Diapositive 1

1
Contriubtions du CRIL dans le cadre de lACI
Daddi Mars 2006
Présenté par Zied Elouedi zied.elouedi_at_gmx.fr
2
Introduction

Traitement du problème de détection dintrusions
comme un problème de classification.
3
Modèle de classification
Ensemble dapprentissage
Classifieur
Certain
Incertain
Certain
Incertain
4
Cadre stanadrd
5
Ensemble dapprentissage certain (détection
dintrusions)
Nature des connexions
Protocole Service Flag Classe
tcp http SF Normal
tcp http RSTO Normal
tcp http REJ Probing
tcp time SF Probing
tcp time SO DOS
tcp auth SF Normal
tcp auth SO DOS
tcp private SF Normal
tcp private SF Normal
tcp private REJ Probing
tcp private RSTO DOS
tcp private SO DOS
udp domain_u SF Normal
udp private SF DOS
tcp http RSTO Normal
tcp private RSTO DOS
tcp http SF Normal

6
Techniques utilisées

• Arbres de décision

• Une technique de classification.
• Expression simple de la connaissance.
• Compréhension et interprétation facile des
  résultats.

• Réseaux Bayésiens naïfs

• Un nœud racine (classe).
• Plusieurs nœuds enfants (attributs).
• Forte hypothèse (naïve) d'indépendance entre les
  enfants. dans le contexte de leur parent.

7
Arbres de décision
flag
SF
RSTO
REJ
service
protocole
D
udp
http
tcp
private
domain-u
N
P
N
D
service
http
private
domain-u
P
N
P
Nouvelle connexion
8
Réseaux Bayésiens naïfs
Classe
P(Classe)
Flag
Protocole
Service
P(Protocole Classe)
P(Service Classe)
P(Flag Classe)
Nouvelle connexion
E
Max P(Classes E)
9
Méta-classifieur
AD
Méta-classifieur ADRBN
Type de la connexion
Connexion
RBN
10
Cadre incertain Arbre de décision
crédibiliste (BDT)
11
Ensemble dapprentissage incertain
Protocole Service Flag Classe
tcp http SF Normal
tcp http RSTO Normal
tcp http REJ Probing ou DOS
tcp time SF Probing
tcp time SO DOS
tcp auth SF Normal
tcp auth SO ?
tcp private SF Normal
tcp private SF Normal
tcp private REJ Probing
tcp private RSTO DOS avec degré ?1 et U2R avec degré ?2
tcp private SO DOS
udp domain_u SF Normal
udp private SF DOS avec degré ?1 et (U2R ou R2L) avec degré ?2
tcp http RSTO ?
tcp private RSTO DOS
tcp http SF Normal
12
Théorie des fonctions de croyance
Fonction de masse de croyance élémentaire (bba)
m(A)
Partie de croyance attribuée exactement à A
m 2? ? 0,1
13
Idée

• Utilisation de la théorie des fonctions de
  croyance qui permet
• L'expression des croyances partielles.
• La possibilité d'exprimer l'ignorance partielle
  ou totale.
• Le traitement des jugements subjectifs et
  personnels.
• La représentation des informations mathématiques
  et épistémiques.
• La combinaison de lévidence survenue de
  plusieurs sources dinformation.
• Ladaptation aux systèmes de raisonnement
  (système expert, système daide à la décision,
  IDS,).

14
Théorie des fonctions de croyance
15
Théorie des fonctions de croyance
Prise de décision
Niveau pignistique
Niveau de croyance
Transformation pignistique
16
Exemple
Protocole Service Flag Classe
tcp http SF mI1
tcp http RSTO mI2
tcp http REJ m I3
tcp time SF mI4
tcp time SO mI5
tcp auth SF mI6
tcp auth SO mI7
tcp private SF mI8
tcp private SF mI9
tcp private REJ mI10
tcp private RSTO mI11
tcp private SO mI12
udp domain_u SF mI13
udp private SF mI14
tcp http RSTO mI15
tcp private RSTO mI16
tcp http SF mI17
17
Connexions dapprentissage
N Normal D DOS U U2R R R2L P Probing
18
Connexions dapprentissage
19
Arbres de décision crédibilistes (BDT)
Arbres de décision

Théorie des fonctions de croyance (TBM)
Arbre de décision crédibiliste
20
Arbres de décision crédibilistes (BDT)
Comment construire un classifieur (BDT) avec des
classes de connexions dapprentissages
incertaines ?
21
Le principe
Mesure de sélection dattributs
Stratégie de partitionnement
Critères darrêt
Structure des feuilles
22
Mesure de sélection dattributs
23
Approche par moyenne
Ensemble dapprentissage T
mI1 mI2 mI3 mI4 . .

• Lentropie de la distribution des classes dans
  T.
• Lentropie de la distribution des classes dans
  les sous
• ensembles dapprentissage (suite au
  partitionnement).

• Calculer la ratio de gain de chaque attribut.

24
Approche conjunctive
Ensemble dapprentissage T
mI1 mI2 mI3 mI4 . .

• Développer une distance entre bbas
• Tous les objets dune feuiles doivent être
• proches les uns des autres

• Minimiser la distance intra-groupe.
• Maximiser la distance inter-group.

25
Stratégie de pratitionnement
Attributs symboliques
Création dune branche pour chaque valeur
dattributs.
Attributs continus
Découper en sous-ensembles ordonnés
26
Critères darrêt

• Le nœuds contient une seule connexion (objet).
• Le nœud contient des connexions ayant la même
  bba.
• Il n y a plus dattributs à tester.
• La valeur de la mesure de sélection sur les
  attributs restants est inférieure ou égale à
  zéro.

