du 22 mai DADDi Dependable Anomaly Detection with Diagnosis ACISI 2004
du 22 mai Partenaires GET/ENST Bretagne, équipe SERES IRISA, projet ADEPT France Télécom R&D Supélec, équipe SSIR (EA 4039) Univ. dArtois, CRIL (Centre de Recherche en Informatique de Lens)
du 22 mai Deux grandes approches de détection Approche par scénarios Définition de modèles dattaque (signatures) Recherche de signatures Approche comportementale Définition de modèles de comportement « normaux » Recherche de déviations par rapport à cette norme Détection potentielle de nouvelles attaques
du 22 mai Nos objectifs Détection sûre de fonctionnement de nouvelles formes dintrusions 1. Améliorer les approches comportementales à modèle de comportement explicite 2. Proposer une approche à modèle implicite 3. Etudier la sûreté de fonctionnement de lIDS en lui apportant des propriétés de tolérance aux intrusions 4. Diagnostiquer la cause des anomalies signalées
du 22 mai Tâches 1.Choix des attributs 2.IDS à modèle explicite 3.IDS à modèle implicite 4.Sûreté de fonctionnement de lIDS 5.Diagnostic des alertes
du 22 mai Echéances Mai 2005 : démarrage Fin prévue : mai 2008 Rapport davancement publié en juin 2006 Objectif de la tâche 4 légèrement revu 4 livrables publiés en février 2007 (tâches 1 à 4, rapports) Rapport davancement dû en juin 2007 ? Choix des attributs pour le diag… 4 protos et 1 livrable dûs en mai 2008 (tâches 1 à 4 : protos ; tâche 5 : rapport)
du 22 mai Risques et Impacts potentiels Risques Diagnostic : possible ? Lien tâche 1 - tâche 5 Lien tâche 1 - tâche 2 pour la détection de nouvelles attaques Modèle implicite : masquage des différences normales Sûreté de lIDS : impact sur les perf. Impacts IDS comportemental sûr de fnt et avec diag Protos libres
du 22 mai Agenda 9h30- Choix des attributs et modèles implicites Salem Benferhat et Sylvain Gombault 10h30- Pause 11h00- Détection et diagnostic d'anomalies Frédéric Majorczyk 11h30- Disponibilité de l'IDS Michel Hurfin 12h00- Suite du projet Ludovic Mé 12h30 repas
du 22 mai Suite du projet 1.Finalisation des protos / publications 2.Manip. globale : Deux semaines complètes de trafic normal (85 Go de data) Ces logs ne contiennent pas : http sortant, tout ce qui passe en smtp (pop3 et imap) Attaques : logs tcpdump d'attaques contre une application web (4 attaques, 16 Mo) Intégration des logs d'attaques dans les logs normaux à étudier
du 22 mai Manip. globale Capture trafic réel Fusion Attaques contre serveurs web Méthode explicite Extraction HTTP Méthode implicite Comparaison Evaluation Comparative Méthode explicite Apprentissage