La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

1 Approches explicites (CRIL) DADDI, tâche 2. Motivations Détection des attaques "rares" - "nouvelles" Classées " Normal " Réseaux bayésiens Approche.

Présentations similaires


Présentation au sujet: "1 Approches explicites (CRIL) DADDI, tâche 2. Motivations Détection des attaques "rares" - "nouvelles" Classées " Normal " Réseaux bayésiens Approche."— Transcription de la présentation:

1 1 Approches explicites (CRIL) DADDI, tâche 2

2 Motivations Détection des attaques "rares" - "nouvelles" Classées " Normal " Réseaux bayésiens Approche hybride Arbres de décisions possibilistes Détection en temps réel (réagir avec le trafic en cours). Perspective de détection anticipée. Outil de Formatage

3 3 Partie I Approche hybride : comportementale + signature

4 Point de départ La majorité des erreurs de détection sont des faux négatifs (attaques classées normales) Gérer différemment les prédictions pour traiter les Vrais/faux négatifs Vrais/faux positifs

5 Principe dune approche hybride Traitement des vrais/faux positifs la classe prédite par les deux classificateurs nest pas la classe normale une simple agrégation pour déterminer la catégorie dattaque

6 Module comportemental Vrai négatif ? Classe =Normal Oui Approche comportementale Schéma général de traitement des vrais/faux négatifs Connexion déclarée normale Non Traitement des fausses alertes et identification des catégories dattaques Fausse alerte ? Identification de la catégorie dattaque du faux négatif Catégorie dattaques Normal Connaissances expertes

7 Distinction entre vrais/faux négatifs 1ère étape: approche comportementale Modélisation des connexions normales dans les données dapprentissage Élaboration dune mesure de similarité pour juger le degré de normalité dune connexion (similarité avec le modèle des connexions normales) Vérifier si les connexions reconnues anormales ne constituent-elles pas des fausses alertes

8 Modélisation des connexions normales Les attributs numériques sont modélisés par deux grandeurs : la moyenne et lécart type. Les attributs logiques sont modélisés par les fréquences respectives des valeurs 0 et 1. Les attributs symboliques sont modélisés par la fréquence de chaque valeur.

9 Mesure de distance locale dune connexion avec le modèle des connexions normales Si lattribut a i est continu: plus a i sécarte de la moyenne, moins la connexion est normale Si a i est logique ou symbolique: moins la valeur de a i est fréquente, moins la connexion est normale. En particulier, toute nouvelle valeur donne une distance maximale (=1).

10 Mesure de distance globale dune connexion avec le modèle des connexions normales Décider si la connexion représentée par le vecteur dattributs a est normale ou anormale. Si Dist(a, référence) > α alors a est anormale ; Sinon a est normale ; Fin si Avec : Dist (a,référence) = g (Dist(a i, â i )) (i=0,40) g = moyenne pondérée (retenue dans lexpérimentation) g = max: une connexion est anormale dès quune nouvelle valeur apparaît (détection de nouvelles attaques)

11 Traitement des vrais/faux négatifs 2ème étape: introduction de connaissances expertes Traitement des fausses alertes: Une connexion déclarée anormale est-elle réellement une attaque? Une connexion anormale doit au moins manifester les propriétés caractéristiques de lune des catégories dattaques (DoS, Probe, R2L ou U2R) DoS? Connexions anormales (sorties du module comportemental) FN Oui Probe? Non Oui R2L ou U2R? Non Oui Catégorie normale Non FN Catégorisation des FN Catégorie dattaques

12 Traitement des fausses alertes Exemple: Les propriétés caractéristiques des attaques DoS sont : Une courte durée Grand nombre de connexions vers la même destination (count) et sollicitant le même service (srv_count). 14.437.470.631.2611.992.34 223.8366.8 21.80410.93 srv_count 233.50171.923.4555.800.481.315 151.8415.5 17.7128.163 count 3758.1485.03120.5180.942108.3559.7 0.0840.001 1359.2216.6 duration σµσµσµσµσµ ProbeU2RR2LDoSNormal Si (count S duration ) et (srv_count < S srv_count ) alors La connexion na pas les propriétés caractéristiques des DoS Sinon La connexion a les propriétés caractéristiques des DoS