27
Structure dune feuille
28
Arbres de décision crédibilistes (BDT)
Comment utiliser le BDT pour trouver les classes
des connexions ?
29
Classification off-line
30
Classification off-line/on-line
Quen est-il de la classification
on-line/anticipée ? Est-ce quon peut arrêter
une connexion (douteuse) avant sa terminaison ?
31
Cas disjonctif
Règle disjonctive m6 ? m7
Normal 0.05 Dos 0.05 U2R 0.05 R2L 0.05
Probing 0.8
32
Cas des valeurs manquantes
Règle disjonctive m1 ? m2
Normal 0 Dos 0.8 U2R 0 R2L 0 Probing 0.2
33
Cas général attributs incertains
bba pour chaque attribut
Incertitude dans les valeurs de certains
attributs
flag
SF
RSTO
REJ
m5
service
protocol-type
udp
http
tcp
private
domain-u
m1
m6
m8
service
m7
http
private
domain-u
Tenir compte de toutes les bbas
m2
m4
m3
34
Cadre incertain Arbre de décision
possibiliste (Approche qualitative)
35
Exemple
36
Théorie des possibilités

• Distribution de possibilités ? ? ? 0,1
• Possible / Impossible ? (?)1 / ? (?)0,
• Ignorance ? ?, ?(?) 1
• Normalisation ? ? / ? (?)1

Ordinale
Numérique
?A(a1) gt ?A(a2) A a1 est plus plausible que
A a2
complètement possible (?(?)1)
quelque peu possible
totalement impossible (?(?)0)
Produit
Minimum
37
Arbres de décision possibilistes
Arbres de décision

Théorie des possibilités
Différentes façons pour classer des connexions
avec des attributs incertains/manquants en
utilisant la théorie des possibilités.
38
Travail effectué

• Plusieurs propositions
• Méthode basée sur les opérateurs Min/max ou
  Min/leximax
• Méthode basée sur les opérateurs Min/leximax
• Méthode basée sur les opérateurs Leximin/leximax

39
Méthode basée sur le Leximin/leximax

• Établir un pré-ordre total de tous les chemins
  utilisant lopérateur leximin

• Sélectionner un premier ensemble des classes
  candidates correspondant aux classes libellant
  les meilleurs chemins dans le pré-ordre total.

• Si cet ensemble contient plus quune classe, il
  faut le raffiner en sélectionnant les classes
  leximax préférées en utilisant lordre
  leximin-leximax.

40
Exemple
service
private
http
domain-u
1
1
?3
count
flag
P (P4)
lt46
gt46
SF
RSTO
REJ
?2
1
?3
?3
?4
1
count
N (P1)
Wrong_fragment
P (P9)
Wrong_fragment
gt1
lt1
lt0
gt0
lt0
gt0
?3
1
?2
1
?2
?3
1
1
D (P5)
N (P6)
P (P7)
N (P8)
N (P2)
D (P3)
?3
?3
?4
?4
?3
1

• P3 leximinP9 gtleximinP1gtleximinP2
  leximinP4leximin P6 gtleximinP5 gtleximinP8
  gtleximinP7

41
Exemple
service
private
http
domain-u
1
1
?3
count
flag
P (P4)
lt46
gt46
SF
RSTO
REJ
?2
1
?3
1
?3
?4
count
N (P1)
Wrong_fragment
P (P9)
Wrong_fragment
gt1
lt1
lt0
gt0
gt0
lt0
?3
1
?2
1
?2
?3
1
1
D (P5)
N (P6)
P (P7)
N (P8)
N (P2)
D (P3)
?3
?3
?4
?4
?3
1

• P3 leximinP9 gtleximinP1gtleximinP2
  leximinP4leximin P6 gtleximinP5 gtleximinP8
  gtleximinP7

Donc la classe candidate est P
42
Autre options

• Arbres de décision possibiliste (incertitude au
  niveau de
• lapprentissage).

• Arbres de décision qualitatifs (possibilistes)
  avec options

• Evaluation des classifieurs

43
Travaux en cours

• Réseaux naïfs crédibilistes

• Réseaux naïfs possibilistes

• Expérimentations

44
Publications
"Qualitative classification with possibilistic
decision trees" Nahla Ben Amor, Salem Benferhat,
Zied Elouedi, Chapitre of The Tenth
International Conference on Information
Processing and Management of Uncertainty in
Knowledge-Based Systems IPMU 2006. "Réseaux
Bayésiens naïfs et arbres de décision dans les
systèmes dedétection d'intrusions" Nahla Ben
Amor, Salem Benferhat, Zied Elouedi, A paraître
dans le journal Technique et Science
Informatiques (TSI), 2006. "Qualitative
inference in possibilistic option decision
trees Ilyes Jenhani, Zied Elouedi, Nahla Ben
Amor, Khaled. Mellouli, The Eighth European
Conference of Symbolic and Quantitative
Approaches to Reasoning with Uncertainty
ECSQARU-2005, Barcelone, Espagne, 944-955, 6-8
Juillet 2005. "Towards a definition of
evaluation criteria for probabilistic
classifiers Nahla Ben Amor, Salem Benferhat,
Zied Elouedi, The Eighth European Conference of
Symbolic and Quantitative Approaches to Reasoning
with Uncertainty ECSQARU-2005, Barcelone,
Espagne, 921-931,6-8 Juillet 2005. On the
combination of Naïve Bayes and decision trees for
intusion detection Salem Benferhat, Karim Tabia,
The International Conference of Intelligence,
Control and Automation, CIMCA 2005.