Title: Artificial Neural Networks for Misuse Detection
1Artificial Neural Networks for Misuse Detection
James Cannady
- Guerne Jean-François
- Maussion Renaud
- ASI, INSA de Rouen
2Artificial Neural Network for Misuse Detection
- Présentation de larticle
- Présentation de limplémentation effectuée
3Artificial Neural Network for Misuse Detection
- Définition/remise en contexte
- Etat de l existent
- Les réseaux de neurones pour la détection
d intrusion - Les tests effectués
- Sur quelles données travailler ?
- Description du réseau utilisé
- Les résultats
- Conclusion
4Définition/remise en contexte
- Définition
- Réseau de Neurones pour détecter les intrusions
dans un systèmes informatique - Détection d intrusion
- Comparaison de l activité du système avec les
actions supposées d un pirate
5Etat de l existant
- Détection d intrusion dans un système
informatique difficile du fait de la diversité
des attaques, des logiciels, systèmes
d exploitation, - La plupart des systèmes de détection d intrusion
sont basés sur des règles - utilisation de systèmes experts
6Etat de l existant
- Système Expert
- Ensemble de règles représentant le comportement
d un expert humain - Ces règles sont utilisées de le mécanisme de
détection d intrusion et peuvent provenir de
plusieurs experts humain - Approche la plus communément acceptée
7Etat de l existant
- Système Expert les points faibles
- Nécessite une mise à jour fréquente des
règles - Repère difficilement les attaques combinées
(plusieurs attaques menées en même temps, ou
prolongées dans le temps) - Repère difficilement les variantes des
attaques
8Les réseaux de neurones pour la détection
d intrusion
- Les attaques informatiques sont en constante
évolution - gt nécessité d un système de détection
pouvant s adapter à cette évolution - les réseaux de neurones pourrait offrir cette
capacité d adaptation ...
9Les réseaux de neurones pour la détection
d intrusion
- Les points forts
- flexibilité
- traiter des données non complètes
- traiter des données venant de sources différentes
(attaques simultanées de plusieurs pirates) - la vitesse de traitement
- adaptabilité
- prendre en compte de nouveaux types d attaques
(ré-apprentissage), - prévision détecter de nouveaux types
d attaques
10Les réseaux de neurones pour la détection
d intrusion
- Les points faibles
- apprentissage lourd à mettre en place
- recueillir un nombre de données important
- simuler des attaques
- effet boîte noire
- quand doit-on arrêter l apprentissage, geler les
poids des connections ? - à quel moment sait-on que l on a atteint le bon
niveau de précision ?
11Les réseaux de neurones pour la détection
d intrusion
- Implémentations potentielles
- coupler un réseau de neurones à un système expert
- le réseau de neurones filtre les paquets
arrivants, puis les transmet au système expert - diminution du nombre de fausses alertes
- Mais le système expert reste non adaptatif
- gt il faut changer les règles du système expert
pour les nouvelles attaques
12Les réseaux de neurones pour la détection
d intrusion
- Implémentations potentielles
- utilisation d un réseau de neurones seul
- alerte ou mesures défensives en cas de détection
d attaques - une seule couche d analyse gt plus rapide
- système complètement adaptatif
13Les tests effectués Sur quelles données
travailler ?
- Données tirées des paquets arrivant au serveur
- Sélection de certaines informations contenue dans
ces paquets - gt
- protocol, port source, port destination, adresse
source, adresse destination, type paquets ICMP,
code paquets ICMP, taille des données du paquet,
id des données
14Les tests effectués Sur quelles données
travailler ?
