La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

1 Contributions futures du CRIL dans le cadre de lACI Daddi Présenté par : S. Benferhat

Présentations similaires


Présentation au sujet: "1 Contributions futures du CRIL dans le cadre de lACI Daddi Présenté par : S. Benferhat"— Transcription de la présentation:

1 1 Contributions futures du CRIL dans le cadre de lACI Daddi Présenté par : S. Benferhat

2 2 Contributions futures du CRIL dans le cadre de lACI Daddi Complémentarité –« Comportementale/signature » –Réseaux bayésiens (RB) / arbres de décision (AD) Extensions AD et RB Vers la décision et le diagnostic

3 3 Plan Brefs rappels –RB et AD –Base KDD (Dico) Quelques mots sur : –Complémentarités –Une extension RB Deux mots sur : –Extensions AD –Autres extenstions des RB –Vers la décision et le diagnostic

4 4 Réseaux Bayésiens (RB) C FlagDuration Protocol_ type … Causalité + probabilités Dans le contexte de détection dintrusion : Réseaux Bayésiens naïfs (Valdes, projet DICO) Deux niveaux: un nœud racine (variable non-observable) et plusieurs nœuds fils (variables observables) Construction des RBN est très simple (structure unique) Inférence (classification) est linéaire Pb. hypothèse d indépendance très forte!

5 5 Arbre de décision Une technique de classification Expression simple de la connaissance. Compréhension et interprétation facile des résultats. Arbre de décision (AD)

6 6 Arbre de décision

7 7 KDD99 (données DARPA) 10% du training set: connections 10% du testing set: connections 38 attaques (dont certaines sont nouvelles) 41 attributs (certains ont été rajoutés par des experts) Données utilisées dans DICO

8 8 Denial of Service Attacks (DOS) User to Root Attacks (U2R) Remote to User Attacks (R2L) Probing Liste des attaques Testing Training 1,34%0,07%5,21%73,9%19,48% 0,83%0,01%0,23%79,24%19,69% Prob.U2RR2LDOSNormal

9 9 Récapitulatif des résultats C4.5NaïveBayes PCC 92.06%91.47% Normal 99.50%97.68% DoS 97.24%96.65% R2L 0.52%8.66% U2R 13.60%11.84% Probe 77.92%88.33%

10 10 Conclusions des résultats de C4.5 et Naive Bayes pour KDD99 Aucune technique nest meilleure dans les quatre catégories dattaques Toutes les techniques sont faibles dans la détection des attaques rares en générale, R2L et U2R en particulier Alternative : Exploiter la complémentarité

11 11 Complémentarités (travail très préliminaire): - Comportementale/signature - Réseaux bayésiens (RB) / arbres de décision (AD)

12 12 Retour sur les résultats C4.5NaïveBayes PCC 92.06%91.47% Normal 99.50%97.68% DoS 97.24%96.65% R2L 0.52%8.66% U2R 13.60%11.84% Probe 77.92%88.33% Remarques : - Résultats sur testing base, et non training base! - Une fonction de combinaison simple nest pas satisfaisants

13 13 Méta- calssificateur « Connexion » NaïveBayes C4.5 Catégorie de la connexion Combinaison de C4.5 et NaïveBayes dans un méta-classificateur hybride

14 14 la majorité des erreurs de classification sont des faux négatifs la majorité des erreurs de classification sont dorigines R2L et U2R Gérer différemment les prédictions de NaïveBayes et C4.5 pour traiter les: vrais/faux négatifs vrais/faux positifs Principe du méta-classificateur hybride

15 15 Principe du méta-classificateur hybride Traitement des vrais/faux positifs (la classe prédite par les deux classificateurs nest pas la classe normale) Traitement des vrais/faux négatifs (au moins, lun des classificateurs a prédit la classe normale) - Confirmation des prédictions de la classe normale ou - Correction de ces prédictions. Utiliser des informations externes (info. Disponibles sur la construction de la base et des attaques)

16 16 Fusion des distributions de probabilités associées par NaïveBayes et C4.5 à la connexion à classifier. Sélection de la classe la plus probable Traitement des vrais/faux positifs: Fusion élémentaire

17 17 Traitement « naïf » des vrais/faux positifs Si (C4.5( a ) Normal) et (NaïveBayes( a ) Normal) alors Si C4.5( a ) = R2L ou NaïveBayes(a) = R2L alors Meta-NB-C4.5( a ) :=R2L ; Sinon Si C4.5( a ) = U2R ou NaïveBayes( a ) = U2R alors Meta-NB-C4.5( a ) :=U2R ; Sinon Pour k :=0 à 39 faire %40 nbre de classes% d_Meta [k] :=0.5*(d_C4.5[k] + d_NB[k]) ; Fin pour ; c_Meta :=Argmax k (d_Meta[k]) ; Meta-NB-C4.5( a ) :=Catégorie(c_Meta) ; Fin si ;

18 18 Confirmer ou corriger les prédictions de la classe normale nécessite de recourir à: lapproche comportementale pour distinguer entre vrais et faux négatifs un mécanisme permettant didentifier la catégorie dattaques des connexions reconnues comme faux négatifs Principes du traitement des vrais/faux négatif

19 19 Schéma général pour le traitement des vrais/faux négatifs vrai/faux négatif ? vrai négatif ? Catégorie (a) :=NormalFausse alerte ? Identification de la catégorie dattaque du faux négatif. Catégorie (a) :=Normal Oui Non NaïveBayes(a)= Normal C4.5(a)= Normal Procédure de distinction entre vrais et faux négatifs Info. externes Compor- tementale

20 20 Modélisation des connexions normales dans les données dapprentissage Élaboration dune mesure de similarité pour juger le degré de normalité dune connexion (similarité avec le modèle des connexions normales) Vérifier si les connexions reconnues anormales ne constituent-elles pas des fausses alertes Distinction entre vrais/faux négatifs

21 21 Mesure « naïve » de distance dune connexion avec le modèle des connexions normales w i représente le poids associé à lattribut a i Dist(a i, â i ) représente la distance entre lattribut a i de la connexion avec lattribut correspondant dans le modèle des connexions normales â i.