13 Résultats Amélioration sensible de la détection des attaques R2L (de 2,85 à 29.92%) et U2R (de 7,02 à 20.61%) Pas de perte de performance concernant les autres catégories (connexions normales, DoS et Probe) Les résultats dépendent des paramètres fixés dans l'approche comportementale Les résultats sont affectés par les incohérences dans KDD'99 Résultats complémentaires par rapport à ENSTB (tester sur la nouvelle base)

14 14 Partie II Arbres de décision possibilistes: traitement des connexions en ligne

15 Connexions complètes service http count telnet <=46 N >46 0 N >0 D Wrong_fragment domain-u SF REJ RSTO P flag P count >0 D 0 0 Wrong_fragment >0 NPN serviceflagcountw_f C telnetSF210? N P RSTR

16 Connexions incomplètes - en ligne servicecountflagWrong- fragment telnet2SF10 http7REJ48 domain-u15RSTO50 ………… Comment modéliser lincertitude ?

17 Connexions incomplètes - en ligne service count flag wrong_fragment http0>=0, <=461SF1>0 1 domain-u0>46 2 REJ0=01 telnet1RSTO1 RSTR 1

18 Arbres de décision possibilistes -- Différentes façons pour classer des connexions avec des attributs incertains/manquants en utilisant la théorie des possibilités. Plusieurs propositions: Méthode basée sur les opérateurs Min/max Méthode basée sur les opérateurs Min/leximax Méthode basée sur les opérateurs Leximin/leximax

19 service http count telnet <=46 N (P1) >46 0 N (P2) >0 D (P3) Wrong_fragment domain-u SF REJ P (P9) flag P (P4) 0 00 0 0 0 1 2 1 1 10 1 count >46 D (P5) <=46 0 Wrong_fragment >0 N (P6) P (P7) N (P8) 1 2 1 2 00 1 1 1 1 RSTR P (P10) 1 1 service count flag wrong_fragment http0>=0, <=461SF1>0 1 domain-u0>46 2 REJ0=01 telnet1RSTO1 RSTR 1 RSTO

20 service http count telnet <=46 N (P1) >46 0 N (P2) >0 D (P3) Wrong_fragment domain-u SF REJ RSTO P (P9) flag P (P4) 0 00 0 0 0 1 2 1 1 10 1 count >46 D (P5) <=46 0 Wrong_fragment >0 N (P6) P (P7) N (P8) 1 2 1 2 00 1 1 P5 = leximin P9 > leximin P10 > leximin P6 > leximin P1 = leximin P2 = leximin P3 = leximin P4 = leximin P7 = leximin P8 C={D,P} P=(P9, P10,P7) > leximin-leximax D=(P5,P3) 1 1 RSTR P (P10) 1 1 Donc la classe candidate est P

21 21 Partie III Formatage de trafic brut

22 Aucun logiciel libre de formatage n'est actuellement disponible! Formatage de trafic brut 010010011100000100011011001001100…… 110000110000110000110000110000…… 001011110000110000110000111001…… Trafic réseau brut (on-line ou off-line) Formatage Connexions Formatage 1.098,tcp,smtp,SF,1676,333,0,0,0,0,0,1,0... 0.002,udp,private,SF,105,146,0,0,0,0,... 0.001,tcp,http,SF,298,321,0,0,0,0,0,1,... Détection Normal DoS Normal U2R Apprentissage Détection Normal DoS Normal U2R Apprentissage

23 Fonctionnalités de loutil de formatage Trafic brut Off-line On-line Enrichies Complètes Incomplètes Complètes Incomplètes Non enrichies Enrichies Non enrichies Enrichies Non enrichies Enrichies Non enrichies

24 Construction des connexions Types de connexions Connexion TCP: ensemble de paquets échangés entre IP Src/PortSrc et IP Dst/PortDst (handshake + transfert de données + déconnexion) Connexion UDP: Requête/Réponse ou bien flux continu IP Src/PortSrc et IP Dst/PortDst Connexion ICMP: Requête/Réponse ou paquet seul

25 Description de base d'une connexions Attributs de base Attributs de contenu Attributs temporels (intervalle = T secs) Attributs relatifs au trafic vers un hôte particulier (intervalles = N dernières connexions)

26 Description enrichie dune connexion Description enrichie=description de base + attributs supplémentaires Quelques attributs ajoutés: Port source Bad trafic Bad trafic : # de paquets forgés (ex. flags incorrects)... Direction (entrante, sortante, interne,...) Autres attributs sur T dernières secondes, N connexions......

