ASFWS 2011 : Maîtriser les risques opérationnels de ses applications. Quels s...
IDS-DLA présentation
1. Le Deep Learning pour la détection des intrusions
Elaboré par: Abir CHERMITI
Président: Pr.CHERIF FAROUK & Examinateur: Dr.HAMDI
BELGACEM
Encadrant: Dr.BARIKA KTATA Farah
July 1, 2017
Elaboré par: Abir CHERMITI (ISSAT Sousse) Projet Fin D’Etude July 1, 2017 1 / 32
2. Plan
1 Introduction
2 Contexte et Problématique
3 Solution proposée
4 Conception
5 Réalisation
6 Conclusion et Perspectives
Elaboré par: Abir CHERMITI (ISSAT Sousse) Projet Fin D’Etude July 1, 2017 2 / 32
3. 1 Introduction
2 Contexte et Problématique
3 Solution proposée
4 Conception
5 Réalisation
6 Conclusion et Perspectives
Elaboré par: Abir CHERMITI (ISSAT Sousse) Projet Fin D’Etude July 1, 2017 3 / 32
4. Introduction
La croissance du nombre de machines inter-connectées → augmentation
du nombre des intrusions.
Exemple : L’anti-virus de Kaspersky Lab a détecté un total de 249 619
379 objets malveillants uniques et potentiellement indésirables [Kaspersky
Lab, 2016].
Pour bien sécuriser les systèmes informatiques, les chercheurs sont
toujours à la recherche des techniques plus avancées.
Elaboré par: Abir CHERMITI (ISSAT Sousse) Projet Fin D’Etude July 1, 2017 3 / 32
5. Introduction
La croissance du nombre de machines inter-connectées → augmentation
du nombre des intrusions.
Exemple : L’anti-virus de Kaspersky Lab a détecté un total de 249 619
379 objets malveillants uniques et potentiellement indésirables [Kaspersky
Lab, 2016].
Pour bien sécuriser les systèmes informatiques, les chercheurs sont
toujours à la recherche des techniques plus avancées.
⇓
Elaboré par: Abir CHERMITI (ISSAT Sousse) Projet Fin D’Etude July 1, 2017 3 / 32
6. Introduction
La croissance du nombre de machines inter-connectées → augmentation
du nombre des intrusions.
Exemple : L’anti-virus de Kaspersky Lab a détecté un total de 249 619
379 objets malveillants uniques et potentiellement indésirables [Kaspersky
Lab, 2016].
Pour bien sécuriser les systèmes informatiques, les chercheurs sont
toujours à la recherche des techniques plus avancées.
⇓
les systèmes de détection d’intrusions (IDS).
Elaboré par: Abir CHERMITI (ISSAT Sousse) Projet Fin D’Etude July 1, 2017 3 / 32
7. 1 Introduction
2 Contexte et Problématique
3 Solution proposée
4 Conception
5 Réalisation
6 Conclusion et Perspectives
Elaboré par: Abir CHERMITI (ISSAT Sousse) Projet Fin D’Etude July 1, 2017 4 / 32
8. Contexte
Le système de détection d’intrusions (IDS) [Lerman, 2015]:
Elaboré par: Abir CHERMITI (ISSAT Sousse) Projet Fin D’Etude July 1, 2017 4 / 32
9. Contexte
Le système de détection d’intrusions (IDS) [Lerman, 2015]:
Consiste à:
Elaboré par: Abir CHERMITI (ISSAT Sousse) Projet Fin D’Etude July 1, 2017 4 / 32
10. Contexte
Le système de détection d’intrusions (IDS) [Lerman, 2015]:
Consiste à:
* analyser les informations collectées.
Elaboré par: Abir CHERMITI (ISSAT Sousse) Projet Fin D’Etude July 1, 2017 4 / 32
11. Contexte
Le système de détection d’intrusions (IDS) [Lerman, 2015]:
Consiste à:
* analyser les informations collectées.
* repérer les activités anormales ou suspectes sur le réseau ou sur un hôte.
Elaboré par: Abir CHERMITI (ISSAT Sousse) Projet Fin D’Etude July 1, 2017 4 / 32
12. Contexte
Le système de détection d’intrusions (IDS) [Lerman, 2015]:
Consiste à:
* analyser les informations collectées.
* repérer les activités anormales ou suspectes sur le réseau ou sur un hôte.
Les types des IDS [Biondi, 2001]:
Elaboré par: Abir CHERMITI (ISSAT Sousse) Projet Fin D’Etude July 1, 2017 4 / 32
13. Contexte
Le système de détection d’intrusions (IDS) [Lerman, 2015]:
Consiste à:
* analyser les informations collectées.
