Lydia BOUZAR-BENLABIOD Salem BENFERHAT Thouraya BOUBANA-TEBIBEL
description
Transcript of Lydia BOUZAR-BENLABIOD Salem BENFERHAT Thouraya BOUBANA-TEBIBEL
![Page 1: Lydia BOUZAR-BENLABIOD Salem BENFERHAT Thouraya BOUBANA-TEBIBEL](https://reader036.fdocuments.in/reader036/viewer/2022062322/568145f9550346895db30268/html5/thumbnails/1.jpg)
Page 1
Nouvelle approche d’intégration des préférencesutilisateur pour la corrélation
d’alertes dans les IDS
Lydia BOUZAR-BENLABIOD
Salem BENFERHAT
Thouraya BOUBANA-TEBIBEL
![Page 2: Lydia BOUZAR-BENLABIOD Salem BENFERHAT Thouraya BOUBANA-TEBIBEL](https://reader036.fdocuments.in/reader036/viewer/2022062322/568145f9550346895db30268/html5/thumbnails/2.jpg)
Page 2
PLAN
• Corrélation d’alertes.
• Solution proposée.
• Connaissances, préférences.
• Qualitative Choice Logic (QCL).
• Résultats des tests.
• Conclusion.
![Page 3: Lydia BOUZAR-BENLABIOD Salem BENFERHAT Thouraya BOUBANA-TEBIBEL](https://reader036.fdocuments.in/reader036/viewer/2022062322/568145f9550346895db30268/html5/thumbnails/3.jpg)
Page 3
INTRODUCTION
• Les Systèmes de detection d’intrusions
(IDS) oeuvrent à deceler les tentatives
d’intrusions.
• Un opérateur de sécurité surveille les
journaux d’alertes émanant des IDS.
• L’opérateur est envahie par les alertes.
![Page 4: Lydia BOUZAR-BENLABIOD Salem BENFERHAT Thouraya BOUBANA-TEBIBEL](https://reader036.fdocuments.in/reader036/viewer/2022062322/568145f9550346895db30268/html5/thumbnails/4.jpg)
Page 4
Corrélation d’alertes
• Analyser les alertes IDS.
• Les rassembler en groupes d’attaques.
• Constituer des rapports d’intrusion.
• Les rapports sont souvent volumineux et les alertes ne sont pas classées.
• Integration des connaissances et préférences de l’opérateur de sécurité
![Page 5: Lydia BOUZAR-BENLABIOD Salem BENFERHAT Thouraya BOUBANA-TEBIBEL](https://reader036.fdocuments.in/reader036/viewer/2022062322/568145f9550346895db30268/html5/thumbnails/5.jpg)
Page 5
Solution proposée
• Une interface permettant l’insertion des
données de l’opérateur.
• Un algorithme de traitement et de
classification polynomial.
• Nous utilisons un fragment de (QCL)*.
• Représentation des alertes préférées.
*Proposée par Brewka, Benferhat et Le berre en 2001 puis améliorée en 2007.
![Page 6: Lydia BOUZAR-BENLABIOD Salem BENFERHAT Thouraya BOUBANA-TEBIBEL](https://reader036.fdocuments.in/reader036/viewer/2022062322/568145f9550346895db30268/html5/thumbnails/6.jpg)
Page 6
Connaissances préférences et corrélation d’alertes (1)
Alertes IDS
Connaissances de l’opérateur
Préférences de l’opérateur de sécurité
Corrélation d’alertes
Ensemble d’alertes classées
Figure. Entrées et sorties de notre processus de corrélation d’alertes
![Page 7: Lydia BOUZAR-BENLABIOD Salem BENFERHAT Thouraya BOUBANA-TEBIBEL](https://reader036.fdocuments.in/reader036/viewer/2022062322/568145f9550346895db30268/html5/thumbnails/7.jpg)
Page 7
Connaissances, préférences et corrélation d’alertes(2)
• Connaissances Formules du premiers ordre.
