1 / 14

Lydia BOUZAR-BENLABIOD Salem BENFERHAT Thouraya BOUBANA-TEBIBEL

Nouvelle approche d’intégration des préférences utilisateur pour la corrélation d’alertes dans les IDS. Lydia BOUZAR-BENLABIOD Salem BENFERHAT Thouraya BOUBANA-TEBIBEL. Corrélation d’alertes. Solution proposée. Connaissances, préférences. Qualitative Choice Logic (QCL).

amie
Download Presentation

Lydia BOUZAR-BENLABIOD Salem BENFERHAT Thouraya BOUBANA-TEBIBEL

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Nouvelle approche d’intégration des préférencesutilisateur pour la corrélation d’alertes dans les IDS Lydia BOUZAR-BENLABIOD Salem BENFERHAT Thouraya BOUBANA-TEBIBEL

  2. Corrélation d’alertes. Solution proposée. Connaissances, préférences. Qualitative Choice Logic (QCL). Résultats des tests. Conclusion. PLAN

  3. Les Systèmes de detection d’intrusions (IDS) oeuvrent à deceler les tentatives d’intrusions. Un opérateur de sécurité surveille les journaux d’alertes émanant des IDS. L’opérateur est envahie par les alertes. INTRODUCTION

  4. Analyser les alertes IDS. Les rassembler en groupes d’attaques. Constituer des rapports d’intrusion. Les rapports sont souvent volumineux et les alertes ne sont pas classées. Integration des connaissances et préférences de l’opérateur de sécurité Corrélation d’alertes

  5. Une interface permettant l’insertion des données de l’opérateur. Un algorithme de traitement et de classification polynomial. Nous utilisons un fragment de (QCL)*. Représentation des alertes préférées. Solution proposée *Proposée par Brewka, Benferhat et Le berre en 2001 puis améliorée en 2007.

  6. Connaissances préférences et corrélation d’alertes (1) Alertes IDS Préférences de l’opérateur de sécurité Connaissances de l’opérateur Corrélation d’alertes Ensemble d’alertes classées Figure. Entrées et sorties de notre processus de corrélation d’alertes

  7. Connaissances Formules du premiers ordre. Préférences QCL Prioritized QCL (PQCL) et Positive QCL (QCL+) Connaissances, préférences et corrélation d’alertes(2)

  8. QCL (1) • Etend la logique propositionnelle avec l’opérateur . • A B • L’interpretation I {A} satisfait la formule à un degré 1. • L’interpretation I {B} satisfait la formule à un degré 2. • L’interpretation I {C} ne satisfait pas la formule.

  9. QCL (2) • Logique compacte. • Proche du raisonnement humain. • Permet l’expression de préférences simples et complexes. • Possède plusieurs extensions.

  10. Les tests sont effectués avec un ensemble de connaissances et préférences réels. Les alertes utilisées sont issues du projet PLACID* (de la surveillance d ’un réseau universitaire français durant 6 mois). Resultats (1) *(http://placid.insa-rouen.fr/)

  11. Résultats (2) Table 1. Résultats

  12. Le taux d’alertes préférées est de 0.8% Seulement 0.8% des alertes initiales sont préférées et présentées en priorité Le reste des alertes est présenté par ordre décroissant de préférence. Résultats (3)

  13. Le probleme majeur est le grand volume d’alertes générées par les IDS. Les alertes les plus dangereuses sont noyées. Utiliser les connaissances de l’opérateur de sécurité pour réduire et classer les alertes. CONCLUSION (1)

  14. L’opérateur exprime ses préférences par rapport aux alertes reçues. Notre solution implémente un fragment de la logique QCL. Les tests ont montré que seulement 0.8% des alertes initiales sont présentées à l’opérateur. CONCLUSION (2)

More Related