Détection non supervisée d'anomalies du trafic
Résumé
La détection d'anomalies est une tâche critique de l'administration des réseaux. Les méthodes exis- tantes de détection d'anomalies s'appuient soit sur des signatures crées à partir d'anomalies connues, soit sur le résultat d'un apprentissage effectué sur un échantillon de trafic, deux méthodes compliquées et coûteuses en termes de ressources humaines et inefficace contre les nouvelles anomalies. Un système de détection d'anoma- lies doit donc être capable de s'adapter rapidement et de manière autonome à l'évolution du trafic, i.e. en évitant une coûteuse intervention humaine. Dans cet article, nous présentons une approche non-supervisée qui permet de détecter et caractériser les anomalies réseaux de façon autonome. Notre approche utilise des techniques de partitionnement robuste afin d'identifier les flux anormaux et construire les signatures correspondantes qui peuvent alors être déployées dans des outils classiques de sécurité. Les techniques de partitionnement utilisées sont parallélisables ce qui permet d'envisager un fonctionnement temps-réel. Nous évaluons les performances de notre système sur des traces de trafic réel. Les résultats obtenus mettent en évidence la possibilité de mettre en place des systèmes de détection et caractérisation d'anomalies autonomes et fonctionnant sans connaissance préalable.
Origine : Fichiers produits par l'(les) auteur(s)
Loading...