Une nouvelle technique de sélection de fonctionnalités pour les systèmes de détection d’intrusion

Une nouvelle technique de sélection de fonctionnalités pour les systèmes de détection d'intrusion

Arbre de décision basé sur les fonctionnalités sélectionnées par MICorr. Les nœuds bleu et orange indiquent respectivement les instances DDoS et bénignes. Crédit : Kamalov et al.

Les technologies basées sur les réseaux sont devenues de plus en plus répandues et elles sont maintenant utilisées par d’innombrables particuliers, professionnels et entreprises dans le monde entier. Malgré leurs avantages, la plupart des systèmes basés sur le réseau sont très vulnérables aux attaques malveillantes.

Les conséquences d’une attaque malveillante sur les systèmes basés sur le réseau peuvent être extrêmement graves et dévastatrices. Par exemple, une attaque contre un réseau de distribution d’électricité pourrait laisser des millions de personnes et de bureaux sans électricité, tandis que les attaques contre les réseaux de médias sociaux peuvent conduire à des violations d’informations confidentielles sur les utilisateurs.

Pour surmonter les vulnérabilités des systèmes basés sur le réseau, les informaticiens du monde entier ont essayé de développer des systèmes de détection d’intrusion (IDS) avancés qui pourraient aider à identifier et à contrer les attaques malveillantes, augmentant ainsi la sécurité d’un réseau. Ces dernières années, les algorithmes d’apprentissage automatique (ML) se sont avérés particulièrement prometteurs pour détecter automatiquement les attaques et les intrusions sur le fonctionnement d’un réseau.

Une étape clé dans le développement et la formation des IDS basés sur le ML est la sélection de caractéristiques de données sur lesquelles un modèle peut s’appuyer ou se concentrer lors de la réalisation de prédictions. Idéalement, en analysant de grands ensembles de données, les chercheurs devraient être en mesure d’identifier les fonctionnalités les plus appropriées pour résoudre une tâche donnée à l’aide d’outils de ML, et cela s’applique également à la détection d’intrusion.

Des chercheurs de l’Université canadienne de Dubaï aux Émirats arabes unis ont récemment développé une nouvelle méthode de sélection de caractéristiques qui pourrait permettre le développement d’IDS plus efficaces basés sur l’apprentissage automatique. Cette méthode, présentée dans un article prépublié sur arXiv, s’est avérée remarquablement performante par rapport à d’autres techniques de sélection de caractéristiques couramment utilisées.

« Notre objectif est d’étudier la sélection de caractéristiques dans les données de trafic réseau dans le but de détecter les attaques potentielles », ont écrit dans leur article Firuz Kamalov, Sherif Moussa, Rita Zgheib et Omar Mashaal, les chercheurs qui ont mené l’étude. « Nous considérons diverses méthodes de sélection de fonctionnalités existantes et proposons un nouvel algorithme de sélection de fonctionnalités pour identifier les fonctionnalités les plus puissantes dans les données de trafic réseau. »

Tout d’abord, Kamalov et ses collègues ont analysé une série de méthodes de sélection de fonctionnalités qui pourraient être utilisées pour détecter des fonctionnalités ou des caractéristiques de données de trafic réseau pertinentes pour la détection d’intrusion. Ils se sont spécifiquement concentrés sur trois méthodes de sélection standard, connues sous le nom d’algorithmes de recherche directe basés sur la corrélation, univariés basés sur MI et basés sur la corrélation.

Par la suite, les chercheurs ont développé une nouvelle méthode de sélection de caractéristiques, baptisée MICorr, qui aborde certaines des limites des techniques de sélection de caractéristiques existantes. Ils ont évalué cette méthode sur l’ensemble de données CSE-CIC-IDS2018, qui contient 10 000 instances d’intrusion réseau bénignes et malveillantes.

« Nous proposons une nouvelle méthode de sélection de caractéristiques qui relève le défi de prendre en compte des caractéristiques d’entrée continues et des valeurs cibles discrètes », ont expliqué les chercheurs dans leur article. « Nous montrons que la méthode proposée fonctionne bien par rapport aux méthodes de sélection de référence. »

En utilisant les fonctionnalités qu’ils ont identifiées comme étant saillantes pour la détection d’intrusion, Kamalov et ses collègues ont créé un système de détection basé sur le ML très efficace. Ce système s’est avéré capable de discerner entre les attaques DDoS (Déni de service distribué) et les signaux de réseau inoffensifs avec une précision de 99%.

À l’avenir, la méthode de sélection des caractéristiques développée par cette équipe de chercheurs et les résultats présentés dans leur article pourraient éclairer le développement de nouveaux IDS très efficaces. De plus, le système qu’ils ont créé à l’aide des fonctionnalités qu’ils ont identifiées pourrait être mis en œuvre dans des environnements réels pour détecter les attaques malveillantes sur des réseaux réels.


Détecter les pages Web malveillantes


Plus d’information:
Sélection de fonctionnalités pour les systèmes de détection d’intrusion. arXiv : 2106.14941 [cs.CR]. arxiv.org/abs/2106.14941

© 2021 Réseau Science X

Citation: Une nouvelle technique de sélection de fonctionnalités pour les systèmes de détection d’intrusion (2021, 12 juillet) récupérée le 12 juillet 2021 à partir de https://techxplore.com/news/2021-07-feature-technique-intrusion.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation équitable à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.