* repérer les activités anormales ou suspectes sur le réseau ou sur un hôte.
Les types des IDS [Biondi, 2001]:
* NIDS
Elaboré par: Abir CHERMITI (ISSAT Sousse) Projet Fin D’Etude July 1, 2017 4 / 32
14. Contexte
Le système de détection d’intrusions (IDS) [Lerman, 2015]:
Consiste à:
* analyser les informations collectées.
* repérer les activités anormales ou suspectes sur le réseau ou sur un hôte.
Les types des IDS [Biondi, 2001]:
* NIDS
* Host IDS
Elaboré par: Abir CHERMITI (ISSAT Sousse) Projet Fin D’Etude July 1, 2017 4 / 32
15. Contexte
Le système de détection d’intrusions (IDS) [Lerman, 2015]:
Consiste à:
* analyser les informations collectées.
* repérer les activités anormales ou suspectes sur le réseau ou sur un hôte.
Les types des IDS [Biondi, 2001]:
* NIDS
* Host IDS
* Hybrid IDS
Elaboré par: Abir CHERMITI (ISSAT Sousse) Projet Fin D’Etude July 1, 2017 4 / 32
18. Contexte
Les approches d’analyse d’un IDS:
Approche par scénario: à base de signature ,le système détecte que
les attaques qui sont déjà connues.
Elaboré par: Abir CHERMITI (ISSAT Sousse) Projet Fin D’Etude July 1, 2017 5 / 32
19. Contexte
Les approches d’analyse d’un IDS:
Approche par scénario: à base de signature ,le système détecte que
les attaques qui sont déjà connues.
Approche Comportementale:
Elaboré par: Abir CHERMITI (ISSAT Sousse) Projet Fin D’Etude July 1, 2017 5 / 32
20. Contexte
Les approches d’analyse d’un IDS:
Approche par scénario: à base de signature ,le système détecte que
les attaques qui sont déjà connues.
Approche Comportementale:
- contient une phase d’apprentissage.
Elaboré par: Abir CHERMITI (ISSAT Sousse) Projet Fin D’Etude July 1, 2017 5 / 32
21. Contexte
Les approches d’analyse d’un IDS:
Approche par scénario: à base de signature ,le système détecte que
les attaques qui sont déjà connues.
Approche Comportementale:
- contient une phase d’apprentissage.
- détecte les nouveaux types d’attaques.
Elaboré par: Abir CHERMITI (ISSAT Sousse) Projet Fin D’Etude July 1, 2017 5 / 32
24. Objectifs
Objectif 1
Réduire le taux de faux positifs.
Objectif 2
Distribuer le processus de détection des intrusions à base d’agent.
Objectif 3
Maximiser le taux de détection en un temps opportun.
Elaboré par: Abir CHERMITI (ISSAT Sousse) Projet Fin D’Etude July 1, 2017 8 / 32
25. 1 Introduction
2 Contexte et Problématique
3 Solution proposée
4 Conception
5 Réalisation
6 Conclusion et Perspectives
Elaboré par: Abir CHERMITI (ISSAT Sousse) Projet Fin D’Etude July 1, 2017 9 / 32
27. Solution proposée
Le deep learning [LeCun, 2015]:
Elaboré par: Abir CHERMITI (ISSAT Sousse) Projet Fin D’Etude July 1, 2017 10 / 32
28. Solution proposée
Le deep learning:
- Il existe plusieurs types de modèles de deep learning.
- Ils sont inspirés de l’architecture du cerveau de l’être humain [Muller,
2003]:
Modèle supervisé
Modèle non-supervisé
Modèle renforcé
Elaboré par: Abir CHERMITI (ISSAT Sousse) Projet Fin D’Etude July 1, 2017 11 / 32
29. Solution proposée
Le deep learning:
- Il existe plusieurs types de modèles de deep learning.
- Ils sont inspirés de l’architecture du cerveau de l’être humain [Muller,
2003]:
Modèle supervisé
Modèle non-supervisé
Modèle renforcé
⇓
Apprentissage autodidacte-STL (Self Taught Learning)[Javaid,
2016]
Elaboré par: Abir CHERMITI (ISSAT Sousse) Projet Fin D’Etude July 1, 2017 12 / 32
36. Réalisation
1- Implémentation du système multi-agent :
Configuration JADE + Déploiement des agents :
Nous avons implémenté les classes agents suivantes:
agentDeep : qui va implémenter auto-encodeur.
agentAnalyseur : qui va faire la classification avec régression
logistique (LR).
