IDS-DLA présentation

Le Deep Learning pour la détection des intrusions
Elaboré par: Abir CHERMITI
Président: Pr.CHERIF FAROUK & Examinateur: Dr.HAMDI
BELGACEM
Encadrant: Dr.BARIKA KTATA Farah
July 1, 2017
Elaboré par: Abir CHERMITI (ISSAT Sousse) Projet Fin D’Etude July 1, 2017 1 / 32

Plan
1 Introduction
2 Contexte et Problématique
3 Solution proposée
4 Conception
5 Réalisation
6 Conclusion et Perspectives

1 Introduction
4 Conception
5 Réalisation

Introduction
La croissance du nombre de machines inter-connectées → augmentation
du nombre des intrusions.
Exemple : L’anti-virus de Kaspersky Lab a détecté un total de 249 619
379 objets malveillants uniques et potentiellement indésirables [Kaspersky
Lab, 2016].
Pour bien sécuriser les systèmes informatiques, les chercheurs sont
toujours à la recherche des techniques plus avancées.

Introduction
Lab, 2016].
⇓

Introduction
Lab, 2016].
⇓
les systèmes de détection d’intrusions (IDS).

1 Introduction
4 Conception
5 Réalisation

Contexte
Le système de détection d’intrusions (IDS) [Lerman, 2015]:

Contexte
Consiste à:

Contexte
Consiste à:
* analyser les informations collectées.

Contexte
Consiste à:
* repérer les activités anormales ou suspectes sur le réseau ou sur un hôte.

Contexte
Consiste à:
Les types des IDS [Biondi, 2001]:

Contexte
Consiste à:
* NIDS

Contexte
Consiste à:
* NIDS
* Host IDS

Contexte
Consiste à:
* NIDS
* Host IDS
* Hybrid IDS

Contexte
Les approches d’analyse d’un IDS:

Contexte
Approche par scénario: à base de signature ,le système détecte que
les attaques qui sont déjà connues.

Contexte
Approche Comportementale:

Contexte
- contient une phase d’apprentissage.

Contexte
- contient une phase d’apprentissage.
- détecte les nouveaux types d’attaques.

Problématique

Problématique
Quelques exemples:

Objectifs
Objectif 1
Réduire le taux de faux positifs.
Objectif 2
Distribuer le processus de détection des intrusions à base d’agent.
Objectif 3
Maximiser le taux de détection en un temps opportun.

1 Introduction
4 Conception
5 Réalisation

Solution proposée

Solution proposée
Le deep learning [LeCun, 2015]:

Solution proposée
Le deep learning:
- Il existe plusieurs types de modèles de deep learning.
- Ils sont inspirés de l’architecture du cerveau de l’être humain [Muller,
2003]:
Modèle supervisé
Modèle non-supervisé
Modèle renforcé

Solution proposée
Le deep learning:
- Il existe plusieurs types de modèles de deep learning.
- Ils sont inspirés de l’architecture du cerveau de l’être humain [Muller,
2003]:
Modèle supervisé
Modèle non-supervisé
Modèle renforcé
⇓
Apprentissage autodidacte-STL (Self Taught Learning)[Javaid,
2016]

Solution proposée:IDS-DLA
Architecture:

1 Introduction
4 Conception
5 Réalisation

Conception
Diagramme de Classe:

Conception
Diagramme de séquences:

1 Introduction
4 Conception
5 Réalisation

Réalisation
Environnement de développement:

Réalisation
1- Implémentation du système multi-agent :
Conﬁguration JADE + Déploiement des agents :
Nous avons implémenté les classes agents suivantes:
agentDeep : qui va implémenter auto-encodeur.
agentAnalyseur : qui va faire la classiﬁcation avec régression
logistique (LR).

Réalisation
2- AgentAnalyseur: Pré-traitement des données:
- Nous utilisons l’ensemble des données NSL-KDD [Tavallaee, 2009] dans
l’implémentation et le test de notre modèle.
- Nous avons appliqué l’encodage Nominal-to-Binary en utilisant un outil
de data-mining; Weka tool.
- Nous avons obtenu 122 attributs.

Réalisation
3- Implémentation de l’approche Deep Learning :
STL= auto-encodeur + classiﬁcateur régression logistique
Figure: Architecture de STL [Javaid, 2016].

Réalisation
AgentDeep: Implémentation de l’Auto-encodeur:

Étape d’encodage:
On prend l’entrée X de l’ensemble de données de formation
NSL-KDD.
On lui applique la fonction d’activation h = φ(Wx + b)
φ est une fonction d’activation:la fonction sigmoïde.
W une matrice de poids et b un vecteur de biais.

Étape de décodage:
Il s’agit de la reconstruction de ˜X identique à X.
˜X = φ (Vx + b) où V est la matrice des poids W mise à jour, dans la
première étape.

AgentAnalyseur: Implémentation du classificateur:
- Régression Logistique.
- Classiﬁcateur probabiliste: calcule la probabilité des données pour
qu’elles appartiennent à une classe d’anomalie ou une classe normale.

Test de IDS-DLA:

Test de IDS-DLA: sans Deep Learning
Données de test de NSL-KDD: 20 entrées de test / 123 attributs.

Test de IDS-DLA: Avec Deep Learning

Résultats:

Résultats:
Figure: les valeurs du taux de Precision pour STL et LR.

Discussion des résultats:
- La période d’apprentissage: 3 jours.
- Test de 20 entrées : 18 attaques + 2 normal
- Résultats:
Taux de précision:
98.04% sans deep learning.
99.97% avec deep learning.
Accuracy (pourcentage des enregistrements correctement classés sur le
nombre total d’enregistrements) : 90%
- Autre méthode: Deep Belief Network (DBN) + SVM (classiﬁcateur) →
précision = 92,84% [Salama, 2011].

1 Introduction
4 Conception
5 Réalisation

Conclusion
- IDS-DLA: implémente une approche comportementale des IDS.
- STL donne des résultats meilleurs en degré de précision par rapport
d’autre techniques.
- Distribution du processus de détection des intrusions à base d’agents
mobiles et coopératifs.
→
Réduction des faux positifs à l’aide du Deep Learning.

Perspectives
- Amélioration de l’architecture: implémenter des agents comme agent
alerte.
- Diversiﬁcation les sources d’audit sur le réseau: besoin d’un agent
capture et des ﬁltres.
- Détection des intrusions distribuées.

Merci pour votre attention !

IDS-DLA présentation

Recommandé

Recommandé

Contenu connexe

Similaire à IDS-DLA présentation

Similaire à IDS-DLA présentation (8)

IDS-DLA présentation