Você está na página 1de 72

Mthodes Dcisionnelles

pour la Scurit
Mohamed Heny SELMI
Technologue en Systmes Intelligents et Dcisionnels
Dtection d'intrusion dans la scurit
informatique
les trois objectifs principaux de la scurit informatique :
La Confidentialit
LIntgrit
La Disponibilit

Mohamed Heny SELMI Mthodes Dcisionnelles pour la


Scurit
Dtection d'intrusion dans la scurit
informatique
les trois objectifs principaux de la scurit informatique :
La Confidentialit
LIntgrit
La Disponibilit
Une intrusion est un ensemble dactions
visant compromettre ces trois
buts essentiels de la scurit.

Mohamed Heny SELMI Mthodes Dcisionnelles pour la


Scurit
Dtection d'intrusion dans la scurit
informatique
les trois objectifs principaux de la scurit informatique :
La Confidentialit
LIntgrit
La Disponibilit
Une intrusion est un ensemble dactions
visant compromettre ces trois buts essentiels de la scurit.
Malheureusement, les processus de prvention des intrus
semblent toujours insuffisantes

Mohamed Heny SELMI Mthodes Dcisionnelles pour la


Scurit
Dtection d'intrusion dans la scurit
informatique
les trois objectifs principaux de la scurit informatique :
La Confidentialit
LIntgrit
La Disponibilit
Une intrusion est un ensemble dactions
visant compromettre ces trois buts essentiels de la scurit.
Malheureusement, les processus de prvention des intrus
semblent toujours insuffisantes
Les Techniques de dtection des intrusions prsentent une
Solution !
Mohamed Heny SELMI Mthodes Dcisionnelles pour la
Scurit
Dtection des intrusions
La dtection d'intrusion est le processus de suivi et d'analyse des vnements se produisant
dans un systme informatique afin de dtecter des signes de problmes de scurit.

Une hypothse primordiale : les activits de nimporte quel utilisateur, ainsi que des programmes
en excution peuvent tre tous contrls et modliss.

Les lments clefs :


i. Ressources devront tre protges.
ii. Modle ou profil du comportement normal ou lgitime sur les ressources.
iii. Mthodes efficaces qui permettent de comparer les activits en temps rel avec les modles prdfinis, et fournir des rapports sur
les activits probablement intrusives.

Mohamed Heny SELMI Mthodes Dcisionnelles pour la


Scurit
Deux modes de dtection dintrusion

Misuse Detection Anomaly detection

Mohamed Heny SELMI Mthodes Dcisionnelles pour la


Scurit
Deux modes de dtection dintrusion

Misuse Detection Anomaly detection


Utiliser des modles d'attaques bien
connues pour identifier les intrusions
Sauvegarder un modle spcifique reprsentant les
intrusions.
Surveiller et vrifier les squences d'vnements
actuels et effectuer le pattern matching .
Signaler les vnements apparis comme des
intrusions.
Possibilit dutiliser des modles de reprsentation:
rgles d'experts, Rseaux de Ptri , et des diagrammes
de transition d'tat.

Mohamed Heny SELMI Mthodes Dcisionnelles pour la


Scurit
Deux modes de dtection dintrusion

Misuse Detection Anomaly detection


Evaluer tout nouvel incident selon
son cart partir dun modle
gnral reprsentant toutes les
utilisations normales.
Etablir le profil typique du comportement normal.
Comparer les nouvelles observations avec le modle
global tabli.
Utiliser des indicateurs statistiques pour valuer les
profils de comportements.

Mohamed Heny SELMI Mthodes Dcisionnelles pour la


Scurit
Deux modes de dtection dintrusion

Misuse Detection Anomaly detection


Utiliser des modles d'attaques bien Evaluer tout nouvel incident selon
connues pour identifier les intrusions son cart partir dun modle
Sauvegarder un modle spcifique reprsentant les
gnral reprsentant toutes les
intrusions. utilisations normales.
Surveiller et vrifier les squences d'vnements
actuels et effectuer le pattern matching .
Etablir le profil typique du comportement normal.
Signaler les vnements apparis comme des Comparer les nouvelles observations avec le modle
intrusions. global tabli.
Possibilit dutiliser des modles de reprsentation: Utiliser des indicateurs statistiques pour valuer les
rgles d'experts, Rseaux de Ptri , et des diagrammes profils de comportements.
de transition d'tat.

Mohamed Heny SELMI Mthodes Dcisionnelles pour la


Scurit
Misuse Detection

On ne peut pas dtecter les nouvelles formes dintrusions possibles


Intrusion pattern Pattern Matching

Mesure dactivits
Mohamed Heny SELMI Mthodes Dcisionnelles pour la
Scurit
Anomaly Detection
100

90
90
80

70

60
Mesure dactivits 50 Intrusion probable
40 45 45 43 42
30
28
20
20 20
10

0
CPU Taille du processus
profil normal profil atypique

Mohamed Heny SELMI Mthodes Dcisionnelles pour la


Scurit
Classification des Intrusions
On peut classifier les intrusions en plusieurs catgories :
1. Type dAttaques : DoS, Worm ou Trojan Horses, compromis (R2L ou
U2R), etc.
2. Nombre de connexions rseaux impliques lors dune attaque :
single connection cyber attacks
multiple connections cyber attacks
3. Sources dattaques
multiple vs. Single
inside vs. outside
4. Environnement : rseau, hte, P2P, rseaux sans fil.
5. Automatisation : manuelles, attaques automatises, semi-automatis
Mohamed Heny SELMI Mthodes Dcisionnelles pour la
Scurit
Exemples dIntrusions

