La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

1 Contriubtions du CRIL dans le cadre de lACI Daddi Mars 2006 Présenté par: Zied Elouedi

Présentations similaires


Présentation au sujet: "1 Contriubtions du CRIL dans le cadre de lACI Daddi Mars 2006 Présenté par: Zied Elouedi"— Transcription de la présentation:

1 1 Contriubtions du CRIL dans le cadre de lACI Daddi Mars 2006 Présenté par: Zied Elouedi

2 2 Introduction Traitement du problème de détection dintrusions comme un problème de classification.

3 3 Ensemble dapprentissage Modèle de classification Classifieur Choix de la technique Phase de construction (apprentissage) Phase de classification (inférence) CertainIncertain CertainIncertain

4 4 Cadre stanadrd

5 5 Ensemble dapprentissage certain (détection dintrusions) ProtocoleServiceFlagClasse tcphttpSFNormal tcphttpRSTONormal tcphttpREJProbing tcptimeSFProbing tcptimeSODOS tcpauthSFNormal tcpauthSODOS tcpprivateSFNormal tcpprivateSFNormal tcpprivateREJProbing tcpprivateRSTODOS tcpprivateSODOS udpdomain_uSFNormal udpprivateSFDOS tcphttpRSTONormal tcpprivateRSTODOS tcphttpSFNormal Nature des connexions …

6 6 Arbres de décision Techniques utilisées o Une technique de classification. o Expression simple de la connaissance. o Compréhension et interprétation facile des résultats. Réseaux Bayésiens naïfs o Un nœud racine (classe). o Plusieurs nœuds enfants (attributs). o Forte hypothèse (naïve) d'indépendance entre les enfants. dans le contexte de leur parent.

7 7 Arbres de décision flag SF protocole RSTO udp N tcp http PN domain-u private P service REJ http NP domain-u private D service D udpPrivateC=?SF Nouvelle connexion

8 8 Réseaux Bayésiens naïfs Classe ProtocoleService Flag P(Protocole | Classe) P(Service | Classe)P(Flag | Classe) P(Classe) udpPrivateC=?RSTO Nouvelle connexion Max P(Classes | E) E

9 9 Méta-classifieur AD Connexion Méta-classifieur AD+RBN RBN Type de la connexion

10 10 Cadre incertain: Arbre de décision crédibiliste (BDT)

11 11 ProtocoleServiceFlagClasse tcphttpSFNormal tcphttpRSTONormal tcphttpREJProbing ou DOS tcptimeSFProbing tcptimeSODOS tcpauthSFNormal tcpauthSO? tcpprivateSFNormal tcpprivateSFNormal tcpprivateREJProbing tcpprivateRSTO DOS avec degré 1 et U2R avec degré 2 tcpprivateSODOS udpdomain_uSFNormal udpprivateSF DOS avec degré 1 et (U2R ou R2L) avec degré 2 tcphttpRSTO? tcpprivateRSTODOS tcphttpSFNormal Ensemble dapprentissage incertain

12 12 Fonction de masse de croyance élémentaire (bba) m: 2 [0,1] m(A)Partie de croyance attribuée exactement à A Exemple = {A, H, M}; A: Avion; H: Hélicoptère; M: Missile 2 = {, {A}, {H}, {M}, {A, H}, {A, M}, {H, M},{A, H, M}} m({A}) = 0.6; m({A, H}) = 0.2; m( ) = 0.2 Théorie des fonctions de croyance

13 13 Idée Utilisation de la théorie des fonctions de croyance qui permet: L'expression des croyances partielles. La possibilité d'exprimer l'ignorance partielle ou totale. Le traitement des jugements subjectifs et personnels. La représentation des informations mathématiques et épistémiques. La combinaison de lévidence survenue de plusieurs sources dinformation. Ladaptation aux systèmes de raisonnement (système expert, système daide à la décision, IDS,…).

