Amélioration de la performance de la détection d’intrusion dans les systèmes d’information
Amélioration de la performance de la détection d’intrusion dans les systèmes d’information
Fichiers
Date
2023-06-04
Auteurs
LOUNIS OUARDA
Nom de la revue
ISSN de la revue
Titre du volume
Éditeur
Résumé
Policy Interaction Graph Analysis (PIGA) est un outil de détection d'intrusion basé sur l'hôte. Celui-ci utilise la politique de contrôle d'accès obligatoire MAC de Linux pour construire le graph de flux d'information licites et utilise une politique de détection définie par l'administrateur pour extraire les comportements illicites du graph. La principale limite de cet outil est la génération d'une énorme base de signatures de comportements illicites, ce qui entraîne l'utilisation d'un grand espace mémoire pour le stockage. Notre objectif principal est de réduire cet espace mémoire tout en conservant l'efficacité de l'outil en termes de taux de détection d'intrusion et de fausses alarmes générées. Dans un premier temps, les interactions entre les deux nœuds du graphe ont été regroupées en une seule interaction. La notion de partition a été utilisée pour classer les chemins dans le graphe et a été compressée en utilisant un algorithme génétique. Une telle approche a montré son efficacité par rapport à l'approche proposée par Pierre Clairet, par laquelle le taux de détection obtenu était de 99,9%, et aucun faux-positif avec un taux de compression de la base de signatures de comportements illicites atteignant 99,44%. L'obtention de ces résultats est l'un des aspects critiques de la réalisation d’un système de détection d'intrusion efficace basé sur l'hôte.
Une autre approche pour l’implémentation d’un HIDS a été réalisée. Elle est basée sur l’utilisation de la notion de similarité et utilise un seuil pour distinguer les traces systèmes qui définissent un comportement malicieux de celles qui définissent un comportement normal. Cette approche, testée sur deux bases de données ADFA-LD et NSL-KDD avec un seuil variable, a permis d’avoir de très concluants résultats.
Description
Mots-clés
HIDS Système de détection d'intrusion basé sur l'hôte; PIGA; Appels système; Algorithme génétique; partition; NSL-KDD; ADFA-LD; Similarité.