R2L : Accs non autoris partir dune machine distante

Trojan horse /worm

U2R : acquisition des privilges dun super utilisateur

Probing

Attaque par dni de service Address spoofing


Mohamed Heny SELMI Mthodes Dcisionnelles pour la
Scurit
Nombre de connexions rseaux impliques
lors dune attaque
Gnralement, il existe deux types dattaques des rseaux informatiques :
1. Attaques qui impliquent des connexions rseaux multiples. (Multiple connection
computer attack)
2. Attaques qui impliquent une connexion rseau unique.

lment
Attaquant Machine
Vulnrable

Mohamed Heny SELMI Mthodes Dcisionnelles pour la


Scurit
Nombre de connexions rseaux impliques
lors dune attaque
Gnralement, il existe deux types dattaques des rseaux informatiques :
1. Attaques qui impliquent des connexions rseaux multiples.
2. Attaques qui impliquent une connexion rseau unique. (Single connection attack)

Machine
Victime

lment
Attaquant

Mohamed Heny SELMI Mthodes Dcisionnelles pour la


Scurit
Sources dattaques
une attaque peut tre dclenche partir dun emplacement unique ou de plusieurs diffrents
endroits.
une attaque peut cibler une unique ou plusieurs destinations.
exigence danalyser les donnes rseau partir de plusieurs sites afin de dtecter des ventuelles
attaques distribues : attaque unique ou attaqu distribue.

Mohamed Heny SELMI Mthodes Dcisionnelles pour la


Scurit
Environnement des attaques informatiques
Les diffrents types dattaques peuvent tre classifis selon lenvironnement
o elles taient produites :
Intrusions des rseaux informatiques.
Intrusions sur des machines htes.
Intrusion dans un environnement P2P :
o Ordinateurs connects agissent comme pairs sur l'Internet , rien d'autre que les clients
o Ils sont dconnects du Systme DNS partir du moment o ils nont pas dadresse IP
fixe, do la difficult de retrouver ou localiser la source dattaque.
Intrusions dans les rseaux sans fil :
o La couche physique est moins scurise que dans les rseaux informatiques fixes.
o Les nuds mobiles ne disposent pas des infrastructures fixes.
o Il n'y a pas de points de concentration de trafic o les paquets peuvent tre surveills.

Mohamed Heny SELMI Mthodes Dcisionnelles pour la


Scurit
Automatisation des attaques informatiques :
script kiddies
Rpandu la disponibilit d'outils automatiss , souvent utilis par les
script kiddies
ce sont des outils capables de sonder et balayer une grande partie
de lInternet dans un court laps de temps :
Gnralement les attaques automatiques utilisent ces outils.
Semi-automatique
Manuelle IDS SOC
des solutions proposes : IPS NOC
SIEM Firewall
Mohamed Heny SELMI Mthodes Dcisionnelles pour la
Scurit
IPS Intrusion Prevention System
un outil software en scurit des systmes d'information, qui permet de
prendre des mesures afin de diminuer les impacts d'une attaque.
il dtecte un balayage automatis, l'IPS peut bloquer les ports
automatiquement.
Ils bloquent tout ce qui parait infectieux leurs yeux, mais n'tant pas
fiable 100 % ils peuvent donc bloquer malencontreusement des
applications ou des trafics lgitimes.
Ils laissent parfois passer certaines attaques sans les reprer, et
permettent donc aux pirates d'attaquer un PC.
Ils sont peu discrets et peuvent tre dcouverts lors de l'attaque d'un
pirate qui une fois qu'il aura dcouvert l'IPS s'empressera de trouver une
faille dans ce dernier pour le dtourner et arriver son but.

Mohamed Heny SELMI Mthodes Dcisionnelles pour la


Scurit
IDS Intrusion Detection System
un mcanisme destin reprer des activits anormales ou suspectes sur la cible
analyse (un rseau ou un hte).
Il permet ainsi d'avoir une connaissance sur les tentatives russies comme choues
des intrusions.
une combinaison software-hardware qui tente deffectuer une dtection
dintrusions :
i. collecter la signature des attaques sauvegardes.
ii. crer une base de signatures connues.
iii. extraire les nouveaux descripteurs.
iv. comparer les nouvelles activits avec les descripteurs sauvegards.
v. un systme dalarme temps-rel en cas de dtection dventuelles intrusions possibles.
Mise jour manuelle de la base des signatures.
Non capable de dtecter les menaces mergentes.
Fausses alertes : possibilit de signaler des alertes de type false positives ou
false negatives.
Mohamed Heny SELMI Mthodes Dcisionnelles pour la
Scurit
IDS : Intrusion Detection System
un mcanisme destin reprer des activits anormales ou suspectes sur la cible
analyse (un rseau ou un hte).
Il permet ainsi d'avoir une connaissance sur les tentatives russies comme choues
des intrusions.
une combinaison software-hardware qui tente deffectuer une dtection
dintrusions :
i. collecter la signature des attaques sauvegardes.
ii. crer une base de signatures connues.
iii. extraire les nouveaux descripteurs.
iv. comparer les nouvelles activits avec les descripteurs sauvegards.
v. un systme dalarme temps-rel en cas de dtection dventuelles intrusions possibles.
Mise jour manuelle de la base des signatures.
Non capable de dtecter les menaces mergentes.
Fausses alertes : possibilit de signaler des alertes de type false positives ou
false negatives.
Mohamed Heny SELMI Mthodes Dcisionnelles pour la
Scurit
Mesures de performances dun IDS
i. Taux de dtection : rapport entre le nombre d'attaques correctement dtects et le
nombre total d'attaques

ii. Taux des fausses Alarmes (false positive) : rapport entre le nombre de connexions
normales qui sont mal classes tort comme des attaques et le nombre total de
connexions normales

iii. Compromis entre le taux de dtection et taux de fausses alarmes.