14 14 Combinaison Règle conjonctive: Construire une bba quand toutes les pièces dévidence sont acceptées. Règle disjonctive: Construire une bba quand au moins une pièce dévidence est acceptée mais on ne connaît pas laquelle. Exemple m 1 ({A}) = 0.6; m 1 ({A, H}) = 0.2; m 1 ( ) = 0.2; m 2 ({H}) = 0.4; m 2 ({A, H}) = 0.3; m 2 ( ) = 0.3; Règle conjonctive: (m 1 m 2 )( ) = 0.24; (m 1 m 2 )({A}) = 0.36; (m 1 m 2 )({H})=0.16; (m 1 m 2 )({A, H}) = 0.18; (m 1 m 2 )( ) = 0.06; Règle disjonctive: (m 1 m 2 )({A, H}) = 0.56; (m 1 m 2 )( ) = 0.44; Théorie des fonctions de croyance

15 15 Prise de décision Niveau de croyance Niveau pignistique Transformation pignistique Exemple m({H}) = 0.4; m({A, H}) = 0.3; m( ) = 0.3 betP({A}) = 0.25; betP({H}) = 0.65; betP({M}) = 0.1; Théorie des fonctions de croyance

16 16 Exemple ProtocoleServiceFlagClasse tcphttpSFm{I1} tcphttpRSTOm{I2} tcphttpREJm {I3} tcptimeSFm{I4} tcptimeSOm{I5} tcpauthSFm{I6} tcpauthSOm{I7} tcpprivateSFm{I8} tcpprivateSFm{I9} tcpprivateREJm{I10} tcpprivateRSTOm{I11} tcpprivateSOm{I12} udpdomain_uSFm{I13} udpprivateSFm{I14} tcphttpRSTOm{I15} tcpprivateRSTOm{I16} tcphttpSFm{I17}

17 17 Connexions dapprentissage tcphttpNSFtcphttpm{I1}SF m{I1}(N) = 1 N : Normal; D: DOS; U: U2R; R: R2L; P: Probing tcphttpREJtcphttpm{I2}REJ P D m{I2}(P D) = 1 tcpauthm{I3}SFtcpauthSF N(70%),D(30%) m{I3}(N) = 0.7; m{I3}(D) = 0.3

18 18 Connexions dapprentissage udpprivatem{I4}SFudpprivateSF D(60%),U R(40%) m{I4}(D) = 0.6; m{I4}(U R) = 0.4 udpdomain-um{I5}SFudpdomain-uSF N(80%),? m{I5}(N) = 0.8; m{I5}( ) = 0.2 = {N, D, P, U, R} tcpauthm{I6}SOtcpauthSO ? m{I6}( ) = 1

19 19 Arbres de décision Arbre de décision crédibiliste Traiter lincertitude au niveau de la détection dintrusions Théorie des fonctions de croyance (TBM) + + Arbres de décision crédibilistes (BDT)

20 20 Arbres de d é cision cr é dibilistes (BDT) flag SF protocol-type RSTO udp tcp http domain-u private service REJ http domain-u private service m1 m5 m6 m4 m3 m2 m7 m8 Comment construire un classifieur (BDT) avec des classes de connexions dapprentissages incertaines ?

21 21 Stratégie de partitionnement Critères darrêt Structure des feuilles Mesure de sélection dattributs Le principe:

22 22 Mesure de s é lection d attributs Extension de lalgorithme de Quinlan (C4.5). Approche par moyenne Adaptation du ratio de gain au conexte incertain Utilisation de distance entre les objets. Approche conjunctive Basée sur les concepts de base du TBM

23 23 Approche par moyenne I4I4 I1I1 I2I2 I3I3 m{I 1 } m{I 2 } m{I 3 } m{I 4 }. Ensemble dapprentissage T Lentropie de la distribution des classes dans T. Lentropie de la distribution des classes dans les sous ensembles dapprentissage (suite au partitionnement). Calculer la ratio de gain de chaque attribut. Choisir lattribut qui offre le plus de ratio de gain (le plus discriminant)

24 24 Approche conjunctive I4I4 I1I1 I2I2 I3I3 Ensemble dapprentissage T m{I 1 } m{I 2 } m{I 3 } m{I 4 }. Développer une distance entre bbas Tous les objets dune feuiles doivent être proches les uns des autres Minimiser la distance intra-groupe. Maximiser la distance inter-group.

