Si chiama Network Anomaly Detection lo strumento ideato e realizzato dal TIESSE per controllare il traffico in rete dei clienti e verificare se ci sono anomalie.
Si tratta di uno strumento di machine-learning, concepito dalla società di Ivrea specializzata in tecnologie di rete wireless in particolare router interamente italiani. “L’obiettivo è riconoscere le anomali del traffico di rete e individuare così la presenza di intrusioni o potenziali rischi per le reti aziendali”, ha detto Francesco Lucrezia, Ingegnere Software Ricerca & Sviluppo di TIESSE, con un PhD presso il Politecnico di Torino.
Conosci i tuoi dati
L’obiettivo per le aziende clienti, in particolare PMI, è quello di conoscere le caratteristiche tipiche del traffico di rete che producono normalmente. “Conoscere i dati aziendali e i flussi del traffico è diventato un must per tutte le imprese – ha detto Lucrezia – il nostro Network Anomaly Detection consente di individuare fatti anomali che riguardano il traffico e di prevenire così potenziali pericoli e attacchi esterni”.
Tutto funziona con un sistema di “allenamento” sui dati del cliente. “Nel giro di pochi giorni, settimane o mesi a seconda delle necessità applichiamo una fase di training al traffico del cliente – continua Lucrezia – l’obiettivo è creare una forma di normalità del traffico”.
In seguito, tramite una rete neurale, gli indici di anomalia vengono confrontati con le soglie prefissate di traffico. Il sistema, una volta allenato, permette di fare dei confronti e di individuare situazioni anomale.
In questo contesto, il compito del data scientist è di ricercare dei modelli sempre più ottimali e di “calibrare” i pesi del sistema.
La fase due
La fase due riguarda invece la notifica del sistema di ogni anomalia, considerato che ad esempio anche la saturazione di banda in download provocata da contenuti di entertainment rappresenta una anomalia in termini di maggior traffico. Ed è qui che entrano in gioco altri criteri per verificare il tipo di traffico e distinguere quello “buono” da quello “cattivo”.
Anche il tempo in questo contesto va gestito. “Per alcune aziende, 10mila connessioni nel cuore della notte possono rappresentare un’anomalia – aggiunge Lucrezia –Bisogna usare il tempo come una feature e individuare il traffico in base agli orari”.
Ad esempio, un ufficio postale e una tabaccheria hanno orari di traffico diversi. E’ per questo che vanno dati degli input specifici in base alle connessioni medie del cliente, definendo dei tetti massimi di connessioni da analizzare.
Le fasi del sistema sono in primo luogo la detection dell’anomalia, in secondo luogo quando necessario la Notifica e infine il Feedback control loop, in cui si interviene per bloccare un possibile attacco.
Di fatto, questa soluzione di TIESSE è indicata per tutte le imprese, grandi e piccole, che gestiscono flussi di dati e in particolare per il monitoraggio di applicativi mission-critical. “Nel 2021 avere conoscenza dei propri dati aziendali è fondamentale”, chiude Lucrezia.