AlertWheel visualisation radiale de graphes bipartis appliquée aux systèmes de détection d'intrusions sur des réseaux informatiques
Les systèmes de détection d’intrusions (IDS) sont couramment employés pour détecter des attaques sur des réseaux informatiques. Ces appareils analysent le trafic entrant et sortant à la recherche d’anomalies ou d’activités suspectes. Malheureusement, ces appareils génèrent une quantité importante...
| Main Author: | |
|---|---|
| Format: | Others |
| Published: |
École de technologie supérieure
2011
|
| Online Access: | http://espace.etsmtl.ca/959/1/DUMAS_Maxime.pdf http://espace.etsmtl.ca/959/2/DUMAS_Maxime%2Dweb.pdf |
| Summary: | Les systèmes de détection d’intrusions (IDS) sont couramment employés pour détecter des
attaques sur des réseaux informatiques. Ces appareils analysent le trafic entrant et sortant à la
recherche d’anomalies ou d’activités suspectes. Malheureusement, ces appareils génèrent une
quantité importante de bruit (ex. : faux positifs, alertes redondantes, etc.), complexifiant
grandement l’analyse des données.
Ce mémoire présente AlertWheel, une nouvelle application logicielle visant à faciliter
l’analyse des alertes sur des grands réseaux. L’application intègre une visualisation radiale
affichant simultanément plusieurs milliers d’alertes et permettant de percevoir rapidement les
patrons d’attaques importants. AlertWheel propose, entre autres, une nouvelle façon de
représenter un graphe biparti. Les liens sont conçus et positionnés de façon à réduire
l’occlusion sur le graphique. Contrairement aux travaux antérieurs, AlertWheel combine
l’utilisation simultanée de trois techniques de regroupement des liens afin d’améliorer la
lisibilité sur la représentation. L’application intègre également des fonctionnalités de filtrage,
d’annotation, de journalisation et de « détails sur demande », de façon à supporter les
processus d’analyse des spécialistes en sécurité informatique.
L’application se décompose essentiellement en trois niveaux : vue globale (roue), vue
intermédiaire (matrice d’alertes) et vue détails (une seule alerte). L’application supporte
plusieurs combinaisons et dispositions de vues, de façon à s’adapter facilement à la plupart
des types d’analyse.
AlertWheel a été développé principalement dans le but d’étudier le trafic sur des pots de miel
(honeypots). Dans la mesure où tout le trafic sur un honeypot est nécessairement malveillant,
ces derniers permettent d’isoler plus facilement les attaques.
AlertWheel a été évalué à partir de données provenant du réseau international de honeypots
WOMBAT. Grâce à l’application, il a été possible d’isoler rapidement des attaques concrètes
et de cibler des patrons d’attaques globaux. |
|---|