Page 1
Nouvelle approche d’intégration des préférencesutilisateur pour la corrélation
d’alertes dans les IDS
Lydia BOUZAR-BENLABIOD
Salem BENFERHAT
Thouraya BOUBANA-TEBIBEL
Page 2
PLAN
• Corrélation d’alertes.
• Solution proposée.
• Connaissances, préférences.
• Qualitative Choice Logic (QCL).
• Résultats des tests.
• Conclusion.
Page 3
INTRODUCTION
• Les Systèmes de detection d’intrusions
(IDS) oeuvrent à deceler les tentatives
d’intrusions.
• Un opérateur de sécurité surveille les
journaux d’alertes émanant des IDS.
• L’opérateur est envahie par les alertes.
Page 4
Corrélation d’alertes
• Analyser les alertes IDS.
• Les rassembler en groupes d’attaques.
• Constituer des rapports d’intrusion.
• Les rapports sont souvent volumineux et les alertes ne sont pas classées.
• Integration des connaissances et préférences de l’opérateur de sécurité
Page 5
Solution proposée
• Une interface permettant l’insertion des
données de l’opérateur.
• Un algorithme de traitement et de
classification polynomial.
• Nous utilisons un fragment de (QCL)*.
• Représentation des alertes préférées.
*Proposée par Brewka, Benferhat et Le berre en 2001 puis améliorée en 2007.
Page 6
Connaissances préférences et corrélation d’alertes (1)
Alertes IDS
Connaissances de l’opérateur
Préférences de l’opérateur de sécurité
Corrélation d’alertes
Ensemble d’alertes classées
Figure. Entrées et sorties de notre processus de corrélation d’alertes
Page 7
Connaissances, préférences et corrélation d’alertes(2)
• Connaissances Formules du premiers ordre.
• Préférences
QCL
Prioritized QCL (PQCL)
et Positive QCL (QCL+)
Page 8
QCL (1)
• Etend la logique propositionnelle avec l’opérateur .
• A B
• L’interpretation I {A} satisfait la formule à un degré 1.
• L’interpretation I {B} satisfait la formule à un degré 2.
• L’interpretation I {C} ne satisfait pas la formule.
x
x
Page 9
QCL (2)
• Logique compacte.
• Proche du raisonnement humain.
• Permet l’expression de préférences
simples et complexes.
• Possède plusieurs extensions.
Page 10
Resultats (1)
• Les tests sont effectués avec un ensemble de
connaissances et préférences réels.
• Les alertes utilisées sont issues du projet
PLACID* (de la surveillance d ’un réseau
universitaire français durant 6 mois).
*(http://placid.insa-rouen.fr/)
Page 11
Résultats (2)
Nombre initial d’alertes
Nombre d’alertes preferrée
s
Taux d’alertes preferrée
s
Temps de traitemebt
QCL(s)
Temps de traitement
QCL+
Temps de traitement PQCL(s)
1099302 8544 0.8 533 584 543
Table 1. Résultats
Page 12
Résultats (3)
• Le taux d’alertes préférées est de 0.8%
Seulement 0.8% des alertes initiales sont
préférées et présentées en priorité
• Le reste des alertes est présenté par ordre
décroissant de préférence.
Page 13
CONCLUSION (1)
• Le probleme majeur est le grand volume
d’alertes générées par les IDS.
• Les alertes les plus dangereuses sont
noyées.
• Utiliser les connaissances de l’opérateur de
sécurité pour réduire et classer les alertes.
Page 14
CONCLUSION (2)
• L’opérateur exprime ses préférences par
rapport aux alertes reçues.
• Notre solution implémente un fragment de la
logique QCL.
• Les tests ont montré que seulement 0.8% des
alertes initiales sont présentées à l’opérateur.
Top Related