Profils propres pour la détection d'intrusion — Sylvain Gombault, Yacine Bouzida
Date : 11 June 2003 à 17:30 — 20 min.
Dans cet article, nous présentons une nouvelle méthode de détection d'intrusion appartenant à la famille comportementale qui est basée sur l'analyse en composantes principales (ACP). Cette approche fonctionne en projetant les profils des utilisateurs sur un espace de traits qui peut décrire de signifiantes variations entre les profils. Ces traits sont connus sous le nom de « profils propres » car ils sont les vecteurs propres de l'ensemble des profils. L'opération de projection caractérise un profil utilisateur par une somme pondérée de l'ensemble des profils. Pour détecter si un profil est anormal, il suffit de comparer ces poids à ceux des profils utilisateurs connus. Les principaux avantages de cette méthode sont : (i) elle permet, au premier lieu, d'apprendre les profils utilisateurs ensuite déterminer si un nouveau profil correspond ou non à ceux des utilisateurs connus, (ii) son implémentation est très simple sur tous les systèmes ayant des mécanismes d'audit de sécurité ! et (iii) elle est robuste et permet de produire des taux de détection élevés. L'application de cette méthode sur un ensemble de profils simulés d'utilisateurs sous Unix a été réalisé pour valider la méthode. Par la suite nous avons utilisé un ensemble de profils des utilisateurs dans un réseau réel en analysant leur activité de navigation Web et nous présentons les résultats expérimentaux jugés encourageants.