Méthodes décisionnelles pour la sécurité

Méthodes Décisionnelles
pour la Sécurité
Mohamed Heny SELMI
Technologue en Systèmes Intelligents et Décisionnels

Détection d'intrusion dans la sécurité
informatique
 les trois objectifs principaux de la sécurité informatique :
 La Confidentialité
 L’Intégrité
 La Disponibilité
Mohamed Heny SELMI © Méthodes Décisionnelles pour la
Sécurité

informatique
 L’Intégrité
 Une intrusion est un ensemble d’actions
visant à compromettre ces trois
buts essentiels de la sécurité.
Sécurité

informatique
 L’Intégrité
visant à compromettre ces trois buts essentiels de la sécurité.
 Malheureusement, les processus de prévention des intrus
semblent toujours insuffisantes
Sécurité

informatique
 L’Intégrité
visant à compromettre ces trois buts essentiels de la sécurité.
 Malheureusement, les processus de prévention des intrus
semblent toujours insuffisantes
 Les Techniques de détection des intrusions présentent une
Solution !
Sécurité

Détection des intrusions
 La détection d'intrusion est le processus de suivi et d'analyse des événements se produisant
dans un système informatique afin de détecter des signes de problèmes de sécurité.
 Une hypothèse primordiale : les activités de n’importe quel utilisateur, ainsi que des programmes
en exécution peuvent être tous contrôlés et modélisés.
 Les éléments clefs :
i. Ressources devront être protégées.
ii. Modèle ou profil du comportement normal ou légitime sur les ressources.
iii. Méthodes efficaces qui permettent de comparer les activités en temps réel avec les modèles prédéfinis, et fournir des rapports sur
les activités probablement «intrusives».
Sécurité

Deux modes de détection d’intrusion
Misuse Detection Anomaly detection
Sécurité

Misuse Detection
 Utiliser des modèles d'attaques bien
connues pour identifier les intrusions
 Sauvegarder un modèle spécifique représentant les
intrusions.
 Surveiller et vérifier les séquences d'événements
actuels et effectuer le « pattern matching ».
 Signaler les événements appariés comme des
intrusions.
 Possibilité d’utiliser des modèles de représentation:
règles d'experts, Réseaux de Pétri , et des diagrammes
de transition d'état.
Anomaly detection
Sécurité

Misuse Detection Anomaly detection
 Evaluer tout nouvel incident selon
son écart à partir d’un modèle
général représentant toutes les
utilisations normales.
 Etablir le profil typique du comportement normal.
 Comparer les nouvelles observations avec le modèle
global établi.
 Utiliser des indicateurs statistiques pour évaluer les
profils de comportements.
Sécurité

Misuse Detection
 Utiliser des modèles d'attaques bien
connues pour identifier les intrusions
 Sauvegarder un modèle spécifique représentant les
intrusions.
 Surveiller et vérifier les séquences d'événements
actuels et effectuer le « pattern matching ».
 Signaler les événements appariés comme des
intrusions.
 Possibilité d’utiliser des modèles de représentation:
règles d'experts, Réseaux de Pétri , et des diagrammes
de transition d'état.
Anomaly detection
 Evaluer tout nouvel incident selon
son écart à partir d’un modèle
général représentant toutes les
utilisations normales.
 Etablir le profil typique du comportement normal.
 Comparer les nouvelles observations avec le modèle
global établi.
 Utiliser des indicateurs statistiques pour évaluer les
profils de comportements.
Sécurité

Misuse Detection
Mesure d’activités
Intrusion pattern Pattern Matching
On ne peut pas détecter les nouvelles formes d’intrusions possibles
Sécurité

Anomaly Detection
20
28
43
20
45 45
90
42
0
10
20
30
40
50
60
70
80
90
100
CPU Taille du processus
profil normal profil atypique
Mesure d’activités Intrusion probable
Sécurité

Classification des Intrusions
On peut classifier les intrusions en plusieurs catégories :
1. Type d’Attaques : DoS, Worm ou Trojan Horses, compromis (R2L ou
U2R), etc.
2. Nombre de connexions réseaux impliquées lors d’une attaque :
 single connection cyber attacks
 multiple connections cyber attacks
3. Sources d’attaques
 multiple vs. Single
 inside vs. outside
4. Environnement : réseau, hôte, P2P, réseaux sans fil.
5. Automatisation : manuelles, attaques automatisées, semi-automatisé
Sécurité

Exemples d’Intrusions
Attaque par déni de service
R2L : Accès non autorisé à partir d’une machine distante
U2R : acquisition des privilèges d’un super utilisateur
Probing
Trojan horse /worm
Address spoofing
Sécurité

Nombre de connexions réseaux impliquées
lors d’une attaque
Généralement, il existe deux types d’attaques des réseaux informatiques :
1. Attaques qui impliquent des connexions réseaux multiples. (Multiple connection
computer attack)
2. Attaques qui impliquent une connexion réseau unique.
Élément
Attaquant Machine
Vulnérable
Sécurité

