DADDi Réunion de travail 11 octobre 2007 : Analyse des données brutes fournies par Supélec.

Slides:



Advertisements
Présentations similaires
Mais vous comprenez qu’il s’agit d’une « tromperie ».
Advertisements

Le Nom L’adjectif Le verbe Objectif: Orthogram
ORTHOGRAM PM 3 ou 4 Ecrire: « a » ou « à » Référentiel page 6
Les carrés et les racines carrées
[number 1-100].
1. Résumé 2 Présentation du créateur 3 Présentation du projet 4.
Distance inter-locuteur
1 Plus loin dans lutilisation de Windows Vista ©Yves Roger Cornil - 2 août
Mesures et Caractérisation du Trafic dans le Réseau National Universitaire Thèse effectuée par Khadija Ramah Houerbi Sous la direction du Professeur Farouk.
Les numéros 70 –
Les numéros
ACTIVITES Les fractions (10).
Les identités remarquables
- Couche 4 - Couche transport. Sommaire 1) Caractéristiques de la couche transport 2) Les protocoles TCP & UDP 3) Méthode de connexion TCP.
Dépistage organisé du cancer colorectal en Moselle
Cest parti ! 4x 28 x 25 Levez la tête ! 3 x 0 x 18.
Cest parti ! 4,7 + 3,3 Levez la tête ! 3,9 + 5,6.
Contributions futures du CRIL dans le cadre de l’ACI Daddi
1 Approches explicites (CRIL) DADDI, tâche 2. Motivations Détection des attaques "rares" - "nouvelles" Classées " Normal " Réseaux bayésiens Approche.
du 22 mai DADDi Dependable Anomaly Detection with Diagnosis ACISI 2004.
2 1. Vos droits en tant quusagers 3 1. Vos droits en tant quusagers (suite) 4.
SERABEC Simulation sauvetage aérien avec un Hercule C130. Départ de St-Honoré le 4 octobre Durée de vol 3 heures. Premier vol en Hercule pour les.
1 5 octobre 2011 / paw Présentation du 7 octobre 2011.
CALENDRIER PLAYBOY 2020 Cliquez pour avancer.
Classification Multi Source En Intégrant La Texture
Présentation générale
1 Guide de lenseignant-concepteur Vincent Riff 27 mai 2003.
GRAM 1 CE2 Je sais transformer une phrase affirmative en phrase négative.
PM18 MONTAGE DU BLINDAGE AUTOUR DE LA QRL F. DELSAUX - 25 JAN 2005
Le Concours de Conaissance Francais I novembre 2012.
Si le Diaporama ne s'ouvre pas en plein écran Faites F5 sur votre clavier.
Titre : Implémentation des éléments finis sous Matlab
Projet poker 1/56. Introduction Présentation de léquipe Cadre du projet Enjeux Choix du sujet 2.
INDUSTRIE sa Tel : 0033(0) Fax : Projet: SKIP CAPSULES – v.1 Client: CARDIVAL HEALTH.
Internet : la mémoire courte ? Capture de sites Web en ligne Conférence B.N.F, Avril 2004 Xavier Roche(HTTrack)
LES NOMBRES PREMIERS ET COMPOSÉS
S ervice A cadémique de l I nspection de l A pprentissage dOrléans-Tours Nombre de CFA par académie 1 CFA académique avec 25 UFA 1 CFA académique avec.
Les chiffres & les nombres
Détection d’intrusions
RACINES CARREES Définition Développer avec la distributivité Produit 1
DUMP GAUCHE INTERFERENCES AVEC BOITIERS IFS D.G. – Le – 1/56.
Identifiez les nombres
Tournoi de Flyball Bouin-Plumoison 2008 Tournoi de Flyball
Notre calendrier français MARS 2014
Année universitaire Réalisé par: Dr. Aymen Ayari Cours Réseaux étendus LATRI 3 1.
MAGIE Réalisé par Mons. RITTER J-P Le 24 octobre 2004.
C'est pour bientôt.....
1 INETOP
Veuillez trouver ci-joint
Les Nombres! de 0 à 20.
SUJET D’ENTRAINEMENT n°4
Aire d’une figure par encadrement
P.A. MARQUES S.A.S Z.I. de la Moussière F DROUE Tél.: + 33 (0) Fax + 33 (0)
Les fondements constitutionnels
MAGIE Réalisé par Mons. RITTER J-P Le 24 octobre 2004.
SUJET D’ENTRAINEMENT n°1
Traitement de différentes préoccupations Le 28 octobre et 4 novembre 2010.
1/65 微距摄影 美丽的微距摄影 Encore une belle leçon de Macrophotographies venant du Soleil Levant Louis.
* Source : Étude sur la consommation de la Commission européenne, indicateur de GfK Anticipations.
Nom:____________ Prénom: ___________
LES COURSES SUR PISTE.
CALENDRIER-PLAYBOY 2020.
1. Présentation générale du système
6 Nombres et Heures 20 vingt 30 trente 40 quarante.
Les Chiffres Prêts?
Elles avaient envahi le jardin, mais derrière... 1.
Création de paquets IP.
Transcription de la présentation:

