network-based intrusion detection using neural networksle réseau de neurones : mlp (1/2) • 4...
TRANSCRIPT
![Page 1: Network-based intrusion detection using neural networksLe réseau de neurones : MLP (1/2) • 4 ports spécifiques + 1 Extra Port • 4 sources en entrée (4*5 = 20 neurones), issues](https://reader035.vdocuments.mx/reader035/viewer/2022082008/60172f1ff0e44e29a2058f7c/html5/thumbnails/1.jpg)
25 juin 2003
Network-based intrusion detection using neural networks
Encadré par M. Leray PhilippeFlorian Boitrel – Maxime Chambreuil
![Page 2: Network-based intrusion detection using neural networksLe réseau de neurones : MLP (1/2) • 4 ports spécifiques + 1 Extra Port • 4 sources en entrée (4*5 = 20 neurones), issues](https://reader035.vdocuments.mx/reader035/viewer/2022082008/60172f1ff0e44e29a2058f7c/html5/thumbnails/2.jpg)
25 juin 2003
Déroulement• Présentation de l’article• Fonctionnement général• La carte de Kohonen• Le réseau de neurones : MLP• Résultats• Difficultés rencontrées• Conclusion
2/20
![Page 3: Network-based intrusion detection using neural networksLe réseau de neurones : MLP (1/2) • 4 ports spécifiques + 1 Extra Port • 4 sources en entrée (4*5 = 20 neurones), issues](https://reader035.vdocuments.mx/reader035/viewer/2022082008/60172f1ff0e44e29a2058f7c/html5/thumbnails/3.jpg)
25 juin 2003
Présentation de l’article
• Les auteurs : Alan Bivens, Chandrika Palagiri, Rasheda Smith, Boleslaw Szymanski, Mark Embrechts
• Rensselaer Polytechnic Institute, NY
• 23 novembre 20023/20
![Page 4: Network-based intrusion detection using neural networksLe réseau de neurones : MLP (1/2) • 4 ports spécifiques + 1 Extra Port • 4 sources en entrée (4*5 = 20 neurones), issues](https://reader035.vdocuments.mx/reader035/viewer/2022082008/60172f1ff0e44e29a2058f7c/html5/thumbnails/4.jpg)
25 juin 2003
Fonctionnement (1/2)
4/20
![Page 5: Network-based intrusion detection using neural networksLe réseau de neurones : MLP (1/2) • 4 ports spécifiques + 1 Extra Port • 4 sources en entrée (4*5 = 20 neurones), issues](https://reader035.vdocuments.mx/reader035/viewer/2022082008/60172f1ff0e44e29a2058f7c/html5/thumbnails/5.jpg)
25 juin 2003
Fonctionnement (2/2)
5/20
![Page 6: Network-based intrusion detection using neural networksLe réseau de neurones : MLP (1/2) • 4 ports spécifiques + 1 Extra Port • 4 sources en entrée (4*5 = 20 neurones), issues](https://reader035.vdocuments.mx/reader035/viewer/2022082008/60172f1ff0e44e29a2058f7c/html5/thumbnails/6.jpg)
25 juin 2003
Tcpdump
Timestamp Temps de réception du paquet par tcpdump
Source Machine qui envoit le paquetDestination Machine qui reçoit le paquetProtocol Protocole utilisé pour transmettre le paquet
Source Ports Port à partir duquel le paquet est envoyé
Destination Ports Port de destination
6/20
![Page 7: Network-based intrusion detection using neural networksLe réseau de neurones : MLP (1/2) • 4 ports spécifiques + 1 Extra Port • 4 sources en entrée (4*5 = 20 neurones), issues](https://reader035.vdocuments.mx/reader035/viewer/2022082008/60172f1ff0e44e29a2058f7c/html5/thumbnails/7.jpg)
25 juin 2003
Carte de Kohonen
![Page 8: Network-based intrusion detection using neural networksLe réseau de neurones : MLP (1/2) • 4 ports spécifiques + 1 Extra Port • 4 sources en entrée (4*5 = 20 neurones), issues](https://reader035.vdocuments.mx/reader035/viewer/2022082008/60172f1ff0e44e29a2058f7c/html5/thumbnails/8.jpg)