Nombre de connexions réseaux impliquées
lors d’une attaque
Généralement, il existe deux types d’attaques des réseaux informatiques :
1. Attaques qui impliquent des connexions réseaux multiples.
2. Attaques qui impliquent une connexion réseau unique. (Single connection attack)
Élément
Attaquant
Machine
Victime
Sécurité

Sources d’attaques
 une attaque peut être déclenchée à partir d’un emplacement unique ou de plusieurs différents
endroits.
 une attaque peut cibler une unique ou plusieurs destinations.
 exigence d’analyser les données réseau à partir de plusieurs sites afin de détecter des éventuelles
attaques distribuées : attaque unique ou attaqué distribuée.
Sécurité

Environnement des attaques informatiques
• Les différents types d’attaques peuvent être classifiés selon l’environnement
où elles étaient produites :
 Intrusions des réseaux informatiques.
 Intrusions sur des machines hôtes.
 Intrusion dans un environnement P2P :
o Ordinateurs connectés agissent comme pairs sur l'Internet , rien d'autre que les clients
o Ils sont déconnectés du Système DNS à partir du moment où ils n’ont pas d’adresse IP
fixe, d’où la difficulté de retrouver ou localiser la source d’attaque.
 Intrusions dans les réseaux sans fil :
o La couche physique est moins sécurisée que dans les réseaux informatiques fixes.
o Les nœuds mobiles ne disposent pas des infrastructures fixes.
o Il n'y a pas de points de concentration de trafic où les paquets peuvent être surveillés.
Sécurité

Automatisation des attaques informatiques :
script kiddies
 Répandu la disponibilité d'outils automatisés , souvent utilisé par les
« script kiddies »
 ce sont des outils capables de sonder et balayer une grande partie
de l’Internet dans un court laps de temps :
 Généralement les attaques automatiques utilisent ces outils.
 Semi-automatique
 Manuelle IDSdes solutions proposées :
Sécurité
IPS
FirewallSIEM
SOC
NOC

IPS – Intrusion Prevention System
un outil software en sécurité des systèmes d'information, qui permet de
prendre des mesures afin de diminuer les impacts d'une attaque.
il détecte un balayage automatisé, l'IPS peut bloquer les ports
automatiquement.
Ils bloquent tout ce qui parait infectieux à leurs yeux, mais n'étant pas
fiable à 100 % ils peuvent donc bloquer malencontreusement des
applications ou des trafics légitimes.
Ils laissent parfois passer certaines attaques sans les repérer, et
permettent donc aux pirates d'attaquer un PC.
Ils sont peu discrets et peuvent être découverts lors de l'attaque d'un
pirate qui une fois qu'il aura découvert l'IPS s'empressera de trouver une
faille dans ce dernier pour le détourner et arriver à son but.
Sécurité

IDS – Intrusion Detection System
un mécanisme destiné à repérer des activités anormales ou suspectes sur la cible
analysée (un réseau ou un hôte).
Il permet ainsi d'avoir une connaissance sur les tentatives réussies comme échouées
des intrusions.
une combinaison software-hardware qui tente d’effectuer une détection
d’intrusions :
i. collecter la signature des attaques sauvegardées.
ii. créer une base de signatures connues.
iii. extraire les nouveaux descripteurs.
iv. comparer les nouvelles activités avec les descripteurs sauvegardés.
v. un système d’alarme temps-réel en cas de détection d’éventuelles intrusions possibles.
Mise à jour manuelle de la base des signatures.
Non capable de détecter les menaces émergentes.
Fausses alertes : possibilité de signaler des alertes de type «false positives» ou
«false negatives».
Sécurité

IDS : Intrusion Detection System
un mécanisme destiné à repérer des activités anormales ou suspectes sur la cible
analysée (un réseau ou un hôte).
Il permet ainsi d'avoir une connaissance sur les tentatives réussies comme échouées
des intrusions.
une combinaison software-hardware qui tente d’effectuer une détection
d’intrusions :
i. collecter la signature des attaques sauvegardées.
ii. créer une base de signatures connues.
iii. extraire les nouveaux descripteurs.
iv. comparer les nouvelles activités avec les descripteurs sauvegardés.
v. un système d’alarme temps-réel en cas de détection d’éventuelles intrusions possibles.
Mise à jour manuelle de la base des signatures.
Non capable de détecter les menaces émergentes.
Fausses alertes : possibilité de signaler des alertes de type «false positives» ou
«false negatives».
Sécurité

Mesures de performances d’un IDS
i. Taux de détection : rapport entre le nombre d'attaques correctement détectés et le
nombre total d'attaques
ii. Taux des fausses Alarmes (false positive) : rapport entre le nombre de connexions
normales qui sont mal classées à tort comme des attaques et le nombre total de
connexions normales
iii. Compromis entre le taux de détection et taux de fausses alarmes.
iv. Performance : vitesse de traitement + temps de réponse
v. Tolérance aux fautes (fault tolerance) : résistance aux attaques + récupération
Sécurité