• Préférences
QCL
Prioritized QCL (PQCL)
et Positive QCL (QCL+)
![Page 8: Lydia BOUZAR-BENLABIOD Salem BENFERHAT Thouraya BOUBANA-TEBIBEL](https://reader036.fdocuments.in/reader036/viewer/2022062322/568145f9550346895db30268/html5/thumbnails/8.jpg)
Page 8
QCL (1)
• Etend la logique propositionnelle avec l’opérateur .
• A B
• L’interpretation I {A} satisfait la formule à un degré 1.
• L’interpretation I {B} satisfait la formule à un degré 2.
• L’interpretation I {C} ne satisfait pas la formule.
x
x
![Page 9: Lydia BOUZAR-BENLABIOD Salem BENFERHAT Thouraya BOUBANA-TEBIBEL](https://reader036.fdocuments.in/reader036/viewer/2022062322/568145f9550346895db30268/html5/thumbnails/9.jpg)
Page 9
QCL (2)
• Logique compacte.
• Proche du raisonnement humain.
• Permet l’expression de préférences
simples et complexes.
• Possède plusieurs extensions.
![Page 10: Lydia BOUZAR-BENLABIOD Salem BENFERHAT Thouraya BOUBANA-TEBIBEL](https://reader036.fdocuments.in/reader036/viewer/2022062322/568145f9550346895db30268/html5/thumbnails/10.jpg)
Page 10
Resultats (1)
• Les tests sont effectués avec un ensemble de
connaissances et préférences réels.
• Les alertes utilisées sont issues du projet
PLACID* (de la surveillance d ’un réseau
universitaire français durant 6 mois).
*(http://placid.insa-rouen.fr/)
![Page 11: Lydia BOUZAR-BENLABIOD Salem BENFERHAT Thouraya BOUBANA-TEBIBEL](https://reader036.fdocuments.in/reader036/viewer/2022062322/568145f9550346895db30268/html5/thumbnails/11.jpg)
Page 11
Résultats (2)
Nombre initial d’alertes
Nombre d’alertes preferrée
s
Taux d’alertes preferrée
s
Temps de traitemebt
QCL(s)
Temps de traitement
QCL+
Temps de traitement PQCL(s)
1099302 8544 0.8 533 584 543
Table 1. Résultats
![Page 12: Lydia BOUZAR-BENLABIOD Salem BENFERHAT Thouraya BOUBANA-TEBIBEL](https://reader036.fdocuments.in/reader036/viewer/2022062322/568145f9550346895db30268/html5/thumbnails/12.jpg)
Page 12
Résultats (3)
• Le taux d’alertes préférées est de 0.8%
Seulement 0.8% des alertes initiales sont
préférées et présentées en priorité
• Le reste des alertes est présenté par ordre
décroissant de préférence.
![Page 13: Lydia BOUZAR-BENLABIOD Salem BENFERHAT Thouraya BOUBANA-TEBIBEL](https://reader036.fdocuments.in/reader036/viewer/2022062322/568145f9550346895db30268/html5/thumbnails/13.jpg)
Page 13
CONCLUSION (1)
• Le probleme majeur est le grand volume
d’alertes générées par les IDS.
• Les alertes les plus dangereuses sont
noyées.
• Utiliser les connaissances de l’opérateur de
sécurité pour réduire et classer les alertes.
![Page 14: Lydia BOUZAR-BENLABIOD Salem BENFERHAT Thouraya BOUBANA-TEBIBEL](https://reader036.fdocuments.in/reader036/viewer/2022062322/568145f9550346895db30268/html5/thumbnails/14.jpg)
Page 14
CONCLUSION (2)
• L’opérateur exprime ses préférences par
rapport aux alertes reçues.
• Notre solution implémente un fragment de la
logique QCL.
• Les tests ont montré que seulement 0.8% des
alertes initiales sont présentées à l’opérateur.