25 juin 2003
La carte de Kohonen (1/4)• Rôle : distinguer des comportements identiques
entre des machines, les regrouper pour former des « sources »
– Il peut y avoir plusieurs sources en communication avec la victime
– Une machine peut être utilisée en tant que source d ’attaque pendant un certain laps de temps et en tant que source normale pendant un autre laps de temps
8/20
![Page 9: Network-based intrusion detection using neural networksLe réseau de neurones : MLP (1/2) • 4 ports spécifiques + 1 Extra Port • 4 sources en entrée (4*5 = 20 neurones), issues](https://reader035.vdocuments.mx/reader035/viewer/2022082008/60172f1ff0e44e29a2058f7c/html5/thumbnails/9.jpg)
25 juin 2003
La carte de Kohonen (2/4)• En entrée :
1001520806131255202310052204321
Machine 3Machine 2Machine 1Port \ Machine
9/20
![Page 10: Network-based intrusion detection using neural networksLe réseau de neurones : MLP (1/2) • 4 ports spécifiques + 1 Extra Port • 4 sources en entrée (4*5 = 20 neurones), issues](https://reader035.vdocuments.mx/reader035/viewer/2022082008/60172f1ff0e44e29a2058f7c/html5/thumbnails/10.jpg)
25 juin 2003
La carte de Kohonen (3/4)• BMU : Best Maching Unit• On récupère les 4 meilleurs BMUs, centres de chaque
« source »
• Le voisinage :
10/20
![Page 11: Network-based intrusion detection using neural networksLe réseau de neurones : MLP (1/2) • 4 ports spécifiques + 1 Extra Port • 4 sources en entrée (4*5 = 20 neurones), issues](https://reader035.vdocuments.mx/reader035/viewer/2022082008/60172f1ff0e44e29a2058f7c/html5/thumbnails/11.jpg)
25 juin 2003
La carte de Kohonen (4/4)
• En sortie, on obtient les vecteurs des 4 BMUs, formant chacun une « source »
• Conclusion : La carte de Kohonen sert toujours en apprentissage et jamais pour obtenir le neurone qui répond à une donnée
11/20
![Page 12: Network-based intrusion detection using neural networksLe réseau de neurones : MLP (1/2) • 4 ports spécifiques + 1 Extra Port • 4 sources en entrée (4*5 = 20 neurones), issues](https://reader035.vdocuments.mx/reader035/viewer/2022082008/60172f1ff0e44e29a2058f7c/html5/thumbnails/12.jpg)
25 juin 2003
Réseau de Neurones
M L P
![Page 13: Network-based intrusion detection using neural networksLe réseau de neurones : MLP (1/2) • 4 ports spécifiques + 1 Extra Port • 4 sources en entrée (4*5 = 20 neurones), issues](https://reader035.vdocuments.mx/reader035/viewer/2022082008/60172f1ff0e44e29a2058f7c/html5/thumbnails/13.jpg)
25 juin 2003
Le réseau de neurones : MLP (1/2)• 4 ports spécifiques + 1 Extra Port• 4 sources en entrée (4*5 = 20 neurones), issues de la
carte de Kohonen• 100 données d ’apprentissge
(early-stopping, avec autant de données « attaques » que de données « normales » et 10000 itérations MAX)
• Tests sur 50 données• Une couche cachée de 25 neurones• Une sortie (un neurone, une valeur : attaque ou pas)
13/20
![Page 14: Network-based intrusion detection using neural networksLe réseau de neurones : MLP (1/2) • 4 ports spécifiques + 1 Extra Port • 4 sources en entrée (4*5 = 20 neurones), issues](https://reader035.vdocuments.mx/reader035/viewer/2022082008/60172f1ff0e44e29a2058f7c/html5/thumbnails/14.jpg)
25 juin 2003
Le réseau de neurones : MLP (2/2)
14/20
