AlertWheel visualisation radiale de graphes bipartis appliquée aux systèmes de détection d'intrusions sur des réseaux informatiques

• Main Author: Dumas, Maxime
• Format: Others
• Published: École de technologie supérieure 2011
• Online Access: http://espace.etsmtl.ca/959/1/DUMAS_Maxime.pdf; http://espace.etsmtl.ca/959/2/DUMAS_Maxime%2Dweb.pdf

Les systèmes de détection d’intrusions (IDS) sont couramment employés pour détecter des attaques sur des réseaux informatiques. Ces appareils analysent le trafic entrant et sortant à la recherche d’anomalies ou d’activités suspectes. Malheureusement, ces appareils génèrent une quantité importante de bruit (ex. : faux positifs, alertes redondantes, etc.), complexifiant grandement l’analyse des données. Ce mémoire présente AlertWheel, une nouvelle application logicielle visant à faciliter l’analyse des alertes sur des grands réseaux. L’application intègre une visualisation radiale affichant simultanément plusieurs milliers d’alertes et permettant de percevoir rapidement les patrons d’attaques importants. AlertWheel propose, entre autres, une nouvelle façon de représenter un graphe biparti. Les liens sont conçus et positionnés de façon à réduire l’occlusion sur le graphique. Contrairement aux travaux antérieurs, AlertWheel combine l’utilisation simultanée de trois techniques de regroupement des liens afin d’améliorer la lisibilité sur la représentation. L’application intègre également des fonctionnalités de filtrage, d’annotation, de journalisation et de « détails sur demande », de façon à supporter les processus d’analyse des spécialistes en sécurité informatique. L’application se décompose essentiellement en trois niveaux : vue globale (roue), vue intermédiaire (matrice d’alertes) et vue détails (une seule alerte). L’application supporte plusieurs combinaisons et dispositions de vues, de façon à s’adapter facilement à la plupart des types d’analyse. AlertWheel a été développé principalement dans le but d’étudier le trafic sur des pots de miel (honeypots). Dans la mesure où tout le trafic sur un honeypot est nécessairement malveillant, ces derniers permettent d’isoler plus facilement les attaques. AlertWheel a été évalué à partir de données provenant du réseau international de honeypots WOMBAT. Grâce à l’application, il a été possible d’isoler rapidement des attaques concrètes et de cibler des patrons d’attaques globaux.