25 25 Création dune branche pour chaque valeur dattributs. Stratégie de pratitionnement Attributs symboliques Attributs continus Découper en sous-ensembles ordonnés

26 26 Le nœuds contient une seule connexion (objet). Le nœud contient des connexions ayant la même bba. Il n y a plus dattributs à tester. La valeur de la mesure de sélection sur les attributs restants est inférieure ou égale à zéro. Critères darrêt

27 27 Structure d une feuille Un seul objet appartenant à la feuille bba de la feuille = bba de lobjet feuille bba sur les classes Plusieurs objets appartenant à la feuille bba de la feuille = bba jointe

28 28 Arbres de d é cision cr é dibilistes (BDT) flag SF protocol-type RSTO udp tcp http domain-u private service REJ http domain-u private service m1 m5 m6 m4 m3 m2 m7 m8 Comment utiliser le BDT pour trouver les classes des connexions ?

29 29 Classification off-line Valeurs dattributs disponibles flag: RSTO service: http Protocol-type: udp flag SF protocol-type RSTO udp tcp http domain-u private service REJ http domain-u private service m1 m5 m6 m4 m3 m2 m7 m8 m6(Probing) =0.5; m6( ) = 0.5 Normal: 0.1 Dos: 0.1 U2R: 0.1 R2L: 0.1 Probing: 0.6

30 30 Classification off-line/on-line Quen est-il de la classification on-line/anticipée ? Est-ce quon peut arrêter une connexion (douteuse) avant sa terminaison ?

31 31 Cas disjonctif valeurs dattributs disjonctives flag: RSTO service: http domain-u Protocol-type: udp flag SF protocol-type RSTO udp tcp http domain-u private service REJ http domain-u private service m1 m5 m6 m4 m3 m2 m7 m8 Règle disjonctive: m6 m7 Normal: 0.05; Dos: 0.05; U2R: 0.05 R2L: 0.05: Probing: 0.8

32 32 Cas des valeurs manquantes valeurs dattributs manquantes flag: SF service: http protocol-type: ? flag SF protocol-type RSTO udp tcp http domain-u private service REJ http domain-u private service m1 m5 m6 m4 m3 m2 m7 m8 Normal: 0; Dos: 0.8; U2R: 0 R2L: 0; Probing: 0.2 Règle disjonctive: m1 m2

33 33 Cas g é n é ral: attributs incertains Incertitude dans les valeurs de certains attributs bba pour chaque attribut flag: m(RSTO) = 1 service: m(http domain-u) = 0.8; m(private) = 0.2 protocol-type: m(udp) = 0.6; m(udp tcp) = 0.4 flag SF protocol-type RSTO udp tcp http domain-u private service REJ http domain-u private service m1 m5 m6 m4 m3 m2 m7 m8 Tenir compte de toutes les bbas

34 34 Cadre incertain: Arbre de décision possibiliste (Approche qualitative)

35 35 Exemple SF 3 REJ 4 RSTO 1 http 1 domain-u 3 private 1 <1 2 >=1, 46 2 flag service count >0 1 <=0 3 wrong_fragment

36 36 Th é orie des possibilit é s Distribution de possibilités Distribution de possibilités : : [0,1] Possible / Impossible Possible / Impossible : ( )=1 / ( )=0, Ignorance Ignorance :, ( ) = 1 Normalisation Normalisation : / ( )=1 A (a 1 ) > A (a 2 ) : A= a 1 est plus plausible que A= a 2 Ordinale Numérique complètement possible ( ( )=1) quelque peu possible totalement impossible ( ( )=0) ProduitMinimum

