Vers une auto-protection des machines par un effort communautaire

L'objectif de ce projet de recherche est de proposer une solution innovatrice au problème de la prévention des activités malveillantes et illégitimes dans un système informatique, par l'utilisation de concepts issus de différents domaines des sciences cognitives. Pour ce faire, un nouveau paradigme, visant à solutionner les problèmes auxquels font face les solutions traditionnelles, a été recherché. Notre source d'inspiration pour modéliser les comportements est constitué par des stratégies qui ont permis aux humains de survivre dans un environnement hostile. Premièrement, nous nous sommes inspirés de la capacité de l'Homme à produire un raisonnement adapté à des situations inédites. Deuxièmement, nous nous sommes inspirés du comportement humain qu'est la formation de communautés d'individus qui permettent d'assurer une défense collective. Et finalement, nous nous sommes inspirés de la protection qu'offre à une population la diversité des individus qui la composent. C'est en utilisant la notion des schémas (frame de Minsky) pour représenter l'état des systèmes (le contexte d'une anomalie), en fuzzifiant (utilisation d'un système basé sur la logique floue) le raisonnement d'analyse des anomalies, en permettant aux systèmes de collaborer efficacement, et en faisant en sorte que les agents aient tous leurs propres caractéristiques de raisonnement uniques et distinctes, que ce projet de recherche aborde la problématique de la détection d'intrusions. La mise en place de ces mécanismes dans l'agent nommé ci-après ACCIS (Agent Collaboratif pour la Corrélation de l'Information de Sécurité) permettra d'améliorer les solutions traditionnelles pour la protection des systèmes informatiques sur deux principaux plans. Premièrement, en raffinant les capacités d'analyse, mais également en permettant aux mécanismes de défense d'être partiellement imprévisibles rendant la tâche des individus malveillants beaucoup plus difficile. Plus concrètement, les objectifs du projet de recherche sont de prouver la faisabilité d'un système: rendant les solutions pour la protection des ordinateurs plus autonomes (en réduisant les besoins de configurations, d'analyse et d'intervention humaine), tendant vers une pro-activité efficace par la suggestion de réactions précises, possédant un domaine d'analyse global (en définissant le « système » à surveiller comme un réseau et non une machine précise) et riche (en utilisant différents types d'informations hétérogènes).\ud _____________________________________________________________________________

AN UNSUPERVISED CLUSTERING ALGORITHM FOR INTRUSION DETECTION

de recherches Canad

An Unsupervised Clustering Algorithm for Intrusion Detection

As the Internet spreads to each corner of the world, computers are exposed to miscellaneous intrusions from the World Wide Web. Thus, we need effective intrusion detection systems to protect our computers from the intrusions. Traditional instance-based learning methods can only be used to detect known intrusions since these methods classify instances based on what they have learned. They rarely detect new intrusions since these intrusion classes has not been learned before. We expect an unsupervised algorithm to be able to detect new intrusions as well as known intrusions.<br /><br />In this paper, we propose a clustering algorithm for intrusion detection, called Y-means. This algorithm is developed based on the H-means+ algorithm [2] (an improved version of the K-means algorithm [1]) and other related clustering algorithms of K-means. Y-means is able to automatically partition a data set into a reasonable number of clusters so as to classify the instances into 'normal' clusters and 'abnormal' clusters. It overcomes two shortcomings of K-means: degeneracy and dependency on the number of clusters.<br /><br />The results of simulations that run on KDD-99 data set [3] show that Y-means is an effective method for partitioning large data set. An 89.89% detection rate and a 1.00% false alarm rate were achieved with the Y-means algorithm.Avec l'expansion d'Internet dans chaque coin du monde, les ordinateurs sont expos\ue9s \ue0 diverses intrusions du World Wide Web. Nous devons ainsi recourir \ue0 des syst\ue8mes efficaces de d\ue9tection des intrusions, afin de prot\ue9ger nos ordinateurs contre les intrusions. Les m\ue9thodes classiques d'apprentissage par exemples ne peuvent servir qu'\ue0 d\ue9celer les intrusions connues, car ces m\ue9thodes classent les exemples d'apr\ue8s l'apprentissage. Elles d\ue9tectent rarement les nouvelles intrusions, du fait qu'elles n'en ont pas encore tir\ue9 des le\ue7ons conduisant \ue0 l'apprentissage. Nous nous attendons \ue0 ce qu'un algorithme non surveill\ue9 soit en mesure de d\ue9celer des intrusions tant nouvelles que connues.<br /><br />Dans le pr\ue9sent article, nous proposons un algorithme de groupement pour la d\ue9tection des intrusions, appel\ue9 moyen Y. Cet algorithme est fond\ue9 sur l'algorithme moyen H+ [2] (une version am\ue9lior\ue9e de l'algorithme moyen K [1]) et sur d'autres algorithmes de groupement connexes de moyens K. Moyen Y peut segmenter automatiquement un ensemble de donn\ue9es en un nombre raisonnable de groupes, de mani\ue8re \ue0 classer les exemples en groupes \uab\ua0normaux\ua0\ubb et \uab\ua0anormaux\ua0\ubb. Il permet d'\ue9liminer deux lacunes du moyen K : d\ue9g\ue9n\ue9rescence et d\ue9pendance du nombre de groupes. <br /><br />Les r\ue9sultats des simulations men\ue9es avec l'ensemble de donn\ue9es KDD-99 [3] indiquent que le moyen Y permet de segmenter efficacement un grand ensemble de donn\ue9es. L'algorithme de moyen Y a permis d'obtenir un taux de d\ue9tection de 89,89\ua0% et un taux de fausse alarme de 1,00\ua0%.NRC publication: Ye