iv. Performance : vitesse de traitement + temps de rponse

v. Tolrance aux fautes (fault tolerance) : rsistance aux attaques + rcupration

Mohamed Heny SELMI Mthodes Dcisionnelles pour la


Scurit
IDS commerciaux

Misuse Detection Anomaly detection


SNORT open-source bas sur les signatures. IDES, NIDES systme statistique de dtection.
Network Flight Recorder NFR. EMERALD systme statistique de dtection.
NetRanger (CISCO) . SPADE package statistique pour SNORT.
Shadow. Computer Watch (AT&T) systme expert base
P-Best Systme Expert base de rgles qui de rgles dtectant les anomalies de
dcrivent les comportements mal intentionns. comportement.
NetStat dtection temps-rel base sur les Wisdom & Sense ensemble de rgles
rseaux de Ptri ou les diagrammes tats- statistiques reconnaissant le comportement
transitions. normal.

Mohamed Heny SELMI Mthodes Dcisionnelles pour la


Scurit
Problmes rencontrs par les IDS
Attacks Stealthiness :
attaque furtive pouvant tre une personne qui active linterrogation des paquets de
donnes depuis et envers un rseau afin de trouver une mthode pour compromettre la
scurit.
la personne utilise pour une courte priode de temps pour ses gains puis elle supprime
toute trace ou toutes les actions, partir mme de ladministrateur du rseau ou dun
IDS.
Novel Intrusion Detection :
indtectable par la base des signatures IDS.
Devrait tre dtecte comme des anomalies significatives en observant lcarts par
rapport au comportement normal du rseau.
Attaques distribues :
ncessit dune corrlation des attaques.

Mohamed Heny SELMI Mthodes Dcisionnelles pour la


Scurit
Firewall
un software ou hardware charg dassurer la protection du monde
extrieur en contrlant ce qui passe, et surtout ce qui ne devrait pas
passer entre internet et le rseau local.

Mohamed Heny SELMI Mthodes Dcisionnelles pour la


Scurit
Firewall
un software ou hardware charg dassurer la protection du monde
extrieur en contrlant ce qui passe, et surtout ce qui ne devrait pas
passer entre internet et le rseau local.

contrle : Grer les connexions sortantes partir du rseau local.


scurit : Protger le rseau local interne des intrusions venant de
lextrieur.
vigilance : Surveiller ou Tracer le trafic entre le rseau local et
internet.
Mohamed Heny SELMI Mthodes Dcisionnelles pour la
Scurit
Firewall
un software ou hardware charg dassurer la protection du monde
extrieur en contrlant ce qui passe, et surtout ce qui ne devrait pas passer
entre internet et le rseau local.

aucun firewall nest infaillible : tout pirate qui parvient pntrer le rseau
peut causer des dgts considrables.
possibilit de dtruire le Firewall et donner laccs nimporte quel
utilisateur.
trs difficile de reconstituer une attaque, mme si le pirate laisse des
traces, celles-ci sont souvent inexploitable.
Mohamed Heny SELMI Mthodes Dcisionnelles pour la
Scurit
Firewall pfsense
cest un routeur/pare-feu (firewall-router) open source.
convient pour la scurisation d'un rseau domestique ou de petite
entreprise.
il permet le Filtrage par IP source et destination, port du protocole, IP
source et destination pour le trafic TCP et UDP.

la personne en charge de grer le parc informatique doit avoir les


comptences ncessaire.
ne supporte pas de grands volumes de donnes.
Mohamed Heny SELMI Mthodes Dcisionnelles pour la
Scurit
SIEM Security Information and Event Management
appels galement SEM (security event management)
ou SEIM (security event information management).
cest une plateforme polyvalente qui permet de grer lensemble des
vnements dun systme dinformations et corrler les logs :
collecte des logs.
analyse des logs.
corrler les vnements.
Reporting.
Dashboarding.
alerte en temps rel.
Archivage et historisation.

Mohamed Heny SELMI Mthodes Dcisionnelles pour la


Scurit
SOC Security Operating Center
cest un centre de supervision et dadministration de la scurit.
cest une plateforme dont la fonction principale est de fournir des services de
dtection des intrusions.
contient un firewall, un IDS, un IPS, un SIEM
complexit de collecter et de corrler de trs nombreux logs mis dans des
formats divers pour n'identifier que les alertes pertinentes.
a toujours besoin de sintgrer dans un NOC.

Mohamed Heny SELMI Mthodes Dcisionnelles pour la


Scurit
SOC

Mohamed Heny SELMI Mthodes Dcisionnelles pour la


Scurit
NOC Network Operation Center

NOC se focalise sur le bon fonctionnement du SOC et sa disponibilit.

un service charg du contrle des transactions, de la surveillance des incidents,

de la charge d'un rseau local ou interconnect :

l'administration du rseau ;

la mise en uvre des nouveaux services ;

l'administration des accs et de la bande passante.

