Page 1

Nouvelle approche d’intégration des préférencesutilisateur pour la corrélation

d’alertes dans les IDS

Lydia BOUZAR-BENLABIOD

Salem BENFERHAT

Thouraya BOUBANA-TEBIBEL

Page 2

PLAN

• Corrélation d’alertes.

• Solution proposée.

• Connaissances, préférences.

• Qualitative Choice Logic (QCL).

• Résultats des tests.

• Conclusion.

Page 3

INTRODUCTION

• Les Systèmes de detection d’intrusions

(IDS) oeuvrent à deceler les tentatives

d’intrusions.

• Un opérateur de sécurité surveille les

journaux d’alertes émanant des IDS.

• L’opérateur est envahie par les alertes.

Page 4

Corrélation d’alertes

• Analyser les alertes IDS.

• Les rassembler en groupes d’attaques.

• Constituer des rapports d’intrusion.

• Les rapports sont souvent volumineux et les alertes ne sont pas classées.

• Integration des connaissances et préférences de l’opérateur de sécurité

Page 5

Solution proposée

• Une interface permettant l’insertion des

données de l’opérateur.

• Un algorithme de traitement et de

classification polynomial.

• Nous utilisons un fragment de (QCL)*.

• Représentation des alertes préférées.

*Proposée par Brewka, Benferhat et Le berre en 2001 puis améliorée en 2007.

Page 6

Connaissances préférences et corrélation d’alertes (1)

Alertes IDS

Connaissances de l’opérateur

Préférences de l’opérateur de sécurité

Corrélation d’alertes

Ensemble d’alertes classées

Figure. Entrées et sorties de notre processus de corrélation d’alertes

Page 7

Connaissances, préférences et corrélation d’alertes(2)

• Connaissances Formules du premiers ordre.

• Préférences

QCL

Prioritized QCL (PQCL)

et Positive QCL (QCL+)

Page 8

QCL (1)

• Etend la logique propositionnelle avec l’opérateur .

• A B

• L’interpretation I {A} satisfait la formule à un degré 1.

• L’interpretation I {B} satisfait la formule à un degré 2.

• L’interpretation I {C} ne satisfait pas la formule.

x

x

Page 9

QCL (2)

• Logique compacte.

• Proche du raisonnement humain.

• Permet l’expression de préférences

simples et complexes.

• Possède plusieurs extensions.

Page 10

Resultats (1)

• Les tests sont effectués avec un ensemble de

connaissances et préférences réels.

• Les alertes utilisées sont issues du projet

PLACID* (de la surveillance d ’un réseau

universitaire français durant 6 mois).

*(http://placid.insa-rouen.fr/)

Page 11

Résultats (2)

Nombre initial d’alertes

Nombre d’alertes preferrée

s

Taux d’alertes preferrée

s

Temps de traitemebt

QCL(s)

Temps de traitement

QCL+

Temps de traitement PQCL(s)

1099302 8544 0.8 533 584 543

Table 1. Résultats

Page 12

Résultats (3)

• Le taux d’alertes préférées est de 0.8%

Seulement 0.8% des alertes initiales sont

préférées et présentées en priorité

• Le reste des alertes est présenté par ordre

décroissant de préférence.

Page 13

CONCLUSION (1)

• Le probleme majeur est le grand volume

d’alertes générées par les IDS.

• Les alertes les plus dangereuses sont

noyées.

• Utiliser les connaissances de l’opérateur de

sécurité pour réduire et classer les alertes.

Page 14

CONCLUSION (2)

• L’opérateur exprime ses préférences par

rapport aux alertes reçues.

• Notre solution implémente un fragment de la

logique QCL.

• Les tests ont montré que seulement 0.8% des

alertes initiales sont présentées à l’opérateur.