IDS commerciaux
Misuse Detection
 SNORT open-source basé sur les signatures.
 Network Flight Recorder NFR.
 NetRanger (CISCO) .
 Shadow.
 P-Best Système Expert à base de règles qui
décrivent les comportements mal intentionnés.
 NetStat détection temps-réel basée sur les
réseaux de Pétri ou les diagrammes états-
transitions.
Anomaly detection
 IDES, NIDES système statistique de détection.
 EMERALD système statistique de détection.
 SPADE package statistique pour SNORT.
 Computer Watch (AT&T) système expert à base
de règles détectant les anomalies de
comportement.
 Wisdom & Sense ensemble de règles
statistiques reconnaissant le comportement
normal.
Sécurité

Problèmes rencontrés par les IDS
 Attacks Stealthiness :
 attaque furtive pouvant être une personne qui active l’interrogation des paquets de
données depuis et envers un réseau afin de trouver une méthode pour compromettre la
sécurité.
 la personne utilise pour une courte période de temps pour ses gains puis elle supprime
toute trace ou toutes les actions, à partir même de l’administrateur du réseau ou d’un
IDS.
 Novel Intrusion Detection :
 indétectable par la base des signatures IDS.
 Devrait être détectée comme des anomalies significatives en observant l’écarts par
rapport au comportement normal du réseau.
 Attaques distribuées :
 nécessité d’une corrélation des attaques.
Sécurité

Firewall
 un software ou hardware chargé d’assurer la protection du monde
extérieur en contrôlant ce qui passe, et surtout ce qui ne devrait pas
passer entre internet et le réseau local.
Sécurité

Firewall
extérieur en contrôlant ce qui passe, et surtout ce qui ne devrait pas
passer entre internet et le réseau local.
 contrôle : Gérer les connexions sortantes à partir du réseau local.
 sécurité : Protéger le réseau local interne des intrusions venant de
l’extérieur.
 vigilance : Surveiller ou Tracer le trafic entre le réseau local et
internet.
Sécurité

Firewall
extérieur en contrôlant ce qui passe, et surtout ce qui ne devrait pas passer
entre internet et le réseau local.
aucun firewall n’est infaillible : tout pirate qui parvient à pénétrer le réseau
peut causer des dégâts considérables.
possibilité de détruire le Firewall et donner l’accès à n’importe quel
utilisateur.
très difficile de reconstituer une attaque, même si le pirate laisse des
traces, celles-ci sont souvent inexploitable.
Sécurité

Firewall – pfsense
 c’est un routeur/pare-feu (firewall-router) open source.
 convient pour la sécurisation d'un réseau domestique ou de petite
entreprise.
 il permet le Filtrage par IP source et destination, port du protocole, IP
source et destination pour le trafic TCP et UDP.
la personne en charge de gérer le parc informatique doit avoir les
compétences nécessaire.
ne supporte pas de grands volumes de données.
Sécurité

SIEM – Security Information and Event Management
 appelés également SEM (security event management)
ou SEIM (security event information management).
 c’est une plateforme polyvalente qui permet de gérer l’ensemble des
évènements d’un système d’informations et corréler les logs :
 collecte des logs.
 analyse des logs.
 corréler les évènements.
 Reporting.
 Dashboarding.
 alerte en temps réel.
 Archivage et historisation.
Sécurité

SOC – Security Operating Center
 c’est un centre de supervision et d’administration de la sécurité.
 c’est une plateforme dont la fonction principale est de fournir des services de
détection des intrusions.
 contient un firewall, un IDS, un IPS, un SIEM …
complexité de collecter et de corréler de très nombreux logs émis dans des
formats divers pour n'identifier que les alertes pertinentes.
a toujours besoin de s’intégrer dans un NOC.
Sécurité

SOC
Sécurité

NOC – Network Operation Center
 NOC se focalise sur le bon fonctionnement du SOC et sa disponibilité.
 un service chargé du contrôle des transactions, de la surveillance des incidents,
de la charge d'un réseau local ou interconnecté :
 l'administration du réseau ;
 la mise en œuvre des nouveaux services ;
 l'administration des accès et de la bande passante.
Sécurité

Récap sur les points faibles des solutions proposées
Misuse detection
On est toujours dans l’obligation
de coder manuellement les
nouveaux modèles d’intrusion :
Apprentissage manuel !
Les systèmes IDS traditionnels
sont incapables de prédire ou de
classifier les nouvelles
intrusions.
Anomaly detection
Le choix du bon ensemble de
descripteurs de modèle est
basé uniquement sur
l’expérience.
Non capable de modéliser les
associativités ou les corrélations
entre les évènements ou
séquences d’évènements.
Sécurité

Objectifs de la solution
• La solution qu’on désire implémenter doit satisfaire les points suivants :
construire de bons modèles :
 savoir collecter, filtrer et préparer les données d’audit nécessaires pour la
construction des modèles de détection d’intrusion.
construire les meilleurs modèles :
 combiner et essayer d’appliquer plusieurs modèles sur les mêmes échantillons
de données afin de dégager le modèle le plus adéquat avec la nature de données
mises en jeu.
construire les modèles mises à jours :
 les modèles de détections d’intrusion sélectionnés doivent être capables de
s’adapter avec les nouvelles formes ou les aspects comportementaux imprévus.
Méthodes Décisionnelles - Data Mining
Sécurité

