Ressources
-
Tutoriels
-
Manuel utilisateur
-
Etudes de cas
- Optimisation de la production par analyse du rex
- Questionnaires de satisfaction
- Mise en oeuvre d'un score bayésien
- Détection de cyber-crimes
- Analyse trajectoires de santé
- Analyse du transcriptome
- Caractérisation de clients
- Systèmes dynamiques
- Analyse du risque et politique de sécurité
- Text mining : identification de noms de sociétés
- Segmentation des consommateurs
- Détection de salmonelles
- Modélisation des préférences des consommateurs
- Analyse politique
- Equations structurelles probabilistes
»Produits»BayesiaLab»Ressources»Etudes de cas»Détection de cyber-crimes
Nous vous suggérons de passer à IE 7 ou Firefox pour une meilleure navigation.
Détection de cyber-crimes
La dépendance croissante de la société moderne relativement aux réseaux de télécommunication et d'information est devenue inévitable. L'accroissement du nombre de réseaux interconnectés à l'Internet provoque une augmentation des menaces de sécurité et des cyber-crimes, comme par exemple les attaques par Déni de Services Distribués (DSD). Typiquement, toutes les attaques par Internet sont précédées par un processus de reconnaissance, qui peut avoir lieu quelques minutes, quelques heures, quelques jours ou même quelques mois avant l'attaque.
La méthodologie décrite ici repose sur l'utilisation de BayesiaLab pour l'apprentissage de réseaux bayésiens afin de détecter précocement des attaques réseaux. Nous montrons comment un réseau Bayésien détecte de manière probabiliste une attaque d'un réseau de communication, et permet ainsi la généralisation de systèmes de détection d'intrusion réseaux (SDIR). Les principaux résultats obtenus sur des données temps réel sont décrits ci-dessous, ainsi que les observations expliquant ces résultats. Des agents dotés de capacités d'apprentissage et déployant cette approche par réseaux bayésiens sont des outils prometteurs et utiles pour déterminer des évènements suspicieux, des signaux annonciateurs de menaces, et pour les mettre en relation avec les activités survenant par la suite.
Les algorithmes d'apprentissage de BayesiaLab ont permis de construire automatiquement le réseau bayésien ci-dessous. La variable cible, activity_type, est directement connectée aux variables contribuant le plus à la connaissance de cette cible, comme par exemple les variables service et protocol_type.
Première Observation : Comme on peut le constater sur la figure ci-contre, l'activité la plus probable correspond à une attaque smurf (52.90%), un service à ecr_i (ECHO_REPLY, 52.96%) et un protocole de type icmp (53.21%).
Deuxième Observation : Qu'arrive t'il si on augmente la probabilité de recevoir des paquets suivant le protocole ICMP ? La probabilité d'avoir une attaque Smurf augmente t-elle ? Les moniteurs ci-contre montrent que dans le cas d'un protocole ICMP, la probabilité d'avoir une attaque Smurf augmente de 52.90% à 99.37%.
Troisième Observation : En abordant le problème différemment, on peut également observer une valeur pour le type d'activité. Les moniteurs ci-contre permettent par exemple de caractériser l'attaque portsweep, qui représente un processus de reconnaissance. On constate ainsi que les probabilités du protocole TCP et du service privé augmentent de 38.10% à 97.49% et de 24.71% à 71.45% respectivement. On peut également noté une augmentation des probabilités associées aux flags REJ et RSTR.
Pour conclure, le principal avantage de notre approche réside dans le fait que le SDI fournit des probabilités en sortie. Il est alors possible de gérer le compromis entre précision et sensibilité, simplement en ajustant la probabilité seuil. En outre, la détection automatique des anomalies par apprentissage permet de distinguer les activités normales des activités anormales dans les réseaux de télécommunication. Enfin, cette approche devrait permettre aux analystes de sécurité des réseaux de mesurer l'influence de chaque variable sur la variable cible dans le modèle de détection.
Pour plus de détails sur ce travail, contacter Turn on JavaScript!
[1] « Weber P., Jouffe L., Reliability modelling with Dynamic Bayesian Networks, SafeProcess 2003, 5th IFAC Symposium on Fault Detection, Supervision and Safety of Technical Processes, Washington D.C. ».