Sicurezza delle architetture orientate ai servizi
A.A. 2024/2025
Obiettivi formativi
L'obiettivo dell'insegnamento è di illustrare le tecniche base per la confidenzialità ed integrità dei dati semi-strutturati e non strutturati.
Su queste basi, l'insegnamento ha come obiettivo quello di approfondire la natura e il ruolo degli standard per l'autenticazione, la gestione delle identità e l'harvesting dei profili utente nei servizi Web e di illustrare i principali linguaggi di autorizzazione per l'accesso alle risorse di rete e di servizi Web, nonché i metodi per l'acquisizione e la rappresentazione dei metadati di assurance, arrivando a conoscere approfonditamente le tecniche e gli strumenti per l'assurance e la certificazione di sicurezza dei servizi.
Su queste basi, l'insegnamento ha come obiettivo quello di approfondire la natura e il ruolo degli standard per l'autenticazione, la gestione delle identità e l'harvesting dei profili utente nei servizi Web e di illustrare i principali linguaggi di autorizzazione per l'accesso alle risorse di rete e di servizi Web, nonché i metodi per l'acquisizione e la rappresentazione dei metadati di assurance, arrivando a conoscere approfonditamente le tecniche e gli strumenti per l'assurance e la certificazione di sicurezza dei servizi.
Risultati apprendimento attesi
Al termine dell'insegnamento, lo studente dovrà essere in grado di: gestire i controlli di confidenzialità, integrità, autenticazione sull'interfaccia di servizi di rete; gestire le politiche di controllo dell'accesso e sicurezza dei servizi web; trattare le problematiche relative all'assurance e certificazione dei servizi web.
Periodo: Secondo semestre
Modalità di valutazione: Esame
Giudizio di valutazione: voto verbalizzato in trentesimi
Corso singolo
Questo insegnamento può essere seguito come corso singolo.
Programma e organizzazione didattica
Edizione unica
Responsabile
Periodo
Secondo semestre
Programma
L'insegnamento verte sui seguenti argomenti:
Introduzione
- Modelli di Apprendimento Computazionale (Machine Learning - ML)
- Addestramento centralizzato e federato
- Dispositivi e Sistemi di Intelligenza Artificiale
Parte I: Tecniche di Intelligenza Artificiale per la Sicurezza
- Obiettivi dei modelli ML e Proprieta' di Sicurezza
- Rappresentazione dei dati di attacco
- Modelli di ML per l'Idenfificazione e gestione di attacchi: classificazione, predizione, individuazione di anomalie
- Uso dei modelli generativi avversariali - GAN
- Gestione degli incidenti e Large Language Model
Parte II: Sicurezza dei Sistemi Intelligenti
- Sicurezza e privatezza dei modelli ML
- Tassonomia degli Attacchi
- Sicurezza delle pipeline di AI e orchestrazioni sicure
- Metodologie di modellazione delle minacce: STRIDE-AI
Parte III: Test e Assurance dei Sistemi intelligenti
- Concetti generali di assurance e statistical testing
- Test e verifica dei modelli ML
- Valutazione del rischio
- Certificazione dei modelli ML
Introduzione
- Modelli di Apprendimento Computazionale (Machine Learning - ML)
- Addestramento centralizzato e federato
- Dispositivi e Sistemi di Intelligenza Artificiale
Parte I: Tecniche di Intelligenza Artificiale per la Sicurezza
- Obiettivi dei modelli ML e Proprieta' di Sicurezza
- Rappresentazione dei dati di attacco
- Modelli di ML per l'Idenfificazione e gestione di attacchi: classificazione, predizione, individuazione di anomalie
- Uso dei modelli generativi avversariali - GAN
- Gestione degli incidenti e Large Language Model
Parte II: Sicurezza dei Sistemi Intelligenti
- Sicurezza e privatezza dei modelli ML
- Tassonomia degli Attacchi
- Sicurezza delle pipeline di AI e orchestrazioni sicure
- Metodologie di modellazione delle minacce: STRIDE-AI
Parte III: Test e Assurance dei Sistemi intelligenti
- Concetti generali di assurance e statistical testing
- Test e verifica dei modelli ML
- Valutazione del rischio
- Certificazione dei modelli ML
Prerequisiti
Elementi base di sicurezza e privatezza dei sistemi; nozioni di base di Intelligenza Artificiale.
Metodi didattici
La parte di teoria viene svolta mediante lezioni frontali. Durante l'insegnamento saranno organizzate delle attività pratiche su programmazione e servizi.
Materiale di riferimento
Sito web con slide del corso e letture consigliate:
https://myariel.unimi.it/course/view.php?id=2394
Slide e appunti dell'insegnamento.
Per consultazione: C.A. Ardagna, E. Damiani, N. El Ioini "Open Source Systems Security Certification," Springer, 2008.
https://myariel.unimi.it/course/view.php?id=2394
Slide e appunti dell'insegnamento.
Per consultazione: C.A. Ardagna, E. Damiani, N. El Ioini "Open Source Systems Security Certification," Springer, 2008.
Modalità di verifica dell’apprendimento e criteri di valutazione
L'esame consiste in una prova scritta e nella presentazione di un progetto.
La prova scritta, della durata di un'ora e mezza, verterà sugli argomenti trattati durante l'insegnamento. La prova consiste in domande teoriche ed esercizi pratici. Il progetto, da concordare con il Docente, consisterà nella preparazione di un semplice applicativo che implementi i protocolli di sicurezza studiati. il progetto può essere svolto in gruppi fino d un massimo di tre studenti.
Una volta superate la prova scritta e presentato il progetto, viene formulata la valutazione complessiva, espressa in trentesimi, tenendo conto dei seguenti parametri: grado di conoscenza degli argomenti, capacità di applicare le conoscenze alla risoluzione di un progetto concreto, qualità del progetto sviluppato, capacità di ragionamento critico, chiarezza espositiva e proprietà di linguaggio.
La prova scritta, della durata di un'ora e mezza, verterà sugli argomenti trattati durante l'insegnamento. La prova consiste in domande teoriche ed esercizi pratici. Il progetto, da concordare con il Docente, consisterà nella preparazione di un semplice applicativo che implementi i protocolli di sicurezza studiati. il progetto può essere svolto in gruppi fino d un massimo di tre studenti.
Una volta superate la prova scritta e presentato il progetto, viene formulata la valutazione complessiva, espressa in trentesimi, tenendo conto dei seguenti parametri: grado di conoscenza degli argomenti, capacità di applicare le conoscenze alla risoluzione di un progetto concreto, qualità del progetto sviluppato, capacità di ragionamento critico, chiarezza espositiva e proprietà di linguaggio.
INF/01 - INFORMATICA - CFU: 6
Lezioni: 48 ore
Docente:
Damiani Ernesto
Turni:
Turno
Docente:
Damiani ErnestoDocente/i
Ricevimento:
Solo su appuntamento: contattare il Dott. Fulvio Frati ([email protected])
ufficio presso il Dipartimento di Informatica - via Celoria 18, 20133 Milano