27 Ethereal: Pourquoi? Ethereal: Analyseur de trafic réseau Outil très convivial (interface graphique...) Fonctionnalités de capture, analyse, filtrage... Outil Open Source (http://www.ethereal.com) Supporte un très grand nombre de protocoles (Ethereal 0-10-14 supporte 754 protocoles) Existe pour OS Unix, Linux et Windows

28 Fonctionnalités de l'outil Input : trafic live: Ethernet, FDDI,... Trafic off-line: fichiers libpcap... Output: Fonctionnalité d'enregistrement dans des fichiers ASCII au format CSV... Statistiques de formatage

29 Fonctionnalités implémentées

30 Connexions finies non enrichies au format CSV Duration, protocol_type, service, flag,... 1.098,tcp,smtp,SF,1676,333,0,0,0,0,0,1,0.. 0.002,udp,private,SF,105,146,0,0,0,0,... 0.001,tcp,http,SF,298,321,0,0,0,0,0,1,... 0.032,udp,domain_u,SF,45,110,0,0,0,0...

31 Exemples de connexions finies enrichies 885592582.184086,0.027,outbound,172.16.116.194,209.1.224.13, tcp,1308,http,SF,175,1660,... 885592609.556163,0,006,inbound,192.168.1.10,172.16.112.20,53,udp,domain_u,SF,36,101,.. 885592675.438480,1.037,inside,192.168.1.30,192.168.0.20,tcp,16 75,finger,SF,10,44,... 885592725.887101,21.865,inside,192.168.1.30,192.168.0.20,tcp,2 2067,telnet,SF,139,249,0,0,0,0,3,...

32 Connexions incomplètes Mêmes attributs que les connexions complètes sauf qu'on a l'état de la connexion lorsque sa durée atteint T secondes..(échantillonnage) => Permettre de suivre en fonction du temps l'évolution des attributs.. => L'apprentissage de l'évolution d'un attribut peut permettre sa prédiction (connaître sa valeur à l'avance)...ce qui permettra de faire de l'anticipation (anticiper la détection)...

33 Exemples de connexions enrichies incomplètes (T= 5 secs) 885592605.928858,0.011,inside,192.168.1.30,192. 168.0.40,tcp,http,SF,52,164,0,0,0,1,... 885592609.556163,0.000,inside,192.168.1.30,192. 168.0.16,icmp,eco_i,SF,64,0,... 885592609.994493,4.977,inside,192.168.0.40,192. 168.1.30,tcp,ftp,S1,58,222,0,0,... 885592633.798481,4.977,inside,192.168.0.40,192. 168.1.30,tcp,telnet,S1,121,216,0,0,...

34 Exemples (2) de connexions incomplètes Même connexion à T=1 sec, T=2 sec... S1,87,511 T=1 :...,0.986,..,tcp,telnet,S1,87,51,0,0,0,0,0,0,0,1,... S1,93,1161 T=2 :...,1.614,...,tcp,telnet,S1,93,116,0,0,0,0,0,0,0,1,.. S1,108,1351 T=4 :...,3.824,...,tcp,telnet,S1,108,135,0,0,0,0,0,0,0,1,0,...... S1,1232022 T=15:...,14.804,...,tcp,telnet,S1,123,202,0,0,0,0,2,0,...... 21.865SF,139,2493 T=30:...,21.865,...,tcp,telnet,SF,139,249,0,0,0,0,3,...

35 Connexions en temps réel Mêmes attributs que les connexions complètes Echantillonnage temporel: Chaque µ secondes, fournir l'état des connections en cours ou apparues et terminées entre µ-1 et µ Echantillonnage événementiel: Fournir l'état d'une connexion lorsqu'un événement apparaît dans cette connexion (ex. changement du flag de la connexion,...) (fonctionnalité en cours dimplémentation)


Télécharger ppt "1 Approches explicites (CRIL) DADDI, tâche 2. Motivations Détection des attaques "rares" - "nouvelles" Classées " Normal " Réseaux bayésiens Approche."

Présentations similaires


Annonces Google