La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

DADDi Réunion de travail 11 octobre 2007 : Analyse des données brutes fournies par Supélec.

Publié parNapoleon Navarro Modifié depuis plus de 10 années

Présentations similaires

Présentation au sujet: "DADDi Réunion de travail 11 octobre 2007 : Analyse des données brutes fournies par Supélec."— Transcription de la présentation:

1 DADDi Réunion de travail 11 octobre 2007 : Analyse des données brutes fournies par Supélec

2 Objectifs Test et comparaison des outils de formatage de développés par CRIL et ENST-Bretagne Analyse et vérification des données « a priori » normales fournies par Supélec-Rennes

3 Outil de formatage développé au CRIL 010010011100000100011011001001100…… 110000110000110000110000110000…… 001011110000110000110000111001…… Trafic réseau brut (on-line ou off-line) Formatage Connexions Formatage 1.098,tcp,smtp,SF,1676,333,0,0,0,0,0,1,0... 0.002,udp,private,SF,105,146,0,0,0,0,... 0.001,tcp,http,SF,298,321,0,0,0,0,0,1,... Détection Normal DoS Normal U2R Apprentissage Détection Normal DoS Normal U2R Apprentissage

4 Outil de formatage développé au CRIL Trafic brut Off-line On-line Enrichies Complètes Incomplètes Complètes Incomplètes Non enrichies Enrichies Non enrichies Enrichies Non enrichies Enrichies Non enrichies

5 Récapitulatif des données brutes fournies par Supélec Nature : Données «a priori» normales + attaques http Durée : 18 jours de trafic Taille : 100 Go IP proto : TCP, UDP, ICMP Services: http, ssh, ftp, auth, DNS, … Net Adr: Capture filter:

6 Récapitulatif des données brutes fournies par Supélec Protocoles IP

7 Récapitulatif des données brutes fournies par Supélec Services

8 Formatage de données brutes de Supélec Données brutes: Formatage de 30 % (30 premiers fichiers..) des données brutes de Supélec Attributs construits : 41 attributs KDD99 Données formatées obtenues: 1713213 connexions

9 Expérimentations Apprentissage : KDD99 (Darpa98 formatée), Darpa99, Données a priori normale de Supélec Test: Données a priori normale de Supélec, attaque http de Supélec Formatage: Outil de formatage développé par CRIL Classificateur: Arbre de décision C4.5 Vérification: Snort-2.8.0

10 Expérimentations (1) 1. Détection dattaques dans les données « a priori normales » de Supélec 1.a) Apprentissage sur KDD99 => Test sur données formatées Supélec 1.b) Apprentissage sur données formatées Darpa99 => Test sur données formatés Supélec

11 Expérimentations (2) 2. Détection dattaques dans les attaques http fournies par Supélec Apprentissage sur trafic http de KDD99, Darpa99, http normal de Supélec => Test sur les attaques http de Supélec

12 Expérimentations (1.a) Training: KDD99 Testing: Données Supélec

13 Expérimentations (1.b) Training: Darpa99 Testing: Données Supélec

14 Expérimentation 1.a & 1.b Majorité du trafic classé « normal » Majorité des attaques détectées: Scan & DoS Majorité des attaques externes Quelques attaques R2L & U2R détectées (probablement faux positifs) Fausses alertes dues à la différences du trafic dapprentissage et celui du test (distribution des services, débits réseaux, etc.)

15 Expérimentation 1.a & 1.b Exemples dattaques détectées TimestampCatégorieVictimeAttaquant May 26, 2007 09:38:43 Scan (ipsweep) May 25, 2007 17:11:13.56 Scan (portsweep) May 25, 2007 17:58:03 DoS ….

16 Vérification avec Snort Les données utilisées dans les expérimentations 1 & 2 ont été analysées avec Snort-2.8.0 Snort a généré en moyenne 4000 alertes par jours Attaques détectées: Slammer, ICMP PING NMAP, …

17 Vérification avec Snort Exemples dalertes générées par Snort 05/28-10:23:01.430037,1,2004,7,MS-SQL Worm propagation attempt OUTBOUND,UDP, 05/27-21:12:44.263204,1,469,4,ICMP PING NMAP,ICMP, 05/28-01:49:31.425710,122,3,0,(portscan) TCP Portsweep,,67.36.196.90, 05/26-16:48:50.500022,1,1149,13,WEB-CGI count.cgi access,TCP,...

