Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
Publié parRaimond Burel Modifié depuis plus de 10 années
1
www.rennes.supelec.fr/DADDiRéunion du 22 mai 20071 DADDi Dependable Anomaly Detection with Diagnosis ACISI 2004
2
www.rennes.supelec.fr/DADDiRéunion du 22 mai 20072 Partenaires GET/ENST Bretagne, équipe SERES IRISA, projet ADEPT France Télécom R&D Supélec, équipe SSIR (EA 4039) Univ. dArtois, CRIL (Centre de Recherche en Informatique de Lens)
3
www.rennes.supelec.fr/DADDiRéunion du 22 mai 20073 Deux grandes approches de détection Approche par scénarios Définition de modèles dattaque (signatures) Recherche de signatures Approche comportementale Définition de modèles de comportement « normaux » Recherche de déviations par rapport à cette norme Détection potentielle de nouvelles attaques
4
www.rennes.supelec.fr/DADDiRéunion du 22 mai 20074 Nos objectifs Détection sûre de fonctionnement de nouvelles formes dintrusions 1. Améliorer les approches comportementales à modèle de comportement explicite 2. Proposer une approche à modèle implicite 3. Etudier la sûreté de fonctionnement de lIDS en lui apportant des propriétés de tolérance aux intrusions 4. Diagnostiquer la cause des anomalies signalées
5
www.rennes.supelec.fr/DADDiRéunion du 22 mai 20075 Tâches 1.Choix des attributs 2.IDS à modèle explicite 3.IDS à modèle implicite 4.Sûreté de fonctionnement de lIDS 5.Diagnostic des alertes
6
www.rennes.supelec.fr/DADDiRéunion du 22 mai 20076 Echéances Mai 2005 : démarrage Fin prévue : mai 2008 Rapport davancement publié en juin 2006 Objectif de la tâche 4 légèrement revu 4 livrables publiés en février 2007 (tâches 1 à 4, rapports) Rapport davancement dû en juin 2007 ? Choix des attributs pour le diag… 4 protos et 1 livrable dûs en mai 2008 (tâches 1 à 4 : protos ; tâche 5 : rapport)
7
www.rennes.supelec.fr/DADDiRéunion du 22 mai 20077 Risques et Impacts potentiels Risques Diagnostic : possible ? Lien tâche 1 - tâche 5 Lien tâche 1 - tâche 2 pour la détection de nouvelles attaques Modèle implicite : masquage des différences normales Sûreté de lIDS : impact sur les perf. Impacts IDS comportemental sûr de fnt et avec diag Protos libres
8
www.rennes.supelec.fr/DADDiRéunion du 22 mai 20078 Agenda 9h30- Choix des attributs et modèles implicites Salem Benferhat et Sylvain Gombault 10h30- Pause 11h00- Détection et diagnostic d'anomalies Frédéric Majorczyk 11h30- Disponibilité de l'IDS Michel Hurfin 12h00- Suite du projet Ludovic Mé 12h30 repas
9
www.rennes.supelec.fr/DADDiRéunion du 22 mai 20079 Suite du projet 1.Finalisation des protos / publications 2.Manip. globale : Deux semaines complètes de trafic normal (85 Go de data) Ces logs ne contiennent pas : http sortant, tout ce qui passe en smtp (pop3 et imap) Attaques : logs tcpdump d'attaques contre une application web (4 attaques, 16 Mo) Intégration des logs d'attaques dans les logs normaux à étudier
10
www.rennes.supelec.fr/DADDiRéunion du 22 mai 200710 Manip. globale Capture trafic réel Fusion Attaques contre serveurs web Méthode explicite Extraction HTTP Méthode implicite Comparaison Evaluation Comparative Méthode explicite Apprentissage
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.