DADDi

Réunion de travail 11 octobre 2007 :

Analyse des données brutes fournies par Supélec

Objectifs

Test et comparaison des outils de formatage de développés par CRIL et ENST-Bretagne

Analyse et vérification des données « a priori » normales fournies par Supélec-Rennes

Outil de formatage développé au CRIL

010010011100000100011011001001100……110000110000110000110000110000……001011110000110000110000111001……

Trafic réseau brut (on-line ou off-line)

Formatage

Connexions

Formatage

1.098,tcp,smtp,SF,1676,333,0,0,0,0,0,1,0...0.002,udp,private,SF,105,146,0,0,0,0,...0.001,tcp,http,SF,298,321,0,0,0,0,0,1,...

DétectionNormalDoSDoSNormalU2R

ApprentissageDétectionNormalDoSDoSNormalU2R

Apprentissage

Outil de formatage développé au CRIL

Trafic brut

Off-line On-line

Enrichies

Complètes Incomplètes Complètes Incomplètes

Non enrichies

Enrichies Non enrichies

Enrichies Non enrichies

Enrichies Non enrichies

Récapitulatif des données brutes fournies par Supélec

Nature : Données «a priori» normales + attaques http Durée : 18 jours de trafic Taille : 100 Go IP proto : TCP, UDP, ICMP Services: http, ssh, ftp, auth, DNS, … Net Adr: <anonymisé> Capture filter:

<anonymisé>

Récapitulatif des données brutes fournies par Supélec

TCP65%

UDP20%

ICMP15%

Protocoles IP

Récapitulatif des données brutes fournies par Supélec

Services

Formatage de données brutes de Supélec

Données brutes: Formatage de 30 % (30 premiers fichiers..) des données brutes de Supélec

Attributs construits : 41 attributs KDD’99

Données formatées obtenues: 1713213 connexions

Expérimentations

Apprentissage : KDD’99 (Darpa’98 formatée), Darpa’99, Données a priori normale de Supélec

Test: Données a priori normale de Supélec, attaque http de Supélec

Formatage: Outil de formatage développé par CRIL

Classificateur: Arbre de décision C4.5 Vérification: Snort-2.8.0

Expérimentations (1)

1. Détection d’attaques dans les données « a priori normales » de Supélec

1.a) Apprentissage sur KDD’99 => Test sur données formatées Supélec

1.b) Apprentissage sur données formatées Darpa’99 => Test sur données formatés Supélec

Expérimentations (2)

2. Détection d’attaques dans les attaques http fournies par Supélec

Apprentissage sur trafic http de KDD’99, Darpa’99, http normal de Supélec => Test sur les attaques http de Supélec

Expérimentations (1.a)

Training: KDD’99 Testing: Données Supélec

Expérimentations (1.b)

Training: Darpa’99 Testing: Données Supélec

Expérimentation 1.a & 1.b

Majorité du trafic classé « normal » Majorité des attaques détectées: Scan &

DoS Majorité des attaques externes Quelques attaques R2L & U2R détectées

(probablement faux positifs) Fausses alertes dues à la différences du

trafic d’apprentissage et celui du test (distribution des services, débits réseaux, etc.)

Expérimentation 1.a & 1.b

Exemples d’attaques détectées

Timestamp Catégorie Victime Attaquant

May 26, 2007 09:38:43

Scan (ipsweep) <anonymise> <anonymise>

May 25, 2007 17:11:13.56

Scan (portsweep)

<anonymise> <anonymise>

May 25, 2007 17:58:03

DoS <anonymise> <anonymise>  

…. …. …. ….

Vérification avec Snort

Les données utilisées dans les expérimentations 1 & 2 ont été analysées avec Snort-2.8.0

Snort a généré en moyenne 4000 alertes par jours

Attaques détectées: Slammer, ICMP PING NMAP, …

Vérification avec Snort

Exemples d’alertes générées par Snort 05/28-10:23:01.430037 ,1,2004,7,MS-SQL Worm

propagation attempt OUTBOUND,UDP, <anonymisé> 05/27-21:12:44.263204 ,1,469,4,ICMP PING NMAP,ICMP,

<anonymisé> 05/28-01:49:31.425710 ,122,3,0,(portscan) TCP

Portsweep,,67.36.196.90, <anonymisé> 05/26-16:48:50.500022 ,1,1149,13,WEB-CGI count.cgi

access,TCP, <anonymisé> ...

Vérification avec Snort

Résumé des alertes générées durant les 10 premiers jours (log1 à log10)

Expérimentation (2)

Training: Uniquement les connexions http (normale+attaques) de KDD’99, Darpa’99 et trafic http normal de Supélec

Test: Attaques http de Supélec

Expérimentation (2)

Quatre connexions sont détectées attaque back (de type DoS) (Src_bytes>4 Ko)

Deux connexions (il s’agit de l’attaque login-http) ont été détectées land: IP src = IP dst (sauf que c’est l’adresse loopback) => La simulation de l’attaque s’est faite sur la même machine.

Expérimentation (2)

Attaque Normal

bibtexRawHTTP X

cross-http X

execute-http X

login-http X

write-fs-http3 X

Conclusions

Données brutes de Supélec Le trafic brute de Supélec n’est pas totalement normal:

il contient certainement plusieurs attaques bénignes, et probablement des attaques dangereuses…

Certaines attaques anciennes existent encore …

Outil de formatage: Résultats encourageants mais Le formatage doit tenir compte des débits réseaux

pour réduire le taux de faux positifs (nécessité d’utiliser des données d’apprentissage récentes)

Il est nécessaire d’enrichir l’ensemble des attributs pour détecter les nouvelles attaques