Un nouvel algorithme de clustering pour la détection d’anomalies

Damien Nogues, LIP6, Thales
salle 24-25/405 à 11h00
Abstract
La détection d’intrusion est une problématique importante en cyber-sécurité. Cependant, de nombreuses approches classiques utilisent une approche à base de règles. Pour chaque attaque, une signature de détection est créée. Ces approches ne permettent donc pas de détecter de nouvelles attaques, ou des attaques connues mais modifiées. Pour cette raison, nous nous sommes intéressés aux approches de détection d’anomalies. Ces méthodes utilisent des techniques d’apprentissage non supervisé pour détecter des déviations à la norme. Ainsi, les techniques de clustering sont fréquemment utilisées. Mais les algorithmes classiques de clustering, tel que k-means, ne sont pas très adaptés à ce problème. En effet, ces derniers nécessitent souvent de fixer a priori le nombre de classes désiré. De plus, ces algorithmes sont en général conçus pour traiter des données quantitatives, ou parfois qualitatives. En détection d’intrusions, les données sont souvent hétérogènes. Nous détaillerons donc un nouveau critère de clustering adapté aux données hétérogènes, ainsi qu’un algorithme d’optimisation de ce critère. Enfin, nous verrons comment il est possible d’utiliser la partition obtenue pour effectuer une détection d’anomalies efficace sur des flux réseaux.
This entry was posted in Events