- Simulation de ces données avec un sniffer et un
port-scan afin de simuler des attaques - 9,462 enregistrement dont 3,000 correspondant à
des attaques - Conditionnement de ces informations pour les
convertir en données numériques - Pour l apprentissage du réseau, utilisation
d une variable indiquant si ce paquet correspond
à une attaque
15Les tests effectués Description du réseau
utilisé
- Réseau du type Multi Layer Perceptron
- Architecture du type Feed-Forward
- Fonction de transfert des nuds de la couche
cachée couche de sortie
16Les tests effectués Description du réseau
utilisé
- 9 nuds d entrées (9 champs issus des paquets)
- Sortie
- 0.0 et 1.0 gt pas d attaque
- 1.0 et 0.0 gt attaque
- Apprentissage en utilisant la rétropropagation,
durant 10,000 itérations - 8,462 données pour l apprentissage et 1,000 pour
effectuer les test
17Les tests effectués Les résultats
- Données d apprentissages
- Racine de l erreur quadratique 0.058298
- Coefficient de corrélation 0.982333
- Données de tests
- Racine de l erreur quadratique 0.06929
- Coefficient de corrélation 0.975569
18Conclusion
- Le test effectué montre clairement le potentiel
des réseaux de neurones pour la détection
d intrusion dans un système informatique
19Conclusion
- Mais des problèmes subsistent
- L extraction de l information des paquets
arrivant, en temps réel - Le choix de l architecture du réseau de
neurones, afin de le rendre le plus efficace
possible - Cette technique doit faire ses preuves faces aux
autres méthodes de détection d intrusion ...
20Implémentation
- Les données utilisées
- Présentation des différentes méthodes
- Résultats
- Erreurs de classification
- Intervalles de confiance à 95
- Temps de calcul
- Conclusion
21Implémentation Les données utilisées
- Caractéristiques de tumeurs cancéreuses (8
attributs) - Un attribut spécifiant si la tumeur est bénigne
ou maligne - 2 classes
22Implémentation Les données utilisées
- Les données utilisées
- 699 instances pour les traitements
- Source
- Dr. WIlliam H. Wolberg (physician)
- University of Wisconsin Hospitals
- Madison, Wisconsin
- USA
23Implémentation les différentes méthodes
- Réseau perceptron multicouche simple
- Réseau perceptron multicouche optimisé
- K plus proches voisins
- Réseau rbf
24Implémentation les différentes méthodes
- Réseau perceptron multicouche simple
- 9 entrées et 1 sortie (8 attributs et la classe)
- 1 couche cachée (9 nuds)
- Fonction de transfert tanh
- Fonction à la sortie linéaire
25Implémentation les différentes méthodes
- Réseau perceptron multicouche optimisé
- 9 entrées et 1 sortie (8 attributs et la classe)
- 1 couche cachée (9 nuds)
- Fonction de transfert tanh
- Fonction à la sortie linéaire
- Algorithme de calcul du gradient scg (Scaled
conjugate gradient) - Optimisation évite le sur-apprentissage
26Implémentation les différentes méthodes
MLP optimisé arrêt de lapprentissage
27Implémentation les différentes méthodes
- K plus proches voisins
- Méthode identique au clustering
- Détermination des k plus proches voisins
28Implémentation les différentes méthodes
- Réseau rbf
- 9 entrées et 1 sortie (8 attributs et la classe)
- 1 couche cachée (9 nuds)
- Fonction de transfert gaussienne
- Fonction à la sortie linéaire
29RésultatsErreurs de classification
30RésultatsErreurs de classification
- Remarques
- Méthode des k plus proches voisins paraît la
meilleure. - Tests complémentaires pour sen assurer
- Calcul de lintervalle de confiance à 95
31RésultatsIntervalles de confiance à 95
32RésultatsIntervalles de confiance à 95
- Discussion des résultats
- Intervalles de confiances du MLP optimisé et k
plus proches voisins se chevauchent - On ne peut pas dire quelle méthode est la
meilleure. - Réalisation de tests supplémentaires pour
déterminer la vitesse de résolution des méthodes
33RésultatsTemps de calcul
- MLP non optimisé 5.55 secondes
- MLP optimisé 1.75 secondes
- k plus proches voisins 1.17 secondes
- RBF 1.46 secondes
34Conclusion
- Intéressant car mise en pratique des
connaissances acquises - Découverte de nouvelles méthodes de
classification - Futur implémenter ces méthodes pour la détection
dintrusion sur servasi