Mohamed Heny SELMI Mthodes Dcisionnelles pour la


Scurit
Rcap sur les points faibles des solutions proposes

Misuse detection Anomaly detection

On est toujours dans lobligation Le choix du bon ensemble de


de coder manuellement les descripteurs de modle est
nouveaux modles dintrusion : bas uniquement sur
Apprentissage manuel ! lexprience.
Les systmes IDS traditionnels Non capable de modliser les
sont incapables de prdire ou de associativits ou les corrlations
classifier les nouvelles entre les vnements ou
intrusions. squences dvnements.
Mohamed Heny SELMI Mthodes Dcisionnelles pour la
Scurit
Objectifs de la solution
La solution quon dsire implmenter doit satisfaire les points suivants :
construire de bons modles :
savoir collecter, filtrer et prparer les donnes daudit ncessaires pour la
construction des modles de dtection dintrusion.
construire les meilleurs modles :
combiner et essayer dappliquer plusieurs modles sur les mmes chantillons
de donnes afin de dgager le modle le plus adquat avec la nature de donnes
mises en jeu.
construire les modles mises jours :
les modles de dtections dintrusion slectionns doivent tre capables de
sadapter avec les nouvelles formes ou les aspects comportementaux imprvus.

Mthodes Dcisionnelles - Data Mining


Mohamed Heny SELMI Mthodes Dcisionnelles pour la
Scurit
Le Data Mining
dans le Cyber Security
Data Mining - KDD
Processus Informatique ECD :
Extraction de Connaissances partir de grands volumes de Donnes.
Interprtation
Data Mining Evaluation
Transformation

Preprocessing

Slection

Mohamed Heny SELMI Mthodes Dcisionnelles pour la


Scurit
Data Mining familles de mthodes
Apprentissage
Non Supervis
fournissent directement des rsultats :
valuer, interprter et utiliser !

visent mettre en vidence des


connaissances prsentes mais
caches par le volume des donnes.
rduisent, rsument, synthtisent les
masses volumuneuses de donnes.
pas de variable cible .

Mohamed Heny SELMI Mthodes Dcisionnelles pour la


Scurit
Data Mining familles de mthodes

Apprentissage supervis
fournissent un modle (et non pas des
rsultats), cr partir dun entrept
dapprentissage, test et valid sur un
entrept de test, et utilis dans les
problmes de prise de dcision sur des
entrepts de travail.
visent dcouvrir de nouvelles
connaissances partir des informations
prsentes : dcisions.
expliquent mieux les donnes.
Une variable cible.

Mohamed Heny SELMI Mthodes Dcisionnelles pour la


Scurit
Data Mining Objectifs

Mthodes Mthodes
Non Supervises Supervises

Analyse Factorielle
Segmentation & Rduction de la dimension Classification Rgression

Associativit Scoring

Mohamed Heny SELMI Mthodes Dcisionnelles pour la


Scurit
Data Mining Machine Learning

Start Dest Number


Tid SrcIP Dest IP Attack
time Port of bytes

1 206.135.38.95 11:07:20 160.94.179.223 139 192 No

2 206.163.37.95 11:13:56 160.94.179.219 139 195 No

3 206.163.37.95 11:14:29 160.94.179.217 139 180 No

4 206.163.37.95 11:14:30 160.94.179.255 139 199 No

5 206.163.37.95 11:14:32 160.94.179.254 139 292 Yes

6 206.163.37.95 11:14:35 160.94.179.253 139 177 No

7 206.163.37.95 11:14:36 160.94.179.252 139 172 No

8 206.163.37.95 11:14:38 160.94.179.251 139 285 Yes

9 206.163.37.95 11:14:41 160.94.179.250 139 195 No

10 206.163.37.95 11:14:44 160.94.179.249 139 268 Yes


10

Mohamed Heny SELMI Mthodes Dcisionnelles pour la


Scurit
Data Mining sources de donnes

Text mining
Business
Web mining IoT
Intelligence
Opinion mining

Big Social Network


Data Analysis

Mohamed Heny SELMI Mthodes Dcisionnelles pour la


Scurit
Informatique dcisionnelle traditionnelle
Traditional Business Intelligence

Alimentation ETL Modlisation Analyse et Restitution

Mohamed Heny SELMI Mthodes Dcisionnelles pour la


Scurit
Big Data

Mohamed Heny SELMI Mthodes Dcisionnelles pour la


Scurit
IoT Internet of Things

Mohamed Heny SELMI Mthodes Dcisionnelles pour la


Scurit
Data Mining et dtection dintrusions
Etapes essentielles
1. Conversion des donnes partir du systme surveill en des donnes utilisables
par la modlisation Data Mining.
2. Paramtrage et Construction du modle Data Mining :
Misuse detection models ou Anomaly detection models.
3. Analyse et Synthse des rsultats.

Donnes Paramtrage Modlisation Analyse

Mohamed Heny SELMI Mthodes Dcisionnelles pour la


Scurit
Data Mining
Modlisation
CRISP DM
Cross Industry Standard Process for Data
Mining

Mohamed Heny SELMI Mthodes Dcisionnelles pour la


Scurit
Data Mining et dtection dintrusions
Intervention selon les modes de dtections
Misuse detection Anomaly detection
construction de modles prdictifs partir Construction dun modle global
dhistoriques de donnes contenant une reprsentant le comportement
variable catgorielle dcrivant ltat de normal des instances, et valuer les
lintrusion : normale ou intrusive
anomalies selon lcart par rapport
les modles construits sont plus performants lui.
que les modles o les signatures sont crs
manuellement. possibilit de proposer un intervalle
possibilit dutiliser les mthodes de confiance.
dvaluation des modles ou les indicateurs possibilit dtudier la pertinence des
de pertinence.
variables et construire des modles
Impossible de dtecter les attaques dont les rduits.
instances ne sont pas encore observes.
taux de fausse alarme remarquable.