![Page 15: Network-based intrusion detection using neural networksLe réseau de neurones : MLP (1/2) • 4 ports spécifiques + 1 Extra Port • 4 sources en entrée (4*5 = 20 neurones), issues](https://reader035.vdocuments.mx/reader035/viewer/2022082008/60172f1ff0e44e29a2058f7c/html5/thumbnails/15.jpg)
25 juin 2003
Résultats• On ne peut pas détecter toutes les attaques• On peut détecter une attaque spécifique sur un port
– Name: sendmail Start_Time: 08:48:12 Duration: 00:00:02 Ports: At_Attacker: 113{1} At_Victim: 25{1}
– Name: New_Attack_1999 (sshprocesstable) Start_Time: 16:49:15 Duration: 00:08:21 Ports: At_Attacker: At_Victim: 22{490}
15/20
![Page 16: Network-based intrusion detection using neural networksLe réseau de neurones : MLP (1/2) • 4 ports spécifiques + 1 Extra Port • 4 sources en entrée (4*5 = 20 neurones), issues](https://reader035.vdocuments.mx/reader035/viewer/2022082008/60172f1ff0e44e29a2058f7c/html5/thumbnails/16.jpg)
25 juin 2003
Difficultés (1/2)• Le prétraitement :
– Les auteurs ont un programme Java, qu ’ils n ’ont jamais réussi à nous envoyer
– Faire un programme (Perl) : long et fastidieux à mettre en œuvre
– Utiliser un logiciel (Tcptrace) : utilisation peu concluante
Fabrication de données aléatoires16/20
![Page 17: Network-based intrusion detection using neural networksLe réseau de neurones : MLP (1/2) • 4 ports spécifiques + 1 Extra Port • 4 sources en entrée (4*5 = 20 neurones), issues](https://reader035.vdocuments.mx/reader035/viewer/2022082008/60172f1ff0e44e29a2058f7c/html5/thumbnails/17.jpg)
25 juin 2003
Difficultés (2/2)
• Quand réapprendre le MLP ?– Périodiquement, après une phase de test pour
configurer la période d’un cycle (App + Détection)– Automatiquement, mais avec quels critères ?
17/20
![Page 18: Network-based intrusion detection using neural networksLe réseau de neurones : MLP (1/2) • 4 ports spécifiques + 1 Extra Port • 4 sources en entrée (4*5 = 20 neurones), issues](https://reader035.vdocuments.mx/reader035/viewer/2022082008/60172f1ff0e44e29a2058f7c/html5/thumbnails/18.jpg)
25 juin 2003
Conclusion• Projet intéressant• Utilisation de la carte de Kohonen ingénieuse• Résultats bons pour un type d ’attaque mais
médiocres pour l ’union de toutes les attaques• Une fois l ’apprentissage fait, le mlp peut effectuer
des détections temps réels• Futur : projets de recherche ?
18/20
![Page 19: Network-based intrusion detection using neural networksLe réseau de neurones : MLP (1/2) • 4 ports spécifiques + 1 Extra Port • 4 sources en entrée (4*5 = 20 neurones), issues](https://reader035.vdocuments.mx/reader035/viewer/2022082008/60172f1ff0e44e29a2058f7c/html5/thumbnails/19.jpg)
25 juin 2003
Sources• L ’article
– http://www.cs.rpi.edu/%7Eszymansk/papers/annie02.pdf
• DARPA Intrusion Detection– http://www.ll.mit.edu/IST/ideval/data/data_index.html
• Liste attaques– http://www.ll.mit.edu/IST/ideval/docs/1999/master_identifications.list
• Thèse d ’Alan BIVENS• Tcpdump
– http://www.tcpdump.org/19/20
![Page 20: Network-based intrusion detection using neural networksLe réseau de neurones : MLP (1/2) • 4 ports spécifiques + 1 Extra Port • 4 sources en entrée (4*5 = 20 neurones), issues](https://reader035.vdocuments.mx/reader035/viewer/2022082008/60172f1ff0e44e29a2058f7c/html5/thumbnails/20.jpg)
25 juin 2003
Merci de votre attention
Des questions ???