Clustering su grafo al fine di valutare la centralità di un dispositivo all'interno della rete aziendale

In parallelo allo sviluppo delle reti di calcolatori è cresciuta l'esigenza di proteggere tali reti da malware e intrusioni esterne che potrebbero comprometterne il funzionamento, minarne la sicurezza o causarne la perdita e/o diffusione di dati sensibili. In questa tesi viene discussa la metodologia sviluppata nel corso dello stage curriculare, e implementata all'interno del progetto ARAMIS, per la rilevazione di anomalie nel numero di connessioni effettuate e/o ricevute dai computer connessi all'interno della rete aziendale . L'analisi statistica che è stata realizzata per rilevare queste anomalie è cosi strutturata: vengono rappresentati i dispositivi che si sono connessi alla rete nel corso di una giornata e le connessioni tra essi avvenute tramite un grafo, viene calcolata la centralità di ogni nodo all'interno del grafo e infine grazie a delle tecniche di clustering vengono raggruppati i dispositivi in base alla loro centralità. Calcolando la centralità di un nodo è possibile stabilire quante connessioni il dispositivo da esso rappresentato ha effettuato e ricevuto e utilizzando il clustering è possibile determinare quali dispositivi, in particolar modo quali computer, hanno effettuato e/o ricevuto un numero elevato di connessioni in base al gruppo in cui vengono inseriti. Questa metodologia permette di identificare i possibili tentativi di port-scanning effettuati o ricevuti e, a differenze delle semplici statistiche descrittive che si possono calcolare analizzando le connessioni, permette di ottenere ad ogni passaggio del suo sviluppo dei risultati significativi e semplici da interpretare.