18 Vérification avec Snort Résumé des alertes générées durant les 10 premiers jours (log1 à log10)

19 Expérimentation (2) Training: Uniquement les connexions http (normale+attaques) de KDD99, Darpa99 et trafic http normal de Supélec Test: Attaques http de Supélec

20 Expérimentation (2) Quatre connexions sont détectées attaque back (de type DoS) (Src_bytes>4 Ko) Deux connexions (il sagit de lattaque login-http) ont été détectées land: IP src = IP dst (sauf que cest ladresse loopback) => La simulation de lattaque sest faite sur la même machine.

21 Expérimentation (2) AttaqueNormal bibtexRawHTTPX cross-httpX execute-httpX login-httpX write-fs-http3X

22 Conclusions Données brutes de Supélec Le trafic brute de Supélec nest pas totalement normal: il contient certainement plusieurs attaques bénignes, et probablement des attaques dangereuses… Certaines attaques anciennes existent encore … Outil de formatage: Résultats encourageants mais Le formatage doit tenir compte des débits réseaux pour réduire le taux de faux positifs (nécessité dutiliser des données dapprentissage récentes) Il est nécessaire denrichir lensemble des attributs pour détecter les nouvelles attaques

Télécharger ppt "DADDi Réunion de travail 11 octobre 2007 : Analyse des données brutes fournies par Supélec."

Présentations similaires

Mais vous comprenez qu’il s’agit d’une « tromperie ».

Mais vous comprenez qu’il s’agit d’une « tromperie ».
Le Nom L’adjectif Le verbe Objectif: Orthogram

Le Nom L’adjectif Le verbe Objectif: Orthogram
ORTHOGRAM PM 3 ou 4 Ecrire: « a » ou « à » Référentiel page 6

ORTHOGRAM PM 3 ou 4 Ecrire: « a » ou « à » Référentiel page 6
Les carrés et les racines carrées

Les carrés et les racines carrées
[number 1-100].

[number 1-100].
1. Résumé 2 Présentation du créateur 3 Présentation du projet 4.

1. Résumé 2 Présentation du créateur 3 Présentation du projet 4.
Distance inter-locuteur

Distance inter-locuteur
1 Plus loin dans lutilisation de Windows Vista ©Yves Roger Cornil - 2 août 2007 www.cornil.com.

1 Plus loin dans lutilisation de Windows Vista ©Yves Roger Cornil - 2 août
Mesures et Caractérisation du Trafic dans le Réseau National Universitaire Thèse effectuée par Khadija Ramah Houerbi Sous la direction du Professeur Farouk.

Mesures et Caractérisation du Trafic dans le Réseau National Universitaire Thèse effectuée par Khadija Ramah Houerbi Sous la direction du Professeur Farouk.
Les numéros 70 – 1 000 000 000 000 70 80 90 100 200 300 400 500 600 700 800 900 1000 5000 1000000 1000000000 1000000000000.

Les numéros 70 –
Les numéros 30 60 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60.

Les numéros
ACTIVITES Les fractions (10).

ACTIVITES Les fractions (10).
Les identités remarquables

Les identités remarquables
- Couche 4 - Couche transport. Sommaire 1) Caractéristiques de la couche transport 2) Les protocoles TCP & UDP 3) Méthode de connexion TCP.

- Couche 4 - Couche transport. Sommaire 1) Caractéristiques de la couche transport 2) Les protocoles TCP & UDP 3) Méthode de connexion TCP.
Dépistage organisé du cancer colorectal en Moselle

Dépistage organisé du cancer colorectal en Moselle
Cest parti ! 4x 28 x 25 Levez la tête ! 3 x 0 x 18.

Cest parti ! 4x 28 x 25 Levez la tête ! 3 x 0 x 18.
Cest parti ! 4,7 + 3,3 Levez la tête ! 3,9 + 5,6.

Cest parti ! 4,7 + 3,3 Levez la tête ! 3,9 + 5,6.
Contributions futures du CRIL dans le cadre de l’ACI Daddi

Contributions futures du CRIL dans le cadre de l’ACI Daddi
1 Approches explicites (CRIL) DADDI, tâche 2. Motivations Détection des attaques rares - nouvelles Classées Normal Réseaux bayésiens Approche.

1 Approches explicites (CRIL) DADDI, tâche 2. Motivations Détection des attaques "rares" - "nouvelles" Classées " Normal " Réseaux bayésiens Approche.
Www.rennes.supelec.fr/DADDiRéunion du 22 mai 20071 DADDi Dependable Anomaly Detection with Diagnosis ACISI 2004.

du 22 mai DADDi Dependable Anomaly Detection with Diagnosis ACISI 2004.

Présentations similaires

Annonces Google