37 37 Arbres de décision possibilistes Différentes façons pour classer des connexions avec des attributs incertains/manquants en utilisant la théorie des possibilités. Arbres de décision Théorie des possibilités + +

38 38 Travail effectué Plusieurs propositions: Méthode basée sur les opérateurs Min/max ou Min/leximax Méthode basée sur les opérateurs Min/leximax Méthode basée sur les opérateurs Leximin/leximax

39 39 M é thode bas é e sur le Leximin/leximax Établir un pré-ordre total de tous les chemins utilisant lopérateur leximin Sélectionner un premier ensemble des classes candidates correspondant aux classes libellant les meilleurs chemins dans le pré-ordre total. Si cet ensemble contient plus quune classe, il faut le raffiner en sélectionnant les classes leximax préférées en utilisant lordre leximin-leximax.

40 40 Exemple service http count private <=46 N (P1) >46 <=0 N (P2) >0 D (P3) Wrong_fragment domain-u SF REJ RSTO P (P9) flag P (P4) count >=1 D (P5) <1 <=0 Wrong_fragment >0 N (P6) P (P7) N (P8) P3 = leximin P9 > leximin P1> leximin P2 = leximin P4= leximin P6 > leximin P5 > leximin P8 > leximin P7 SF 3 REJ 4 RSTO 1 http 1 domain-u 3 private 1 <1 2 >=1, 46 2 flag service count >0 1 <=0 3 wrong_fragment

41 41 C={ P, D} Exemple service http count private <=46 N (P1) >46 <=0 N (P2) >0 D (P3) Wrong_fragment domain-u SF REJ RSTO P (P9) flag P (P4) count >=1 D (P5) <1 <=0 Wrong_fragment >0 N (P6) P (P7) N (P8) P3 = leximin P9 > leximin P1> leximin P2 = leximin P4= leximin P6 > leximin P5 > leximin P8 > leximin P7 P=(P9, P4, P7) > leximin-leximax D=(P3, P5) Donc la classe candidate est P

42 42 Autre options Arbres de décision qualitatifs (possibilistes) avec options Arbres de décision possibiliste (incertitude au niveau de lapprentissage). Evaluation des classifieurs

43 43 Travaux en cours Réseaux naïfs crédibilistes Réseaux naïfs possibilistes Expérimentations

44 44 Publications "Qualitative classification with possibilistic decision trees" Nahla Ben Amor, Salem Benferhat, Zied Elouedi, Chapitre of The Tenth International Conference on Information Processing and Management of Uncertainty in Knowledge-Based Systems IPMU "Réseaux Bayésiens naïfs et arbres de décision dans les systèmes de détection d'intrusions" Nahla Ben Amor, Salem Benferhat, Zied Elouedi, A paraître dans le journal Technique et Science Informatiques (TSI), "Qualitative inference in possibilistic option decision trees Ilyes Jenhani, Zied Elouedi, Nahla Ben Amor, Khaled. Mellouli, The Eighth European Conference of Symbolic and Quantitative Approaches to Reasoning with Uncertainty ECSQARU-2005, Barcelone, Espagne, , 6-8 Juillet "Towards a definition of evaluation criteria for probabilistic classifiers Nahla Ben Amor, Salem Benferhat, Zied Elouedi, The Eighth European Conference of Symbolic and Quantitative Approaches to Reasoning with Uncertainty ECSQARU-2005, Barcelone, Espagne, ,6-8 Juillet On the combination of Naïve Bayes and decision trees for intusion detection Salem Benferhat, Karim Tabia, The International Conference of Intelligence, Control and Automation, CIMCA 2005.


Télécharger ppt "1 Contriubtions du CRIL dans le cadre de lACI Daddi Mars 2006 Présenté par: Zied Elouedi"

Présentations similaires


Annonces Google