Le Data Mining
dans le Cyber Security

Data Mining - KDD
• Processus Informatique ECD :
• Extraction de Connaissances à partir de grands volumes de Données.
Sélection
Preprocessing
Transformation
Data Mining
Interprétation
Evaluation
Sécurité

Apprentissage
Non Supervisé
 fournissent directement des résultats :
à évaluer, à interpréter et à utiliser !
 visent à mettre en évidence des
connaissances présentes mais
cachées par le volume des données.
 réduisent, résument, synthétisent les
masses volumuneuses de données.
 pas de variable « cible ».
Data Mining – familles de méthodes
Sécurité

Apprentissage supervisé
 fournissent un modèle (et non pas des
résultats), créé à partir d’un entrepôt
d’apprentissage, testé et validé sur un
entrepôt de test, et utilisé dans les
problèmes de prise de décision sur des
entrepôts de travail.
 visent à découvrir de nouvelles
connaissances à partir des informations
présentes : décisions.
 expliquent mieux les données.
 Une variable « cible».
Data Mining – familles de méthodes
Sécurité

Data Mining – Objectifs
Méthodes
Non Supervisées
Segmentation Analyse Factorielle
& Réduction de la dimension
Associativité
Méthodes
Supervisées
Classification
Scoring
Régression
Sécurité

Data Mining – Machine Learning
Sécurité
Tid SrcIP
Start
time
Dest IP Dest
Port
Number
of bytes
Attack
1 206.135.38.95 11:07:20 160.94.179.223 139 192 No
2 206.163.37.95 11:13:56 160.94.179.219 139 195 No
3 206.163.37.95 11:14:29 160.94.179.217 139 180 No
4 206.163.37.95 11:14:30 160.94.179.255 139 199 No
5 206.163.37.95 11:14:32 160.94.179.254 139 292 Yes
6 206.163.37.95 11:14:35 160.94.179.253 139 177 No
7 206.163.37.95 11:14:36 160.94.179.252 139 172 No
8 206.163.37.95 11:14:38 160.94.179.251 139 285 Yes
9 206.163.37.95 11:14:41 160.94.179.250 139 195 No
10 206.163.37.95 11:14:44 160.94.179.249 139 268 Yes
10

Data Mining – sources de données
Text mining
Web mining
Opinion mining
IoT
Business
Intelligence
Big
Data
Social Network
Analysis
Sécurité

Informatique décisionnelle traditionnelle
Traditional Business Intelligence
Alimentation ETL Modélisation Analyse et Restitution
Sécurité

Big Data
Sécurité

IoT – Internet of Things
Sécurité

Data Mining et détection d’intrusions –
Etapes essentielles
1. Conversion des données à partir du système surveillé en des données utilisables
par la modélisation Data Mining.
2. Paramétrage et Construction du ‘’modèle Data Mining’’ :
Misuse detection models ou Anomaly detection models.
3. Analyse et Synthèse des résultats.
Données Paramétrage Modélisation Analyse
Sécurité

Data Mining –
Modélisation
CRISP DM
Cross Industry Standard Process for Data
Mining
Sécurité

Intervention selon les modes de détections
Misuse detection
construction de modèles prédictifs à partir
d’historiques de données contenant une
variable catégorielle décrivant l’état de
l’intrusion : normale ou intrusive
les modèles construits sont plus performants
que les modèles où les signatures sont créés
manuellement.
possibilité d’utiliser les méthodes
d’évaluation des modèles ou les indicateurs
de pertinence.
Impossible de détecter les attaques dont les
instances ne sont pas encore observées.
Anomaly detection
Construction d’un modèle global
représentant le comportement
normal des instances, et évaluer les
anomalies selon l’écart par rapport à
lui.
possibilité de proposer un intervalle
de confiance.
possibilité d’étudier la pertinence des
variables et construire des modèles
réduits.
taux de fausse alarme remarquable.
Sécurité

Misuse detection
construction de modèles prédictifs à partir
d’historiques de données contenant une
variable catégorielle décrivant l’état de
l’intrusion : normale ou intrusive
les modèles construits sont plus performants
que les modèles où les signatures sont créés
manuellement.
possibilité d’utiliser les méthodes
d’évaluation des modèles ou les indicateurs
de pertinence.
Impossible de détecter les attaques dont les
instances ne sont pas encore observées.
Anomaly detection
Construction d’un modèle global
représentant le comportement
normal des instances, et évaluer les
anomalies selon l’écart par rapport à
lui.
possibilité de proposer un intervalle
de confiance.
possibilité d’étudier la pertinence des
variables et construire des modèles
réduits.
taux de fausse alarme remarquable.
Apprentissage Supervisé Apprentissage Non Supervisé
Sécurité

projets en cours…
JAM (Java Agents for Metalearning) : développé par Columbia University.
ADAM (Audit Data Analysis and Mining) : développé par George Mason
University
MADAM ID (Mining Audit Data for Automated Models for Intrusion
Detection) Columbia University, Georgia Tech, Florida Tech.
MINDS (University of Minnesota) MINnesota INtrusion Detection System.
IIDS, Intelligent Intrusion Detection, Mississippi State University.
Data Mining for Network Intrusion Detection (MITRE corporation)
Agent based data mining system (Iowa State University)
IDDM – Department of Defense, Australia
Sécurité

