Artificial Neural Networks for Misuse Detection

1
Artificial Neural Networks for Misuse Detection
James Cannady

• Guerne Jean-François
• Maussion Renaud
• ASI, INSA de Rouen

2
Artificial Neural Network for Misuse Detection

• Présentation de larticle
• Présentation de limplémentation effectuée

3
Artificial Neural Network for Misuse Detection

• Définition/remise en contexte
• Etat de l existent
• Les réseaux de neurones pour la détection
  d intrusion
• Les tests effectués
• Sur quelles données travailler ?
• Description du réseau utilisé
• Les résultats
• Conclusion

4
Définition/remise en contexte

• Définition
• Réseau de Neurones pour détecter les intrusions
  dans un systèmes informatique
• Détection d intrusion
• Comparaison de l activité du système avec les
  actions supposées d un pirate

5
Etat de l existant

• Détection d intrusion dans un système
  informatique difficile du fait de la diversité
  des attaques, des logiciels, systèmes
  d exploitation,
• La plupart des systèmes de détection d intrusion
  sont basés sur des règles
• utilisation de  systèmes experts 

6
Etat de l existant

• Système Expert
• Ensemble de règles représentant le comportement
  d un expert  humain 
• Ces règles sont utilisées de le mécanisme de
  détection d intrusion et peuvent provenir de
  plusieurs experts  humain 
• Approche la plus communément acceptée

7
Etat de l existant

• Système Expert les points faibles
• Nécessite une mise à jour fréquente des
   règles 
• Repère difficilement les attaques  combinées 
  (plusieurs attaques menées en même temps, ou
  prolongées dans le temps)
• Repère difficilement les  variantes  des
  attaques

8
Les réseaux de neurones pour la détection
d intrusion

• Les attaques informatiques sont en constante
  évolution
• gt nécessité d un système de détection
  pouvant s adapter à cette évolution
• les réseaux de neurones pourrait offrir cette
  capacité d adaptation ...

9
Les réseaux de neurones pour la détection
d intrusion

• Les points forts
• flexibilité
• traiter des données non complètes
• traiter des données venant de sources différentes
  (attaques simultanées de plusieurs pirates)
• la vitesse de traitement
• adaptabilité
• prendre en compte de nouveaux types d attaques
  (ré-apprentissage),
• prévision détecter de nouveaux types
  d attaques

10
Les réseaux de neurones pour la détection
d intrusion

• Les points faibles
• apprentissage lourd à mettre en place
• recueillir un nombre de données important
• simuler des attaques
• effet  boîte noire 
• quand doit-on arrêter l apprentissage, geler les
  poids des connections ?
• à quel moment sait-on que l on a atteint le bon
  niveau de précision ?

11
Les réseaux de neurones pour la détection
d intrusion

• Implémentations potentielles
• coupler un réseau de neurones à un système expert
• le réseau de neurones filtre les paquets
  arrivants, puis les transmet au système expert
• diminution du nombre de fausses alertes
• Mais le système expert reste non adaptatif
• gt il faut changer les règles du système expert
  pour les nouvelles attaques

12
Les réseaux de neurones pour la détection
d intrusion

• Implémentations potentielles
• utilisation d un réseau de neurones seul
• alerte ou mesures défensives en cas de détection
  d attaques
• une seule  couche  d analyse gt plus rapide
• système complètement adaptatif

13
Les tests effectués Sur quelles données
travailler ?

• Données tirées des paquets arrivant au serveur
• Sélection de certaines informations contenue dans
  ces paquets
• gt
• protocol, port source, port destination, adresse
  source, adresse destination, type paquets ICMP,
  code paquets ICMP, taille des données du paquet,
  id des données

14
Les tests effectués Sur quelles données
travailler ?

• Simulation de ces données avec un sniffer et un
  port-scan afin de simuler des attaques
• 9,462 enregistrement dont 3,000 correspondant à
  des attaques
• Conditionnement de ces informations pour les
  convertir en données numériques
• Pour l apprentissage du réseau, utilisation
  d une variable indiquant si ce paquet correspond
  à une attaque

