsi positivi” (cioè i “falsi allarmi”) è il maggior problema presente in questa tipologia di sistemi di detection basati su modelli di apprendimento supervisionato, come si è già riscontrato in progetti simili.

Questo problema, ora che è stato messo a fuoco, potrà essere superato con un adeguato tuning del modello, e soprattutto con una scrupolosa politica di bonifica dei dati non idonei che producono solamente rumore all’interno del dataset e portano il modello a classificare in modo scorretto determinate http request.

Estensioni alla Architettura HAPS proposta da NS12

9. SNORT è un software open source del tipo Network Intrusion Detection System (IDS), leader nel suo segmento, che intercetta le HTTP Requests dirette verso specifici server con moduli detti sniffers e ne esamina il contenuto in tempo quasi-reale con un motore di parsing molto efficiente per cercare combinazioni di dati (pattern) nel singolo pacchetto che possano indicare un intento malevolo della request stessa.

10. Modulo di “Analisi di Scenario”. Nasce con l’obiettivo di interpretare le segnalazioni generate dal modulo di AI/ML (analisi che sono intrinsecamente soggette ad percentuale di incertezza) sulla base di informazioni provenienti anche da altre fonti, per validare la situazione reale sulla base della maggior quantità di informazioni possibili correlando frqa loro anche eventi che avvengono in momenti diversi. Viene realizzato con un sistema esperto “a Regole” per essere rapidamente aggiornato, anche per riconoscere nuove minacce che non si sono ancora concretizzate (ad esempio zero-day-exploit).

Penetration Test e Architettura di esercizio di HAPS

L’efficacia del sistema HAPS così realizzato, è stata verificata in condizioni di esercizio quasi-reali, mettendo sotto monitoraggio di sicurezza una applicazione Pilota messa a disposizione da una Amministrazione. Dopo l’individuazione dell’Amministrazione e del relativo Progetto Pilota per la sperimentazione di HAPS (Applicazione VIR), si è passati alla clonazione dell’ambiente di collaudo del Pilota in un ambiente messo a disposizione dalla Amministrazione stessa (VIR-HAPS), isolato rispetto ai restanti sistemi, al fine di effettuare in sicurezza test di attacchi informatici. Tutta la soluzione HAPS (HAPS Web + QMAP + Altri tool) è stata invece consolidata in un ambiente Cloud Amazon (AWS) e messa in comunicazione con VIR-HAPS attraverso un canale internet dedicato. Attraverso questo canale sono stati inviati alla installazione in Cloud di HAPS gli streams di dati prodotti dalla applicazione Pilota, e sulla base dell’esame di questi dati state rilevati in tempo reale gli attacchi portati alla Applicazione.

Per portare attacchi “controllati” alla Applicazione, si è utilizzata la tecnica del Penetration Test, che prevede l’impiego di un ethical Hacker per portare effettivi attacchi al sistema target. Il Penetration Test (PT), che è stato organizzato da NS12, si è rivelati utilissimo per verificare il comportamento di HAPS in condizioni di esercizio “reali” e per perfezionare il suo training.

Per il training dei moduli di AI-ML di HAPS, inizialmente sono stati utilizzati standard training set disponibili in internet (utilizzati spesso per fare benchmark di diversi soluzioni di AI), ma si è poi preferito realizzare dataset specifici, con casi di test realizzati sulle specifiche installazioni Hw/Sw dei sistemi monitorati. Infatti i training set di tipo standard (realizzati diversi anni fa) non sono stati sufficienti per preparare HAPS a riconoscere gli attacchi che oggi possono essere portati da un Hacker, e in diversi casi, HAPS non è stato in grado di rilevare gli attacchi portati durante il Penetration Test.

Allora, a seguito del PT, sono stati analizzati i log di sistema con le “tracce” degli attacchi effettuati, cercando i riscontri dei tentativi di intrusione, che sono diventati nuovi casi di test classificati. Quindi i log sono stati utilizzati per una ulteriore attività di training supervisionato del sistema di ML. I log sono stati classificati in base al tipo di attacco portato, sono stati divisi in due gruppi (dataset di training e dataset di verifica) e sono stati utilizzati per migliorare significativamente la precisione di HAPS nel riconoscere i tipi di attacchi portati nel “Penetration Test”, portando infine ad un sistema con una ottima capacità di riconoscere gli attacchi informatici.

Risultati del progetto

Al termine del progetto, HAPS è stato in grado di individuare correttamente il 95,8% degli attacchi subiti, che è una “precisione” nell’individuare gli attacchi maggiore rispetto ai benchmark di riferimento, tuttavia il 28,3% delle http request lecite vengono ancora classificate come anomale (problema dei “falsi positivi” ovvero dei “falsi allarmi”). In particolare, HAPS ha più difficoltà ad identificare correttamente i veri attacchi del tipo LDAP Injection, che sono da soli responsabili di più di un terzo del “falsi allarmi”.

Il risultato di HAPS conferma che quello dei “falsi positivi” è il maggior problema presente in questa tipologia di sistemi di detection basati su modelli di apprendimento supervisionato, come si è già riscontrato in progetti simili.

Questo problema, ora che è stato messo a fuoco, potrà essere superato con un adeguato tuning del modello, e soprattutto con una scrupolosa politica di bonifica dei dati non idonei che producono solamente rumore all’interno del dataset e portano il modello a classificare in modo scorretto alcuni tipi di http request.

In ogni caso il progetto ha realizzato un prodotto che ha una buona architettura, estensibile, e che risponde ad una precisa esigenza del mercato ICT, sempre più interessato a strumenti che rappresentino una protezione globale dagli attacchi informatici. Inoltre, il servizio di HAPS può essere erogato lasciando il sistema in cloud, con un minimo impatto sui sistemi del Cliente.

La architettura “mista” (ML, “sistemi esperti basati su regole” e un modulo di “Analisi di Scenario” che fornisce una analisi complessiva della situazione) permette poi al sistema di essere molto versatile nel rispondere alle potenziali minacce portate alla ICT Security e realizza il modello dei sistemi SIEM (Security Information and Event Management), modello riconosciuto in letteratura e richiesto anche dai Clienti che vogliono migliorare il controllo sulla sicurezza dei loro sistemi con un approccio “olistico”, cioè che considera il funzionamento complessivo di un sistema come qualcosa in più che la semplice somma delle prestazioni delle singole parti.

Continua...

Per approfondire i contributi specifici di NS12 al modello del sistema HAPS, e comprendere la funzione e l’importanza del Modulo di “Analisi di Scenario”, rimandiamo seconda parte di questo articolo.

Utilizziamo i cookie per essere sicuri che tu possa avere la migliore esperienza sul nostro sito. Se continui ad utilizzare questo sito noi assumiamo che tu ne sia felice.