22 22 Mesure « naïve » de distance dune connexion avec le modèle des connexions normales Distance: Si a i est continu : Si a i est discret ou symbolique :

23 23 Mesure « naïve » de distance dune connexion avec le modèle des connexions normales Décider si la connexion représentée par le vecteur dattributs a est normale ou anormale Si Dist( a, â ) < α alors a est normale ; Sinon a est anormale ; Fin si Avec

24 24 Traitement des vrais/faux négatifs Traitement des fausses alertes (loin de la norme) La connexion déclarée anormale est-elle une connexion R2L ou U2R? Dans KDD99, ce sont certains attributs relatifs au contenu qui renseignent le plus sur ces deux types dattaques Si tous les attributs relatifs au contenu sont nuls, alors cette connexion est normale (rien nindique quelle est R2L ou U2R)

25 25 Identification « naïve » de la catégorie dattaques des connexions déclarées anormales Distinction entre attaques DoS/Probe et R2L/U2R sur la base des attributs relatifs à laspect temporel des connexions Distinction entre DoS et Probe sur la base des attributs relatifs à lhôte de destination Distinction entre attaques R2L et U2R sur la base des attributs relatifs au contenu et la sémantique de ces deux catégories dattaques

26 26 Exemple de règle de distinction entre attaques DoS/Probe dun côté et R2L/U2R dun autre côté Si ((count >100) ou (duration <=1)) alors Catégorie( a ) {DoS,Probe}; Sinon Catégorie( a ) {R2L, U2R}; Fin si;

27 27 Un autre exemple de règle de distinction entre attaques DoS et Probe Si ((count >100) et (srv_count >50)) alors Catégorie(a) :=DoS ; Sinon Si ((duration 0.718)) alors Catégorie(a) :=DoS ; Sinon Si ((count >100) et ((srv_count 0.59)) alors Catégorie(a) :=Probe ; Fin si;

28 28 Future mise en œuvre du méta- classificateur Catégorie(connexion) C4.5 NaïveBayes Traitement des vrais/faux positifs Traitement des vrais/faux négatifs Méta- classificateur Connexion Ensemble de classificateurs Sous-système 1Sous-système 2

29 29 Les réseaux naïfs crédibilistes

30 30 Exemple (1) ProtocoleServiceFlagClasse tcphttpSFNormal tcphttpRSTONormal tcphttpREJProbing tcptimeSFProbing tcptimeSODOS tcpauthSFNormal tcpauthSODOS tcpprivateSFNormal tcpprivateSFNormal tcpprivateREJProbing tcpprivateRSTODOS tcpprivateSODOS udpdomain_uSFNormal udpprivateSFDOS tcphttpRSTONormal tcpprivateRSTODOS tcphttpSFNormal Nature des connexions Ensemble dapprentissage (détection dintrusion) …

31 31 ProtocoleServiceFlagClasse tcphttpSFNormal tcphttpRSTONormal tcphttpREJProbing ou DOS tcptimeSFProbing tcptimeSODOS tcpauthSFNormal tcpauthSO? tcpprivateSFNormal tcpprivateSFNormal tcpprivateREJ Probing tcpprivateRSTO DOS avec degré 1 et U2R avec un autre degré 2 tcpprivateSODOS udpdomain_uSFNormal udpprivateSFDOS tcphttpRSTO? tcpprivateRSTODOS tcphttpSFNormal

32 32 Idée Utilisation de la théorie des fonctions de croyance qui permet: L'expression des croyances partielles. La possibilité d'exprimer l'ignorance partielle ou totale. Le traitement des jugements subjectifs et personnels. La représentation des informations mathématiques et épistémiques.

33 33 Concepts de base Fonction de masse de croyance élémentaire (bba) m: 2 [0,1] m(A)Partie de croyance attribuée exactement à A Fonction de croyance (bel) bel(A)Croyance totale attribuée à A

34 34 Exemple ProtocoleServiceFlagClasse tcphttpSF m {I1} tcphttpRSTO m {I2} tcphttpREJ m {I3} tcptimeSF m {I4} tcptimeSO m {I5} tcpauthSF m {I6} tcpauthSO m {I7} tcpprivateSF m {I8} tcpprivateSF m {I9} tcpprivateREJ m {I10} tcpprivateRSTO m {I11} tcpprivateSO m {I12} udpdomain_uSF m {I13} udpprivateSF m {I14} tcphttpRSTO m {I15} tcpprivateRSTO m {I16} tcphttpSF m {I17} m {I2}(probing DOS) =1; m1 {I2} ( ) = 0

35 35 Réseaux Bayésiens (RB) La base de test de KDD99 contient des incohérences Etudier des formes générales de RB (simplement connectés, TAN, etc) Adapter les réseaux causaux pour: prise en compte de nouveaux cas et détecter de nouvelles attaques diagnostics et explications Développer les diagrammes d influences: intégrer la notion de risque et de décision Développer des réseaux causaux basés sur les fonctions de croyances

36 36 Arbre de décision (AD) Développer des arbres de décisions possibilistes prise en compte des données manquantes/incertaines Adapter les arbres de décisions pour les problèmes de détection d intrusions Développer des meta-classificateurs complémentarité RB/AD


Télécharger ppt "1 Contributions futures du CRIL dans le cadre de lACI Daddi Présenté par : S. Benferhat"

Présentations similaires


Annonces Google