JAM – Java Agents for Metalearning
 Utilise des techniques du Data Mining pour la découverte des formes
d’intrusions, et ce en adoptant les méthodes supervisées de classification
pour faire l’apprentissage de la base des signatures des attaques.
 En utilisant un des algorithmes des règles d’association, JAM détermine les
relations entre les champs dans les enregistrements de piste de vérification,
et les fréquents épisodes motifs séquentiels des évènements d’audit.
 Le classifieur construit un descripteur des attaques, ainsi donc le Data Mining
dans JAM présente un modèle de détection d’abus. (misuse detection model)
 Les classifieurs JAM sont générés en utilisant un processus supervisé sous
forme de base de règles sur les données d’apprentissage, ensuite les résultats
de l’application des règles de classification seront utilisés pour la
reconnaissance d’anomalies ou pour la détection d’intrusions reconnues.
 Le système JAM est testé sur les données de «sendmail-based attacks», ainsi
que les attaques réseau en utilisant TCP dump data.
Sécurité

ADAM – Audit Data Analysis and Mining
 système de détection d’anomalies (réseau) en ligne. (anomaly detection system)
 basé sur les règles d’association et les arbres de décision.
 composé de trois modules : moteur du prétraitement, moteur de fouille et moteur de
classification :
 le moteur de prétraitement (preprocessing engine) filtre les données de trafic TCP/IP et extrait les
informations à partir de l’entête de chaque connexion selon un schéma prédéfini.
 le moteur de fouille (mining engine) applique les modèles des règles associatives sur les
enregistrements de connexion, selon les deux modes : mode d’apprentissage et mode de détection.
 le moteur de classification (classification engine) sera chargé de classifier les règles associatives
inattendues selon des évènements normaux ou anormaux, ces derniers peuvent être l’objet d’attaques.
Sécurité

 système de détection d’anomalies réseau en ligne. (anomaly detection system)
 basé sur les règles d’association et les arbres de décision.
 composé de trois modules : moteur du prétraitement, moteur de fouille et moteur de
classification :
 le moteur de prétraitement (preprocessing engine) filtre les données de trafic TCP/IP et extrait les
informations à partir de l’entête de chaque connexion selon un schéma prédéfini.
 le moteur de fouille (mining engine) applique les modèles des règles associatives sur les
enregistrements de connexion, selon les deux modes : mode d’apprentissage et mode de détection.
 le moteur de classification (classification engine) sera chargé de classifier les règles associatives
inattendues selon des évènements normaux ou anormaux, ces derniers peuvent être l’objet d’attaques.
Sécurité
Dans le mode d’apprentissage, le moteur de fouille
définit un profil-modèle général associé aux
utilisateurs et systèmes ayant un comportement
«normal», et il en génère des règles associatives
typiques pour le moteur de classification.
Dans le mode de détection, le moteur de fouille
dans les règles d’association inattendues qui sont
différentes du modèle général défini.

ADAM – Framework de la phase d’apprentissage
Sécurité

ADAM – Framework de la phase de test
Sécurité

MADAM ID – Mining Audit Data for Automated Models for Intrusion Detection
l’approche utilisée par MADAM ID consiste à l’apprentissage des classifieurs faisant
la distinction entre activité normale et intrusion.
la performance du pouvoir prédictif des classifieurs peut être empesée, et ce se
comptant sur toutes les variables prédictives pour expliquer la variable cible.
Pour remédier à ce problème, MADAM ID combine les règles associatives à des AFN
(frequent episode rules basées sur automates finis non déterministes) dans le but de
construire des attributs prédictifs supplémentaires plus pertinents et significatifs par
rapport à la variable cible : attributs caractéristiques ou descripteurs de forme.
(features)
MADAM ID est basé sur le mode de détection d’abus : misuse detection model à
partir d’exemples.
à l’aide de “sniffer” on fait la collecte des données de traffic du réseau : tcpdump, les
outils net-flow, ces données seront prétraitées afin de créer des enregistrements de
connexion (connections records).
Sécurité

 L’essentiel de l’information collectée est :
 temps de départ et durée
 Type du protocole
 Hôte source
 Hôte destination
 Adresse IP de la source
 Port de la destination
 Nombre de bits par connexion
 Nombre de paquets
 Etc.
 Dans le cas d’un réseau TCP/IP, les enregistrements de connexions résument
la session TCP.
 Lors de l’utilisation de MADAM ID, il est indispensable d’avoir des bases de
données volumineuses, contenant déjà les valeurs d’une variable cible :
« normal records » ou « attack »
Sécurité
MADAM ID – Données collectées