Mohamed Heny SELMI Mthodes Dcisionnelles pour la


Scurit
Apprentissage Supervis Apprentissage Non Supervis

Misuse detection Anomaly detection


construction de modles prdictifs partir Construction dun modle global
dhistoriques de donnes contenant une reprsentant le comportement
variable catgorielle dcrivant ltat de normal des instances, et valuer les
lintrusion : normale ou intrusive
anomalies selon lcart par rapport
les modles construits sont plus performants lui.
que les modles o les signatures sont crs
manuellement. possibilit de proposer un intervalle
possibilit dutiliser les mthodes de confiance.
dvaluation des modles ou les indicateurs possibilit dtudier la pertinence des
de pertinence.
variables et construire des modles
Impossible de dtecter les attaques dont les rduits.
instances ne sont pas encore observes.
taux de fausse alarme remarquable.

Mohamed Heny SELMI Mthodes Dcisionnelles pour la


Scurit
Data Mining et dtection dintrusions
projets en cours
JAM (Java Agents for Metalearning) : dvelopp par Columbia University.
ADAM (Audit Data Analysis and Mining) : dvelopp par George Mason
University
MADAM ID (Mining Audit Data for Automated Models for Intrusion
Detection) Columbia University, Georgia Tech, Florida Tech.
MINDS (University of Minnesota) MINnesota INtrusion Detection System.
IIDS, Intelligent Intrusion Detection, Mississippi State University.
Data Mining for Network Intrusion Detection (MITRE corporation)
Agent based data mining system (Iowa State University)
IDDM Department of Defense, Australia

Mohamed Heny SELMI Mthodes Dcisionnelles pour la


Scurit
JAM Java Agents for Metalearning
Utilise des techniques du Data Mining pour la dcouverte des formes
dintrusions, et ce en adoptant les mthodes supervises de classification
pour faire lapprentissage de la base des signatures des attaques.
En utilisant un des algorithmes des rgles dassociation, JAM dtermine les
relations entre les champs dans les enregistrements de piste de vrification,
et les frquents pisodes motifs squentiels des vnements daudit.
Le classifieur construit un descripteur des attaques, ainsi donc le Data Mining
dans JAM prsente un modle de dtection dabus. (misuse detection model)
Les classifieurs JAM sont gnrs en utilisant un processus supervis sous
forme de base de rgles sur les donnes dapprentissage, ensuite les rsultats
de lapplication des rgles de classification seront utiliss pour la
reconnaissance danomalies ou pour la dtection dintrusions reconnues.
Le systme JAM est test sur les donnes de sendmail-based attacks, ainsi
que les attaques rseau en utilisant TCP dump data.
Mohamed Heny SELMI Mthodes Dcisionnelles pour la
Scurit
ADAM Audit Data Analysis and Mining
systme de dtection danomalies (rseau) en ligne. (anomaly detection system)
bas sur les rgles dassociation et les arbres de dcision.
compos de trois modules : moteur du prtraitement, moteur de fouille et moteur de
classification :
le moteur de prtraitement (preprocessing engine) filtre les donnes de trafic TCP/IP et extrait les
informations partir de lentte de chaque connexion selon un schma prdfini.
le moteur de fouille (mining engine) applique les modles des rgles associatives sur les
enregistrements de connexion, selon les deux modes : mode dapprentissage et mode de dtection.
le moteur de classification (classification engine) sera charg de classifier les rgles associatives
inattendues selon des vnements normaux ou anormaux, ces derniers peuvent tre lobjet dattaques.

Mohamed Heny SELMI Mthodes Dcisionnelles pour la


Scurit
Dans le mode dapprentissage, le moteur de fouille
dfinit un profil-modle gnral associ aux Dans le mode de dtection, le moteur de fouille
utilisateurs et systmes ayant un comportement dans les rgles dassociation inattendues qui sont
normal, et il en gnre des rgles associatives diffrentes du modle gnral dfini.
typiques pour le moteur de classification.

systme de dtection danomalies rseau en ligne. (anomaly detection system)


bas sur les rgles dassociation et les arbres de dcision.
compos de trois modules : moteur du prtraitement, moteur de fouille et moteur de
classification :
le moteur de prtraitement (preprocessing engine) filtre les donnes de trafic TCP/IP et extrait les
informations partir de lentte de chaque connexion selon un schma prdfini.
le moteur de fouille (mining engine) applique les modles des rgles associatives sur les
enregistrements de connexion, selon les deux modes : mode dapprentissage et mode de dtection.
le moteur de classification (classification engine) sera charg de classifier les rgles associatives
inattendues selon des vnements normaux ou anormaux, ces derniers peuvent tre lobjet dattaques.

Mohamed Heny SELMI Mthodes Dcisionnelles pour la


Scurit
ADAM Framework de la phase dapprentissage

Mohamed Heny SELMI Mthodes Dcisionnelles pour la


Scurit
ADAM Framework de la phase de test

Mohamed Heny SELMI Mthodes Dcisionnelles pour la


Scurit
MADAM ID Mining Audit Data for Automated Models for Intrusion Detection

lapproche utilise par MADAM ID consiste lapprentissage des classifieurs faisant


la distinction entre activit normale et intrusion.
la performance du pouvoir prdictif des classifieurs peut tre empese, et ce se
comptant sur toutes les variables prdictives pour expliquer la variable cible.
Pour remdier ce problme, MADAM ID combine les rgles associatives des AFN
(frequent episode rules bases sur automates finis non dterministes) dans le but de
construire des attributs prdictifs supplmentaires plus pertinents et significatifs par
rapport la variable cible : attributs caractristiques ou descripteurs de forme.
(features)
MADAM ID est bas sur le mode de dtection dabus : misuse detection model
partir dexemples.
laide de sniffer on fait la collecte des donnes de traffic du rseau : tcpdump, les
outils net-flow, ces donnes seront prtraites afin de crer des enregistrements de
connexion (connections records).