Elaboré par: Abir CHERMITI (ISSAT Sousse) Projet Fin D’Etude July 1, 2017 17 / 32
37. Réalisation
2- AgentAnalyseur: Pré-traitement des données:
- Nous utilisons l’ensemble des données NSL-KDD [Tavallaee, 2009] dans
l’implémentation et le test de notre modèle.
- Nous avons appliqué l’encodage Nominal-to-Binary en utilisant un outil
de data-mining; Weka tool.
- Nous avons obtenu 122 attributs.
Elaboré par: Abir CHERMITI (ISSAT Sousse) Projet Fin D’Etude July 1, 2017 18 / 32
38. Réalisation
3- Implémentation de l’approche Deep Learning :
STL= auto-encodeur + classificateur régression logistique
Figure: Architecture de STL [Javaid, 2016].
Elaboré par: Abir CHERMITI (ISSAT Sousse) Projet Fin D’Etude July 1, 2017 19 / 32
40. Étape d’encodage:
On prend l’entrée X de l’ensemble de données de formation
NSL-KDD.
On lui applique la fonction d’activation h = φ(Wx + b)
φ est une fonction d’activation:la fonction sigmoïde.
W une matrice de poids et b un vecteur de biais.
Elaboré par: Abir CHERMITI (ISSAT Sousse) Projet Fin D’Etude July 1, 2017 21 / 32
41. Étape de décodage:
Il s’agit de la reconstruction de ˜X identique à X.
˜X = φ (Vx + b) où V est la matrice des poids W mise à jour, dans la
première étape.
Elaboré par: Abir CHERMITI (ISSAT Sousse) Projet Fin D’Etude July 1, 2017 22 / 32
42. AgentAnalyseur: Implémentation du classificateur:
- Régression Logistique.
- Classificateur probabiliste: calcule la probabilité des données pour
qu’elles appartiennent à une classe d’anomalie ou une classe normale.
Elaboré par: Abir CHERMITI (ISSAT Sousse) Projet Fin D’Etude July 1, 2017 23 / 32
43. Test de IDS-DLA:
Elaboré par: Abir CHERMITI (ISSAT Sousse) Projet Fin D’Etude July 1, 2017 24 / 32
44. Test de IDS-DLA: sans Deep Learning
Données de test de NSL-KDD: 20 entrées de test / 123 attributs.
Elaboré par: Abir CHERMITI (ISSAT Sousse) Projet Fin D’Etude July 1, 2017 25 / 32
45. Test de IDS-DLA: Avec Deep Learning
Elaboré par: Abir CHERMITI (ISSAT Sousse) Projet Fin D’Etude July 1, 2017 26 / 32
47. Résultats:
Figure: les valeurs du taux de Precision pour STL et LR.
Elaboré par: Abir CHERMITI (ISSAT Sousse) Projet Fin D’Etude July 1, 2017 28 / 32
48. Discussion des résultats:
- La période d’apprentissage: 3 jours.
- Test de 20 entrées : 18 attaques + 2 normal
- Résultats:
Taux de précision:
98.04% sans deep learning.
99.97% avec deep learning.
Accuracy (pourcentage des enregistrements correctement classés sur le
nombre total d’enregistrements) : 90%
- Autre méthode: Deep Belief Network (DBN) + SVM (classificateur) →
précision = 92,84% [Salama, 2011].
Elaboré par: Abir CHERMITI (ISSAT Sousse) Projet Fin D’Etude July 1, 2017 29 / 32
49. 1 Introduction
2 Contexte et Problématique
3 Solution proposée
4 Conception
5 Réalisation
6 Conclusion et Perspectives
Elaboré par: Abir CHERMITI (ISSAT Sousse) Projet Fin D’Etude July 1, 2017 30 / 32
50. Conclusion
- IDS-DLA: implémente une approche comportementale des IDS.
- STL donne des résultats meilleurs en degré de précision par rapport
d’autre techniques.
- Distribution du processus de détection des intrusions à base d’agents
mobiles et coopératifs.
→
Réduction des faux positifs à l’aide du Deep Learning.
Elaboré par: Abir CHERMITI (ISSAT Sousse) Projet Fin D’Etude July 1, 2017 30 / 32
51. Perspectives
- Amélioration de l’architecture: implémenter des agents comme agent
alerte.
- Diversification les sources d’audit sur le réseau: besoin d’un agent
capture et des filtres.
- Détection des intrusions distribuées.
Elaboré par: Abir CHERMITI (ISSAT Sousse) Projet Fin D’Etude July 1, 2017 31 / 32
52. Merci pour votre attention !
Elaboré par: Abir CHERMITI (ISSAT Sousse) Projet Fin D’Etude July 1, 2017 32 / 32