DADDi Réunion de travail 11 octobre 2007 : Analyse des données brutes fournies par Supélec

Objectifs Test et comparaison des outils de formatage de développés par CRIL et ENST-Bretagne Analyse et vérification des données « a priori » normales fournies par Supélec-Rennes

Outil de formatage développé au CRIL …… …… …… Trafic réseau brut (on-line ou off-line) Formatage Connexions Formatage 1.098,tcp,smtp,SF,1676,333,0,0,0,0,0,1, ,udp,private,SF,105,146,0,0,0,0, ,tcp,http,SF,298,321,0,0,0,0,0,1,... Détection Normal DoS Normal U2R Apprentissage Détection Normal DoS Normal U2R Apprentissage

Outil de formatage développé au CRIL Trafic brut Off-line On-line Enrichies Complètes Incomplètes Complètes Incomplètes Non enrichies Enrichies Non enrichies Enrichies Non enrichies Enrichies Non enrichies

Récapitulatif des données brutes fournies par Supélec Nature : Données «a priori» normales + attaques http Durée : 18 jours de trafic Taille : 100 Go IP proto : TCP, UDP, ICMP Services: http, ssh, ftp, auth, DNS, … Net Adr: Capture filter:

Récapitulatif des données brutes fournies par Supélec Protocoles IP

Récapitulatif des données brutes fournies par Supélec Services

Formatage de données brutes de Supélec Données brutes: Formatage de 30 % (30 premiers fichiers..) des données brutes de Supélec Attributs construits : 41 attributs KDD99 Données formatées obtenues: connexions

Expérimentations Apprentissage : KDD99 (Darpa98 formatée), Darpa99, Données a priori normale de Supélec Test: Données a priori normale de Supélec, attaque http de Supélec Formatage: Outil de formatage développé par CRIL Classificateur: Arbre de décision C4.5 Vérification: Snort-2.8.0

Expérimentations (1) 1. Détection dattaques dans les données « a priori normales » de Supélec 1.a) Apprentissage sur KDD99 => Test sur données formatées Supélec 1.b) Apprentissage sur données formatées Darpa99 => Test sur données formatés Supélec

Expérimentations (2) 2. Détection dattaques dans les attaques http fournies par Supélec Apprentissage sur trafic http de KDD99, Darpa99, http normal de Supélec => Test sur les attaques http de Supélec

Expérimentations (1.a) Training: KDD99 Testing: Données Supélec

Expérimentations (1.b) Training: Darpa99 Testing: Données Supélec

Expérimentation 1.a & 1.b Majorité du trafic classé « normal » Majorité des attaques détectées: Scan & DoS Majorité des attaques externes Quelques attaques R2L & U2R détectées (probablement faux positifs) Fausses alertes dues à la différences du trafic dapprentissage et celui du test (distribution des services, débits réseaux, etc.)

Expérimentation 1.a & 1.b Exemples dattaques détectées TimestampCatégorieVictimeAttaquant May 26, :38:43 Scan (ipsweep) May 25, :11:13.56 Scan (portsweep) May 25, :58:03 DoS ….

Vérification avec Snort Les données utilisées dans les expérimentations 1 & 2 ont été analysées avec Snort Snort a généré en moyenne 4000 alertes par jours Attaques détectées: Slammer, ICMP PING NMAP, …

Vérification avec Snort Exemples dalertes générées par Snort 05/28-10:23: ,1,2004,7,MS-SQL Worm propagation attempt OUTBOUND,UDP, 05/27-21:12: ,1,469,4,ICMP PING NMAP,ICMP, 05/28-01:49: ,122,3,0,(portscan) TCP Portsweep,, , 05/26-16:48: ,1,1149,13,WEB-CGI count.cgi access,TCP,...

Vérification avec Snort Résumé des alertes générées durant les 10 premiers jours (log1 à log10)

Expérimentation (2) Training: Uniquement les connexions http (normale+attaques) de KDD99, Darpa99 et trafic http normal de Supélec Test: Attaques http de Supélec

Expérimentation (2) Quatre connexions sont détectées attaque back (de type DoS) (Src_bytes>4 Ko) Deux connexions (il sagit de lattaque login-http) ont été détectées land: IP src = IP dst (sauf que cest ladresse loopback) => La simulation de lattaque sest faite sur la même machine.

Expérimentation (2) AttaqueNormal bibtexRawHTTPX cross-httpX execute-httpX login-httpX write-fs-http3X

Conclusions Données brutes de Supélec Le trafic brute de Supélec nest pas totalement normal: il contient certainement plusieurs attaques bénignes, et probablement des attaques dangereuses… Certaines attaques anciennes existent encore … Outil de formatage: Résultats encourageants mais Le formatage doit tenir compte des débits réseaux pour réduire le taux de faux positifs (nécessité dutiliser des données dapprentissage récentes) Il est nécessaire denrichir lensemble des attributs pour détecter les nouvelles attaques

Feed-back: Politique de confidentialité Feed-back
Do Not Sell My Personal Information
Notre projet: SlidePlayer Les conditions d'utilisation

© 2024 SlidePlayer.fr Inc. All rights reserved.