Mohamed Heny SELMI Mthodes Dcisionnelles pour la


Scurit
MADAM ID Donnes collectes
Lessentiel de linformation collecte est :
temps de dpart et dure
Type du protocole
Hte source
Hte destination
Adresse IP de la source
Port de la destination
Nombre de bits par connexion
Nombre de paquets
Etc.
Dans le cas dun rseau TCP/IP, les enregistrements de connexions rsument
la session TCP.
Lors de lutilisation de MADAM ID, il est indispensable davoir des bases de
donnes volumineuses, contenant dj les valeurs dune variable cible :
normal records ou attack
Mohamed Heny SELMI Mthodes Dcisionnelles pour la
Scurit
MADAM ID Processus
1. Construction des modles prdictifs (feature construction)
Construction de quelques modles prdictifs utiles pour lanalyse.
Exp. <next slide>
2. Apprentissage du modle de classification (classifier learning)
i. Les enregistrements de connexion dapprentissage sont partitionns en deux
chantillons : normal connection records et intrusion connection
records.
ii. Appliquer sparment les rgles associatives sur les deux chantillons
dapprentissage. Les modles obtenus sont compars et les modles extraits
partir de lchantillon intrusion connection records sont collects pour former les
modles classifieurs des intrusions (the intrusion only patterns).
iii. Les classifieurs intrusion only patterns sont utiliss pour obtenir de nouveaux attributs
qui seront considrs comme des variables prdictives pertinentes.
iv. Ainsi, lapprentissage des classifieurs est ralis, de telle sorte que ces derniers seront
capables de reconnaitre (prdire ou classifier) la nature de tout enregistrement de
connexion.

Mohamed Heny SELMI Mthodes Dcisionnelles pour la


Scurit
MADAM ID Exemple partir des donnes de trafic rseau

Variables caractristiques existantes Cration de nouvelles variables utiles


dst service flag dst service flag %S0
h1 http S0 h1 http S0 70
h1 http S0 syn flood h1 http S0 72
h1 http S0 h1 http S0 75

h2 http S0 h2 http S0 0

h4 http S0 normal h4 http S0 0

h2 ftp S0 h2 ftp S0 0

Mohamed Heny SELMI Mthodes Dcisionnelles pour la


Scurit
MADAM ID Exemple de construction de modle
on considre comme exemple, lattaque SYN flood :

Mohamed Heny SELMI Mthodes Dcisionnelles pour la


Scurit
MADAM ID Exemple de construction de modle
le modle de lattaque Syn flood peut scrire sous forme de rgle :
(flag = S0, service = http), (flag = S0, service = http) (flag = S0, service = http) [0.6,
2s]
ainsi, on peut y ajouter des variables caractristiques (features) comme
:
compter le nombre de connexions pour la mme hte durant les deux
dernires secondes.
le pourcentage avec le mme service.
le pourcentage avec S0.
chaque itration, il est possible quon cherche compter les
pourcentages en essayant avec plusieurs fonctions heuristiques.

problme rencontr : donnes non structures.


Mohamed Heny SELMI Mthodes Dcisionnelles pour la
Scurit
MINDS Minnesota INtrusion Detection System
utilise une panoplie de mthodes dcisionnelles du data mining pour la
dtection automatique des attaques rseaux ou systmes savoir : les
techniques de scoring, et les techniques de segmentation.
les systmes MINDS utilisent des techniques danomaly detection en
associant un score chaque connexion afin de dterminer quelle
point elle mrite tre un cas attaque ou bien un cas normal.

apprentissage partir des classes rares : construction de modle de


prdiction pour les classes rares.
dtection des valeurs aberrantes : des anomalies.
caractrisation des attaques laide de lanalyse du motif dassociation.
Mohamed Heny SELMI Mthodes Dcisionnelles pour la
Scurit
MINDS Donnes collectes
adresse IP source

port IP source

adresse IP destination

port IP destination

protocole

flags

nombre de bit

nombre de package

Mohamed Heny SELMI Mthodes Dcisionnelles pour la


Scurit
Start Dest Number
Tid SrcIP Dest IP Attack
time Port of bytes

1 206.135.38.95 11:07:20 160.94.179.223 139 192 No

2 206.163.37.95 11:13:56 160.94.179.219 139 195 No

MINDS Associativit 3 206.163.37.95 11:14:29 160.94.179.217 139 180 No

4 206.163.37.95 11:14:30 160.94.179.255 139 199 No

et Segmentation 5 206.163.37.95 11:14:32 160.94.179.254 139 292 Yes

6 206.163.37.95 11:14:35 160.94.179.253 139 177 No


Trouver une rgle associative reprsentant
7 206.163.37.95 11:14:36 160.94.179.252 139 172 No
une attaque.
8 206.163.37.95 11:14:38 160.94.179.251 139 285 Yes

9 206.163.37.95 11:14:41 160.94.179.250 139 195 No

10 206.163.37.95 11:14:44 160.94.179.249 139 268 Yes


10

Rgle dassociation dcouverte:


{Src IP = 206.163.37.95, Dest Port = 139, Bytes > 200]} --> {ATTACK}

Mohamed Heny SELMI Mthodes Dcisionnelles pour la


Scurit
Rgle dassociation dcouverte:
{Src IP = 206.163.37.95, Dest Port = 139, Bytes > 200} --> {ATTACK}

MINDS Associativit
et Segmentation
Peut-on appliquer la rgle propose sur cet
chantillon de test? Start Number
Tid SrcIP Dest Port Attack
time of bytes

1 206.163.37.81 11:17:51 160.94.179.208 150 ?

