Evolutivité d'une architecture en temps réel de filtrage d'alertes générées par les systèmes de détection d'intrusions sur les réseaux - LINA - Equipe Connaissances, Optimisation, Décision
Conference Papers Year : 2008

Evolutivité d'une architecture en temps réel de filtrage d'alertes générées par les systèmes de détection d'intrusions sur les réseaux

Abstract

Une des difficultés majeures que rencontrent les adminis-trateurs de sécurité en utilisant les systèmes de détection d'intrusions (NIDS) est le nombre énorme d'alertes dé-clenchées chaque jour. Ces limitations sont provoquées par l'absence d'un mécanisme qui peut prétraiter et filtrer le nombre massif d'alertes générées par les NIDS. Dans nos travaux passés, nous avons proposé une architecture pour filtrer les alertes générées par les NIDS. Cette architecture est une combinaison des méthodes de classification non-supervisée comme les cartes auto-organisatrices de Koho-nen (SOM) et de modèles graphiques probabilistes comme les réseaux bayésiens utilisés ici pour de la classification supervisée. Cependant, l'exploitation de cette architecture en temps réel va poser plusieurs défis. Il faut tout d'abord prendre en compte l'évolution de la plate-forme surveillée (intégration de nouvelles machines, équipements réseau, ...). Il faut aussi, en second lieu, pouvoir réagir à l'appa-rition de nouvelles attaques mais aussi à l'évolution des comportements-types des utilisateurs. Pour résoudre ces problèmes, et plus particulièrement le dernier, nous utili-sons le concept de rejet en distance et quelques tests d'hy-pothèses statistiques. Puis, nous proposons quatre indica-teurs statistiques comme entrées d'une fonction de décision de ré-apprentissage de notre architecture. Pour finir, la va-lidité de tous ces indicateurs est testée par des expériences sur des journaux réels d'alertes extraits d'un NIDS sur-veillant le réseau du Rectorat de Rouen. Abstract It is a well-known problem that intrusion detection systems (NIDS) overload their human operators by triggering thousands of alarms per day. These limitations are caused by the absence of a mechanism that can preprocess and filter the massive number of alerts from IDS. In our past work, we proposed an architecture for filtering the alarms generated by the NIDS. This architecture is a combination of unsupervised classification methods like self-organizing maps (SOM) and probabilistic graphical models like Baye-sian Networks used here in supervised classification framework. However, exploiting this architecture in real time will pose several challenges on its behavior. In this work, we underline three problems to be solved : first, the evolution of the monitored platform (integration of new machines or network equipments), second, the apparition of new attacks and third, the evolution of user behavior-types. For the resolution of these problems and especially the last one, we used the distance rejection concept and some statistical hypothesis tests. Then, we propose four statistical indicators as entries of a decision function for the re-learning of the entire system. Finally, the validity of all these indicators is tested by experiments made on real logs extracted from a NIDS that control the network of "Rectorat de Rouen".
Fichier principal
Vignette du fichier
RFIA08.pdf (510.69 Ko) Télécharger le fichier
Origin Files produced by the author(s)
Loading...

Dates and versions

hal-00412885 , version 1 (17-04-2020)

Identifiers

  • HAL Id : hal-00412885 , version 1

Cite

Ahmad Faour, Philippe Leray, Bassam Eter. Evolutivité d'une architecture en temps réel de filtrage d'alertes générées par les systèmes de détection d'intrusions sur les réseaux. RFIA 2008, 2008, Amiens, France. pp.CDROM. ⟨hal-00412885⟩
232 View
49 Download

Share

More