Escolar Documentos
Profissional Documentos
Cultura Documentos
pour la Scurit
Mohamed Heny SELMI
Technologue en Systmes Intelligents et Dcisionnels
Dtection d'intrusion dans la scurit
informatique
les trois objectifs principaux de la scurit informatique :
La Confidentialit
LIntgrit
La Disponibilit
Une hypothse primordiale : les activits de nimporte quel utilisateur, ainsi que des programmes
en excution peuvent tre tous contrls et modliss.
Mesure dactivits
Mohamed Heny SELMI Mthodes Dcisionnelles pour la
Scurit
Anomaly Detection
100
90
90
80
70
60
Mesure dactivits 50 Intrusion probable
40 45 45 43 42
30
28
20
20 20
10
0
CPU Taille du processus
profil normal profil atypique
Probing
lment
Attaquant Machine
Vulnrable
Machine
Victime
lment
Attaquant
ii. Taux des fausses Alarmes (false positive) : rapport entre le nombre de connexions
normales qui sont mal classes tort comme des attaques et le nombre total de
connexions normales
aucun firewall nest infaillible : tout pirate qui parvient pntrer le rseau
peut causer des dgts considrables.
possibilit de dtruire le Firewall et donner laccs nimporte quel
utilisateur.
trs difficile de reconstituer une attaque, mme si le pirate laisse des
traces, celles-ci sont souvent inexploitable.
Mohamed Heny SELMI Mthodes Dcisionnelles pour la
Scurit
Firewall pfsense
cest un routeur/pare-feu (firewall-router) open source.
convient pour la scurisation d'un rseau domestique ou de petite
entreprise.
il permet le Filtrage par IP source et destination, port du protocole, IP
source et destination pour le trafic TCP et UDP.
l'administration du rseau ;
Preprocessing
Slection
Apprentissage supervis
fournissent un modle (et non pas des
rsultats), cr partir dun entrept
dapprentissage, test et valid sur un
entrept de test, et utilis dans les
problmes de prise de dcision sur des
entrepts de travail.
visent dcouvrir de nouvelles
connaissances partir des informations
prsentes : dcisions.
expliquent mieux les donnes.
Une variable cible.
Mthodes Mthodes
Non Supervises Supervises
Analyse Factorielle
Segmentation & Rduction de la dimension Classification Rgression
Associativit Scoring
Text mining
Business
Web mining IoT
Intelligence
Opinion mining
h2 http S0 h2 http S0 0
h2 ftp S0 h2 ftp S0 0
port IP source
adresse IP destination
port IP destination
protocole
flags
nombre de bit
nombre de package
MINDS Associativit
et Segmentation
Peut-on appliquer la rgle propose sur cet
chantillon de test? Start Number
Tid SrcIP Dest Port Attack
time of bytes
Detection de
nouvelles
dispositif de Anomaly detection
attaques
capture de
Nouveaux
donnes
attributs
profiling segmentation
MINDS 8183,58
7142,98
63.150.X.253
63.150.X.253
1161
1161
128.101.X.108
128.101.X.223
1434
1434
17
17
16
16
[0,2)
[0,2)
[0,1829)
[0,1829)
5139,01 63.150.X.253 1161 128.101.X.142 1434 17 16 [0,2) [0,1829)
Exemple de donnes
4048,49 142.150.Y.101 0 128.101.X.127 2048 1 16 [2,4) [0,1829)
4008,35 200.250.Z.20 27016 128.101.X.116 4629 17 16 [2,4) [0,1829)
3657,23 202.175.Z.237 27016 128.101.X.116 4148 17 16 [2,4) [0,1829)
3450,9 63.150.X.253 1161 128.101.X.62 1434 17 16 [0,2) [0,1829)
3327,98 63.150.X.253 1161 160.94.X.223 1434 17 16 [0,2) [0,1829)
2796,13 63.150.X.253 1161 128.101.X.241 1434 17 16 [0,2) [0,1829)
2693,88 142.150.Y.101 0 128.101.X.168 2048 1 16 [2,4) [0,1829)