2 206.163.37.99 11:18:10 160.94.179.235 208 ?

3 206.163.37.55 11:34:35 160.94.179.221 195 ?

4 206.163.37.37 11:41:37 160.94.179.253 199 ?

5 206.163.37.41 11:55:19 160.94.179.244 181 ?

Mohamed Heny SELMI Mthodes Dcisionnelles pour la


Scurit
MINDS Associativit
et Segmentation
partir de la reprsentation des clusters,
que peut-on dduire propos la prsence
danomalies dans lchantillon de donnes ?

Start Dest Number


Tid SrcIP Dest IP Attack
time Port of bytes

1 206.135.38.95 11:07:20 160.94.179.223 139 192 No

2 206.163.37.95 11:13:56 160.94.179.219 139 195 No

3 206.163.37.95 11:14:29 160.94.179.217 139 180 No

4 206.163.37.95 11:14:30 160.94.179.255 139 199 No

5 206.163.37.95 11:14:32 160.94.179.254 139 19 Yes

6 206.163.37.95 11:14:35 160.94.179.253 139 177 No

7 206.163.37.95 11:14:36 160.94.179.252 139 172 No

8 206.163.37.95 11:14:38 160.94.179.251 139 285 Yes

9 206.163.37.95 11:14:41 160.94.179.250 139 195 No

10 206.163.37.95 11:14:44 160.94.179.249 139 163 Yes


10

Mohamed Heny SELMI Mthodes Dcisionnelles pour la


Scurit
MINDS Processus
MINDS
Rcapitulation

Detection de
nouvelles
dispositif de Anomaly detection
attaques
capture de
Nouveaux
donnes
attributs
profiling segmentation

Filtrage de Extraction de Dtection dattaques connues


donnes caractristiques
Mohamed Heny SELMI Mthodes Dcisionnelles pour la
Scurit
score srcIP sPort dstIP dPort protocolflags packets bytes
37674,69 63.150.X.253 1161 128.101.X.29 1434 17 16 [0,2) [0,1829)
26676,62 63.150.X.253 1161 160.94.X.134 1434 17 16 [0,2) [0,1829)
24323,55 63.150.X.253 1161 128.101.X.185 1434 17 16 [0,2) [0,1829)
21169,49 63.150.X.253 1161 160.94.X.71 1434 17 16 [0,2) [0,1829)
19525,31 63.150.X.253 1161 160.94.X.19 1434 17 16 [0,2) [0,1829)
19235,39 63.150.X.253 1161 160.94.X.80 1434 17 16 [0,2) [0,1829)
17679,1 63.150.X.253 1161 160.94.X.220 1434 17 16 [0,2) [0,1829)