MADAM ID – Processus
Sécurité
1. Construction des modèles prédictifs (feature construction)
 Construction de quelques modèles prédictifs utiles pour l’analyse.
 Exp. <next slide>
2. Apprentissage du modèle de classification (classifier learning)
i. Les enregistrements de connexion d’apprentissage sont partitionnés en deux
échantillons : «normal connection records» et «intrusion connection
records».
ii. Appliquer – séparément – les règles associatives sur les deux échantillons
d’apprentissage. Les modèles obtenus sont comparés et les modèles extraits à
partir de l’échantillon «intrusion connection records» sont collectés pour former les
modèles classifieurs des intrusions (the intrusion only patterns).
iii. Les classifieurs «intrusion only patterns» sont utilisés pour obtenir de nouveaux attributs
qui seront considérés comme des variables prédictives pertinentes.
iv. Ainsi, l’apprentissage des classifieurs est réalisé, de telle sorte que ces derniers seront
capables de reconnaitre (prédire ou classifier) la nature de tout enregistrement de
connexion.

MADAM ID – Exemple à partir des données de trafic réseau
Sécurité
flagdst … service …
h1 http S0
h1 http S0
h1 http S0
h2 http S0
h4 http S0
h2 ftp S0
syn flood
normal
dst … service …
h1 http S0
h1 http S0
h1 http S0
h2 http S0
h4 http S0
h2 ftp S0
flag %S0
70
72
75
0
0
0
Variables caractéristiques existantes Création de nouvelles variables utiles

MADAM ID – Exemple de construction de modèle
 on considère comme exemple, l’attaque «SYN flood» :
Sécurité

MADAM ID – Exemple de construction de modèle
 le modèle de l’attaque «Syn flood» peut s’écrire sous forme de règle :
(flag = S0, service = http), (flag = S0, service = http)  (flag = S0, service = http) [0.6,
2s]
 ainsi, on peut y ajouter des variables caractéristiques (features) comme
:
 compter le nombre de connexions pour la même hôte durant les deux
dernières secondes.
 le pourcentage avec le même service.
 le pourcentage avec S0.
 à chaque itération, il est possible qu’on cherche à compter les
pourcentages en essayant avec plusieurs fonctions heuristiques.
problème rencontré : données non structurées.
Sécurité

MINDS – Minnesota INtrusion Detection System
 utilise une panoplie de méthodes décisionnelles du data mining pour la
détection automatique des attaques réseaux ou systèmes à savoir : les
techniques de scoring, et les techniques de segmentation.
 les systèmes MINDS utilisent des techniques d’anomaly detection en
associant un score à chaque connexion afin de déterminer à quelle
point elle mérite être un cas attaque ou bien un cas normal.
 apprentissage à partir des classes rares : construction de modèle de
prédiction pour les classes rares.
 détection des valeurs aberrantes : des anomalies.
 caractérisation des attaques à l’aide de l’analyse du motif d’association.
Sécurité

MINDS – Données collectées
 adresse IP source
 port IP source
 adresse IP destination
 port IP destination
 protocole
 flags
 nombre de bit
 nombre de package
Sécurité

MINDS – Associativité
et Segmentation
Trouver une règle associative représentant
une attaque.
Sécurité
Règle d’association découverte:
{Src IP = 206.163.37.95, Dest Port = 139, Bytes > 200]} --> {ATTACK}
Tid SrcIP
Start
time
Dest IP Dest
Port
Number
of bytes
Attack
1 206.135.38.95 11:07:20 160.94.179.223 139 192 No
2 206.163.37.95 11:13:56 160.94.179.219 139 195 No
3 206.163.37.95 11:14:29 160.94.179.217 139 180 No
4 206.163.37.95 11:14:30 160.94.179.255 139 199 No
5 206.163.37.95 11:14:32 160.94.179.254 139 292 Yes
6 206.163.37.95 11:14:35 160.94.179.253 139 177 No
7 206.163.37.95 11:14:36 160.94.179.252 139 172 No
8 206.163.37.95 11:14:38 160.94.179.251 139 285 Yes
9 206.163.37.95 11:14:41 160.94.179.250 139 195 No
10 206.163.37.95 11:14:44 160.94.179.249 139 268 Yes
10

et Segmentation
Peut-on appliquer la règle proposée sur cet
échantillon de test?
Sécurité
Règle d’association découverte:
{Src IP = 206.163.37.95, Dest Port = 139, Bytes > 200} --> {ATTACK}
Tid SrcIP
Start
time
Dest Port
Number
of bytes
Attack
1 206.163.37.81 11:17:51 160.94.179.208 150 ?
2 206.163.37.99 11:18:10 160.94.179.235 208 ?
3 206.163.37.55 11:34:35 160.94.179.221 195 ?
4 206.163.37.37 11:41:37 160.94.179.253 199 ?
5 206.163.37.41 11:55:19 160.94.179.244 181 ?

