Lydia BOUZAR-BENLABIOD Salem BENFERHAT Thouraya BOUBANA-TEBIBEL Nouvelle approche d’intégration des préférences utilisateur pour la corrélation d’alertes dans les IDS Lydia BOUZAR-BENLABIOD Salem BENFERHAT Thouraya BOUBANA-TEBIBEL
PLAN Corrélation d’alertes. Solution proposée. Connaissances, préférences. Qualitative Choice Logic (QCL). Résultats des tests. Conclusion.
INTRODUCTION Les Systèmes de detection d’intrusions (IDS) oeuvrent à deceler les tentatives d’intrusions. Un opérateur de sécurité surveille les journaux d’alertes émanant des IDS. L’opérateur est envahie par les alertes. Thanks to network sensors
Corrélation d’alertes Analyser les alertes IDS. Les rassembler en groupes d’attaques. Constituer des rapports d’intrusion. Les rapports sont souvent volumineux et les alertes ne sont pas classées. Integration des connaissances et préférences de l’opérateur de sécurité
Solution proposée Une interface permettant l’insertion des données de l’opérateur. Un algorithme de traitement et de classification polynomial. Nous utilisons un fragment de (QCL)*. Représentation des alertes préférées. *Proposée par Brewka, Benferhat et Le berre en 2001 puis améliorée en 2007.
Connaissances préférences et corrélation d’alertes (1) Alertes IDS Préférences de l’opérateur de sécurité Connaissances de l’opérateur Corrélation d’alertes Ensemble d’alertes classées Figure. Entrées et sorties de notre processus de corrélation d’alertes
Connaissances, préférences et corrélation d’alertes(2) Connaissances Formules du premiers ordre. Préférences QCL Prioritized QCL (PQCL) et Positive QCL (QCL+)
QCL (1) Etend la logique propositionnelle avec l’opérateur . A B L’interpretation I {A} satisfait la formule à un degré 1. L’interpretation I {B} satisfait la formule à un degré 2. L’interpretation I {C} ne satisfait pas la formule.
QCL (2) Logique compacte. Proche du raisonnement humain. Permet l’expression de préférences simples et complexes. Possède plusieurs extensions.
Resultats (1) Les tests sont effectués avec un ensemble de connaissances et préférences réels. Les alertes utilisées sont issues du projet PLACID* (de la surveillance d ’un réseau universitaire français durant 6 mois). *(http://placid.insa-rouen.fr/)
Résultats (2) 1099302 8544 0.8 533 584 543 Table 1. Résultats Nombre initial d’alertes Nombre d’alertes preferrées Taux d’alertes preferrées Temps de traitemebt QCL(s) Temps de traitement QCL+ Temps de traitement PQCL(s) 1099302 8544 0.8 533 584 543 Table 1. Résultats
Résultats (3) Le taux d’alertes préférées est de 0.8% Seulement 0.8% des alertes initiales sont préférées et présentées en priorité Le reste des alertes est présenté par ordre décroissant de préférence.
CONCLUSION (1) Le probleme majeur est le grand volume d’alertes générées par les IDS. Les alertes les plus dangereuses sont noyées. Utiliser les connaissances de l’opérateur de sécurité pour réduire et classer les alertes.
CONCLUSION (2) L’opérateur exprime ses préférences par rapport aux alertes reçues. Notre solution implémente un fragment de la logique QCL. Les tests ont montré que seulement 0.8% des alertes initiales sont présentées à l’opérateur.