MINDS 8183,58
7142,98
63.150.X.253
63.150.X.253
1161
1161
128.101.X.108
128.101.X.223
1434
1434
17
17
16
16
[0,2)
[0,2)
[0,1829)
[0,1829)
5139,01 63.150.X.253 1161 128.101.X.142 1434 17 16 [0,2) [0,1829)
Exemple de donnes
4048,49 142.150.Y.101 0 128.101.X.127 2048 1 16 [2,4) [0,1829)
4008,35 200.250.Z.20 27016 128.101.X.116 4629 17 16 [2,4) [0,1829)
3657,23 202.175.Z.237 27016 128.101.X.116 4148 17 16 [2,4) [0,1829)
3450,9 63.150.X.253 1161 128.101.X.62 1434 17 16 [0,2) [0,1829)
3327,98 63.150.X.253 1161 160.94.X.223 1434 17 16 [0,2) [0,1829)
2796,13 63.150.X.253 1161 128.101.X.241 1434 17 16 [0,2) [0,1829)
2693,88 142.150.Y.101 0 128.101.X.168 2048 1 16 [2,4) [0,1829)
2683,05 63.150.X.253 1161 160.94.X.43 1434 17 16 [0,2) [0,1829)
2444,16 142.150.Y.236 0 128.101.X.240 2048 1 16 [2,4) [0,1829)
2385,42 142.150.Y.101 0 128.101.X.45 2048 1 16 [0,2) [0,1829)
2114,41 63.150.X.253 1161 160.94.X.183 1434 17 16 [0,2) [0,1829)
2057,15 142.150.Y.101 0 128.101.X.161 2048 1 16 [0,2) [0,1829)
1919,54 142.150.Y.101 0 128.101.X.99 2048 1 16 [2,4) [0,1829)
1634,38 142.150.Y.101 0 128.101.X.219 2048 1 16 [2,4) [0,1829)
1596,26 63.150.X.253 1161 128.101.X.160 1434 17 16 [0,2) [0,1829)
1513,96 142.150.Y.107 0 128.101.X.2 2048 1 16 [0,2) [0,1829)
1389,09 63.150.X.253 1161 128.101.X.30 1434 17 16 [0,2) [0,1829)
1315,88 63.150.X.253 1161 128.101.X.40 1434 17 16 [0,2) [0,1829)
1279,75 142.150.Y.103 0 128.101.X.202 2048 1 16 [0,2) [0,1829)
1237,97 63.150.X.253 1161 160.94.X.32 1434 17 16 [0,2) [0,1829)
1180,82 63.150.X.253 1161 128.101.X.61 1434 17 16 [0,2) [0,1829)
1107,78 63.150.X.253 1161 160.94.X.154 1434 17 16 [0,2) [0,1829)
Mohamed Heny SELMI Mthodes Dcisionnelles pour la
Scurit
score srcIP sPort dstIP dPort protocolflags packets bytes
37674,69 63.150.X.253 1161 128.101.X.29 1434 17 16 [0,2) [0,1829)
26676,62 63.150.X.253 1161 160.94.X.134 1434 17 16 [0,2) [0,1829)
24323,55 63.150.X.253 1161 128.101.X.185 1434 17 16 [0,2) [0,1829)
21169,49 63.150.X.253 1161 160.94.X.71 1434 17 16 [0,2) [0,1829)
19525,31 63.150.X.253 1161 160.94.X.19 1434 17 16 [0,2) [0,1829)
19235,39
17679,1
63.150.X.253
63.150.X.253
1161
1161
160.94.X.80
160.94.X.220
1434
1434
17
17
16 [0,2)
16 [0,2)
[0,1829)
[0,1829)
Rgles pertinentes:
8183,58 63.150.X.253 1161 128.101.X.108 1434 17 16 [0,2) [0,1829) 1.
7142,98 63.150.X.253 1161 128.101.X.223 1434 17 16 [0,2) [0,1829)
5139,01 63.150.X.253 1161 128.101.X.142 1434 17 16 [0,2) [0,1829) {Dest Port = 1434/UDP
4048,49 142.150.Y.101 0 128.101.X.127 2048 1 16 [2,4) [0,1829) #packets [0, 2)} -->
4008,35 200.250.Z.20 27016 128.101.X.116 4629 17 16 [2,4) [0,1829) Highly anomalous behavior (Slammer Worm)
3657,23 202.175.Z.237 27016 128.101.X.116 4148 17 16 [2,4) [0,1829)
3450,9 63.150.X.253 1161 128.101.X.62 1434 17 16 [0,2) [0,1829) 2.
3327,98 63.150.X.253 1161 160.94.X.223 1434 17 16 [0,2) [0,1829)
2796,13 63.150.X.253 1161 128.101.X.241 1434 17 16 [0,2) [0,1829) {Src IP = 142.150.Y.101, Dest Port = 2048/ICMP
2693,88 142.150.Y.101 0 128.101.X.168 2048 1 16 [2,4) [0,1829) #bytes [0, 1829]} --> Highly anomalous behavior
2683,05 63.150.X.253 1161 160.94.X.43 1434 17 16 [0,2) [0,1829) (ping scan)
2444,16 142.150.Y.236 0 128.101.X.240 2048 1 16 [2,4) [0,1829)
2385,42 142.150.Y.101 0 128.101.X.45 2048 1 16 [0,2) [0,1829)
2114,41 63.150.X.253 1161 160.94.X.183 1434 17 16 [0,2) [0,1829)
2057,15 142.150.Y.101 0 128.101.X.161 2048 1 16 [0,2) [0,1829)
1919,54 142.150.Y.101 0 128.101.X.99 2048 1 16 [2,4) [0,1829)
1634,38 142.150.Y.101 0 128.101.X.219 2048 1 16 [2,4) [0,1829)
1596,26 63.150.X.253 1161 128.101.X.160 1434 17 16 [0,2) [0,1829)
1513,96 142.150.Y.107 0 128.101.X.2 2048 1 16 [0,2) [0,1829)
1389,09 63.150.X.253 1161 128.101.X.30 1434 17 16 [0,2) [0,1829)
1315,88 63.150.X.253 1161 128.101.X.40 1434 17 16 [0,2) [0,1829)
1279,75 142.150.Y.103 0 128.101.X.202 2048 1 16 [0,2) [0,1829)
1237,97 63.150.X.253 1161 160.94.X.32 1434 17 16 [0,2) [0,1829)
1180,82 63.150.X.253 1161 128.101.X.61 1434 17 16 [0,2) [0,1829)
1107,78 63.150.X.253 1161 160.94.X.154 1434 17 16 [0,2) [0,1829)

Mohamed Heny SELMI Mthodes Dcisionnelles pour la


Scurit
Base de donnes pour la dtection des
intrusions
base de donnes DARPA 1998 et son amlioration KDDCup99 cre
lors du lancement du projet MADAM ID.
base de donnes DARPA 1999.
System call traces data set. (Universit New Mexico)
Solaris audit data using BSM (Basic Security Module)
Universit de Melbourne, Australia :
MOAT : packet trace files.
Auckland II, packet trace files.
bases de donnes avec fichier de virus disponibles dans universit de
Columbia.
Mohamed Heny SELMI Mthodes Dcisionnelles pour la
Scurit
Base de donnes DARPA 1998
cest une base de donnes prpare par MIT Lincoln Laboratory en 1998, elle
comprend une grande varit dintrusions dans un environnement de simulation
du rseau militaire.
9 semaines de dchargement de donnes TCP brutes :
7 semaines pour des donnes dapprentissage. (5 millions connections sauvegardes)
2 semaines pour des donnes de test. (2 millions connections sauvegardes)
les connections sont classifies selon une variable catgorielle ayant deux
attributs : normal ou attaque.
les types dattaques existants sont essentiellement :
i. DOS
ii. Probe
iii. U2R
iv. R2L

Mohamed Heny SELMI Mthodes Dcisionnelles pour la


Scurit
Base de donnes DARPA 1999
les types dattaques existants sont :

Mohamed Heny SELMI Mthodes Dcisionnelles pour la


Scurit

Você também pode gostar