et Segmentation
À partir de la représentation des ‘clusters’,
que peut-on déduire à propos la présence
d’anomalies dans l’échantillon de données ?
Sécurité
Tid SrcIP
Start
time
Dest IP Dest
Port
Number
of bytes
Attack
1 206.135.38.95 11:07:20 160.94.179.223 139 192 No
2 206.163.37.95 11:13:56 160.94.179.219 139 195 No
3 206.163.37.95 11:14:29 160.94.179.217 139 180 No
4 206.163.37.95 11:14:30 160.94.179.255 139 199 No
5 206.163.37.95 11:14:32 160.94.179.254 139 19 Yes
6 206.163.37.95 11:14:35 160.94.179.253 139 177 No
7 206.163.37.95 11:14:36 160.94.179.252 139 172 No
8 206.163.37.95 11:14:38 160.94.179.251 139 285 Yes
9 206.163.37.95 11:14:41 160.94.179.250 139 195 No
10 206.163.37.95 11:14:44 160.94.179.249 139 163 Yes
10

MINDS – Processus
Sécurité
dispositif de
capture de
données
Filtrage de
données
Extraction de
caractéristiques
Détection d’attaques connues
profiling
Anomaly detection
Récapitulation
segmentation
Detection de
nouvelles
attaques
Nouveaux
attributs
MINDS

MINDS
Exemple de données
Sécurité
score srcIP sPort dstIP dPort protocolflags packets bytes
37674,69 63.150.X.253 1161 128.101.X.29 1434 17 16 [0,2) [0,1829)
26676,62 63.150.X.253 1161 160.94.X.134 1434 17 16 [0,2) [0,1829)
24323,55 63.150.X.253 1161 128.101.X.185 1434 17 16 [0,2) [0,1829)
21169,49 63.150.X.253 1161 160.94.X.71 1434 17 16 [0,2) [0,1829)
19525,31 63.150.X.253 1161 160.94.X.19 1434 17 16 [0,2) [0,1829)
19235,39 63.150.X.253 1161 160.94.X.80 1434 17 16 [0,2) [0,1829)
17679,1 63.150.X.253 1161 160.94.X.220 1434 17 16 [0,2) [0,1829)
8183,58 63.150.X.253 1161 128.101.X.108 1434 17 16 [0,2) [0,1829)
7142,98 63.150.X.253 1161 128.101.X.223 1434 17 16 [0,2) [0,1829)
5139,01 63.150.X.253 1161 128.101.X.142 1434 17 16 [0,2) [0,1829)
4048,49 142.150.Y.101 0 128.101.X.127 2048 1 16 [2,4) [0,1829)
4008,35 200.250.Z.20 27016 128.101.X.116 4629 17 16 [2,4) [0,1829)
3657,23 202.175.Z.237 27016 128.101.X.116 4148 17 16 [2,4) [0,1829)
3450,9 63.150.X.253 1161 128.101.X.62 1434 17 16 [0,2) [0,1829)
3327,98 63.150.X.253 1161 160.94.X.223 1434 17 16 [0,2) [0,1829)
2796,13 63.150.X.253 1161 128.101.X.241 1434 17 16 [0,2) [0,1829)
2693,88 142.150.Y.101 0 128.101.X.168 2048 1 16 [2,4) [0,1829)
2683,05 63.150.X.253 1161 160.94.X.43 1434 17 16 [0,2) [0,1829)
2444,16 142.150.Y.236 0 128.101.X.240 2048 1 16 [2,4) [0,1829)
2385,42 142.150.Y.101 0 128.101.X.45 2048 1 16 [0,2) [0,1829)
2114,41 63.150.X.253 1161 160.94.X.183 1434 17 16 [0,2) [0,1829)
2057,15 142.150.Y.101 0 128.101.X.161 2048 1 16 [0,2) [0,1829)
1919,54 142.150.Y.101 0 128.101.X.99 2048 1 16 [2,4) [0,1829)
1634,38 142.150.Y.101 0 128.101.X.219 2048 1 16 [2,4) [0,1829)
1596,26 63.150.X.253 1161 128.101.X.160 1434 17 16 [0,2) [0,1829)
1513,96 142.150.Y.107 0 128.101.X.2 2048 1 16 [0,2) [0,1829)
1389,09 63.150.X.253 1161 128.101.X.30 1434 17 16 [0,2) [0,1829)
1315,88 63.150.X.253 1161 128.101.X.40 1434 17 16 [0,2) [0,1829)
1279,75 142.150.Y.103 0 128.101.X.202 2048 1 16 [0,2) [0,1829)
1237,97 63.150.X.253 1161 160.94.X.32 1434 17 16 [0,2) [0,1829)
1180,82 63.150.X.253 1161 128.101.X.61 1434 17 16 [0,2) [0,1829)
1107,78 63.150.X.253 1161 160.94.X.154 1434 17 16 [0,2) [0,1829)