15
Les tests effectués Description du réseau
utilisé

• Réseau du type Multi Layer Perceptron
• Architecture du type Feed-Forward
• Fonction de transfert des nuds de la couche
  cachée couche de sortie

16
Les tests effectués Description du réseau
utilisé

• 9 nuds d entrées (9 champs issus des paquets)
• Sortie
• 0.0 et 1.0 gt pas d attaque
• 1.0 et 0.0 gt attaque
• Apprentissage en utilisant la rétropropagation,
  durant 10,000 itérations
• 8,462 données pour l apprentissage et 1,000 pour
  effectuer les test

17
Les tests effectués Les résultats

• Données d apprentissages
• Racine de l erreur quadratique 0.058298
• Coefficient de corrélation 0.982333
• Données de tests
• Racine de l erreur quadratique 0.06929
• Coefficient de corrélation 0.975569

18
Conclusion

• Le test effectué montre clairement le potentiel
  des réseaux de neurones pour la détection
  d intrusion dans un système informatique

19
Conclusion

• Mais des problèmes subsistent
• L extraction de l information des paquets
  arrivant, en temps réel
• Le choix de l architecture du réseau de
  neurones, afin de le rendre le plus efficace
  possible
• Cette technique doit faire ses preuves faces aux
  autres méthodes de détection d intrusion ...

20
Implémentation

• Les données utilisées
• Présentation des différentes méthodes
• Résultats
• Erreurs de classification
• Intervalles de confiance à 95
• Temps de calcul
• Conclusion

21
Implémentation Les données utilisées

• Caractéristiques de tumeurs cancéreuses (8
  attributs)
• Un attribut spécifiant si la tumeur est bénigne
  ou maligne
• 2 classes

22
Implémentation Les données utilisées

• Les données utilisées
• 699 instances pour les traitements
• Source
• Dr. WIlliam H. Wolberg (physician)
• University of Wisconsin Hospitals
• Madison, Wisconsin
• USA

23
Implémentation les différentes méthodes

• Réseau perceptron multicouche simple
• Réseau perceptron multicouche optimisé
• K plus proches voisins
• Réseau rbf

24
Implémentation les différentes méthodes

• Réseau perceptron multicouche simple
• 9 entrées et 1 sortie (8 attributs et la classe)
• 1 couche cachée (9 nuds)
• Fonction de transfert tanh
• Fonction à la sortie linéaire

25
Implémentation les différentes méthodes

• Réseau perceptron multicouche optimisé
• 9 entrées et 1 sortie (8 attributs et la classe)
• 1 couche cachée (9 nuds)
• Fonction de transfert tanh
• Fonction à la sortie linéaire
• Algorithme de calcul du gradient scg (Scaled
  conjugate gradient)
• Optimisation évite le sur-apprentissage

26
Implémentation les différentes méthodes
MLP optimisé arrêt de lapprentissage
27
Implémentation les différentes méthodes

• K plus proches voisins
• Méthode identique au clustering
• Détermination des k plus proches voisins

28
Implémentation les différentes méthodes

• Réseau rbf
• 9 entrées et 1 sortie (8 attributs et la classe)
• 1 couche cachée (9 nuds)
• Fonction de transfert gaussienne
• Fonction à la sortie linéaire

29
RésultatsErreurs de classification
30
RésultatsErreurs de classification

• Remarques
• Méthode des k plus proches voisins paraît la
  meilleure.
• Tests complémentaires pour sen assurer
• Calcul de lintervalle de confiance à 95

31
RésultatsIntervalles de confiance à 95
32
RésultatsIntervalles de confiance à 95

• Discussion des résultats
• Intervalles de confiances du MLP optimisé et k
  plus proches voisins se chevauchent
• On ne peut pas dire quelle méthode est la
  meilleure.
• Réalisation de tests supplémentaires pour
  déterminer la vitesse de résolution des méthodes

33
RésultatsTemps de calcul

• MLP non optimisé 5.55 secondes
• MLP optimisé 1.75 secondes
• k plus proches voisins 1.17 secondes
• RBF 1.46 secondes

34
Conclusion

• Intéressant car mise en pratique des
  connaissances acquises
• Découverte de nouvelles méthodes de
  classification
• Futur implémenter ces méthodes pour la détection
  dintrusion sur servasi