2683,05 63.150.X.253 1161 160.94.X.43 1434 17 16 [0,2) [0,1829)
2444,16 142.150.Y.236 0 128.101.X.240 2048 1 16 [2,4) [0,1829)
2385,42 142.150.Y.101 0 128.101.X.45 2048 1 16 [0,2) [0,1829)
2114,41 63.150.X.253 1161 160.94.X.183 1434 17 16 [0,2) [0,1829)
2057,15 142.150.Y.101 0 128.101.X.161 2048 1 16 [0,2) [0,1829)
1919,54 142.150.Y.101 0 128.101.X.99 2048 1 16 [2,4) [0,1829)
1634,38 142.150.Y.101 0 128.101.X.219 2048 1 16 [2,4) [0,1829)
1596,26 63.150.X.253 1161 128.101.X.160 1434 17 16 [0,2) [0,1829)
1513,96 142.150.Y.107 0 128.101.X.2 2048 1 16 [0,2) [0,1829)
1389,09 63.150.X.253 1161 128.101.X.30 1434 17 16 [0,2) [0,1829)
1315,88 63.150.X.253 1161 128.101.X.40 1434 17 16 [0,2) [0,1829)
1279,75 142.150.Y.103 0 128.101.X.202 2048 1 16 [0,2) [0,1829)
1237,97 63.150.X.253 1161 160.94.X.32 1434 17 16 [0,2) [0,1829)
1180,82 63.150.X.253 1161 128.101.X.61 1434 17 16 [0,2) [0,1829)
1107,78 63.150.X.253 1161 160.94.X.154 1434 17 16 [0,2) [0,1829)
Mohamed Heny SELMI Mthodes Dcisionnelles pour la
Scurit
score srcIP sPort dstIP dPort protocolflags packets bytes
37674,69 63.150.X.253 1161 128.101.X.29 1434 17 16 [0,2) [0,1829)
26676,62 63.150.X.253 1161 160.94.X.134 1434 17 16 [0,2) [0,1829)
24323,55 63.150.X.253 1161 128.101.X.185 1434 17 16 [0,2) [0,1829)
21169,49 63.150.X.253 1161 160.94.X.71 1434 17 16 [0,2) [0,1829)
19525,31 63.150.X.253 1161 160.94.X.19 1434 17 16 [0,2) [0,1829)
19235,39
17679,1
63.150.X.253
63.150.X.253
1161
1161
160.94.X.80
160.94.X.220
1434
1434
17
17
16 [0,2)
16 [0,2)
[0,1829)
[0,1829)
Rgles pertinentes:
8183,58 63.150.X.253 1161 128.101.X.108 1434 17 16 [0,2) [0,1829) 1.
7142,98 63.150.X.253 1161 128.101.X.223 1434 17 16 [0,2) [0,1829)
5139,01 63.150.X.253 1161 128.101.X.142 1434 17 16 [0,2) [0,1829) {Dest Port = 1434/UDP
4048,49 142.150.Y.101 0 128.101.X.127 2048 1 16 [2,4) [0,1829) #packets [0, 2)} -->
4008,35 200.250.Z.20 27016 128.101.X.116 4629 17 16 [2,4) [0,1829) Highly anomalous behavior (Slammer Worm)
3657,23 202.175.Z.237 27016 128.101.X.116 4148 17 16 [2,4) [0,1829)
3450,9 63.150.X.253 1161 128.101.X.62 1434 17 16 [0,2) [0,1829) 2.
3327,98 63.150.X.253 1161 160.94.X.223 1434 17 16 [0,2) [0,1829)
2796,13 63.150.X.253 1161 128.101.X.241 1434 17 16 [0,2) [0,1829) {Src IP = 142.150.Y.101, Dest Port = 2048/ICMP
2693,88 142.150.Y.101 0 128.101.X.168 2048 1 16 [2,4) [0,1829) #bytes [0, 1829]} --> Highly anomalous behavior
2683,05 63.150.X.253 1161 160.94.X.43 1434 17 16 [0,2) [0,1829) (ping scan)
2444,16 142.150.Y.236 0 128.101.X.240 2048 1 16 [2,4) [0,1829)
2385,42 142.150.Y.101 0 128.101.X.45 2048 1 16 [0,2) [0,1829)
2114,41 63.150.X.253 1161 160.94.X.183 1434 17 16 [0,2) [0,1829)
2057,15 142.150.Y.101 0 128.101.X.161 2048 1 16 [0,2) [0,1829)
1919,54 142.150.Y.101 0 128.101.X.99 2048 1 16 [2,4) [0,1829)
1634,38 142.150.Y.101 0 128.101.X.219 2048 1 16 [2,4) [0,1829)
1596,26 63.150.X.253 1161 128.101.X.160 1434 17 16 [0,2) [0,1829)
1513,96 142.150.Y.107 0 128.101.X.2 2048 1 16 [0,2) [0,1829)
1389,09 63.150.X.253 1161 128.101.X.30 1434 17 16 [0,2) [0,1829)
1315,88 63.150.X.253 1161 128.101.X.40 1434 17 16 [0,2) [0,1829)
1279,75 142.150.Y.103 0 128.101.X.202 2048 1 16 [0,2) [0,1829)
1237,97 63.150.X.253 1161 160.94.X.32 1434 17 16 [0,2) [0,1829)
1180,82 63.150.X.253 1161 128.101.X.61 1434 17 16 [0,2) [0,1829)
1107,78 63.150.X.253 1161 160.94.X.154 1434 17 16 [0,2) [0,1829)