Sécurité
score srcIP sPort dstIP dPort protocolflagspackets bytes
37674,69 63.150.X.253 1161 128.101.X.29 1434 17 16 [0,2) [0,1829)
26676,62 63.150.X.253 1161 160.94.X.134 1434 17 16 [0,2) [0,1829)
24323,55 63.150.X.253 1161 128.101.X.185 1434 17 16 [0,2) [0,1829)
21169,49 63.150.X.253 1161 160.94.X.71 1434 17 16 [0,2) [0,1829)
19525,31 63.150.X.253 1161 160.94.X.19 1434 17 16 [0,2) [0,1829)
19235,39 63.150.X.253 1161 160.94.X.80 1434 17 16 [0,2) [0,1829)
17679,1 63.150.X.253 1161 160.94.X.220 1434 17 16 [0,2) [0,1829)
8183,58 63.150.X.253 1161 128.101.X.108 1434 17 16 [0,2) [0,1829)
7142,98 63.150.X.253 1161 128.101.X.223 1434 17 16 [0,2) [0,1829)
5139,01 63.150.X.253 1161 128.101.X.142 1434 17 16 [0,2) [0,1829)
4048,49 142.150.Y.101 0 128.101.X.127 2048 1 16 [2,4) [0,1829)
4008,35 200.250.Z.20 27016 128.101.X.116 4629 17 16 [2,4) [0,1829)
3657,23 202.175.Z.237 27016 128.101.X.116 4148 17 16 [2,4) [0,1829)
3450,9 63.150.X.253 1161 128.101.X.62 1434 17 16 [0,2) [0,1829)
3327,98 63.150.X.253 1161 160.94.X.223 1434 17 16 [0,2) [0,1829)
2796,13 63.150.X.253 1161 128.101.X.241 1434 17 16 [0,2) [0,1829)
2693,88 142.150.Y.101 0 128.101.X.168 2048 1 16 [2,4) [0,1829)
2683,05 63.150.X.253 1161 160.94.X.43 1434 17 16 [0,2) [0,1829)
2444,16 142.150.Y.236 0 128.101.X.240 2048 1 16 [2,4) [0,1829)
2385,42 142.150.Y.101 0 128.101.X.45 2048 1 16 [0,2) [0,1829)
2114,41 63.150.X.253 1161 160.94.X.183 1434 17 16 [0,2) [0,1829)
2057,15 142.150.Y.101 0 128.101.X.161 2048 1 16 [0,2) [0,1829)
1919,54 142.150.Y.101 0 128.101.X.99 2048 1 16 [2,4) [0,1829)
1634,38 142.150.Y.101 0 128.101.X.219 2048 1 16 [2,4) [0,1829)
1596,26 63.150.X.253 1161 128.101.X.160 1434 17 16 [0,2) [0,1829)
1513,96 142.150.Y.107 0 128.101.X.2 2048 1 16 [0,2) [0,1829)
1389,09 63.150.X.253 1161 128.101.X.30 1434 17 16 [0,2) [0,1829)
1315,88 63.150.X.253 1161 128.101.X.40 1434 17 16 [0,2) [0,1829)
1279,75 142.150.Y.103 0 128.101.X.202 2048 1 16 [0,2) [0,1829)
1237,97 63.150.X.253 1161 160.94.X.32 1434 17 16 [0,2) [0,1829)
1180,82 63.150.X.253 1161 128.101.X.61 1434 17 16 [0,2) [0,1829)
1107,78 63.150.X.253 1161 160.94.X.154 1434 17 16 [0,2) [0,1829)
Règles pertinentes:
1.
{Dest Port = 1434/UDP
#packets  [0, 2)} -->
Highly anomalous behavior (Slammer Worm)
2.
{Src IP = 142.150.Y.101, Dest Port = 2048/ICMP
#bytes  [0, 1829]} --> Highly anomalous behavior
(ping – scan)

Base de données pour la détection des
intrusions
 base de données DARPA 1998 et son amélioration KDDCup99 créée
lors du lancement du projet MADAM ID.
 base de données DARPA 1999.
 System call traces data set. (Université New Mexico)
 Solaris audit data using BSM (Basic Security Module)
 Université de Melbourne, Australia :
• MOAT : packet trace files.
• Auckland II, packet trace files.
 bases de données avec fichier de virus disponibles dans université de
Columbia.
Sécurité

Base de données DARPA 1998
 c’est une base de données préparée par MIT Lincoln Laboratory en 1998, elle
comprend une grande variété d’intrusions dans un environnement de simulation
du réseau militaire.
 9 semaines de déchargement de données TCP brutes :
 7 semaines pour des données d’apprentissage. (5 millions connections sauvegardées)
 2 semaines pour des données de test. (2 millions connections sauvegardées)
 les connections sont classifiées selon une variable catégorielle ayant deux
attributs : normal ou attaque.
 les types d’attaques existants sont essentiellement :
i. DOS
ii. Probe
iii. U2R
iv. R2L
Sécurité

Base de données DARPA 1999
les types d’attaques existants sont :
Sécurité

Méthodes décisionnelles pour la sécurité

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

Similaire à Méthodes décisionnelles pour la sécurité

Similaire à Méthodes décisionnelles pour la sécurité (20)

Dernier

Dernier (15)

Méthodes décisionnelles pour la sécurité