Contribution des techniques de datamining dans l’amélioration des systèmes de détection d’intrusion dans les réseaux informatiques

Abstract

الملخص (بالعربية) :

أن الاستعمال المكثف لشبكات الإعلام الآلي، و الأنترنيت على وجه الخصوص، جعل من معظم الأنظمة المعلوماتية أهدافا لهجمات متطورة باستمرار. وعليه فإن كل مؤسسة مرتبطة بالشبكة العنكبوتية يمكن ان تكون ضحية هجمات أو اعتداءات إن عاجلا أو آجلا. عواقب هذه الهجمات عادة ما تكون جد وخيمة و قد ترهن استمرار المؤسسة. و من أجل حماية المؤسسات و الأنظمة من هذه الأخطار تم تطوير طرق عديدة لمواجهة الهجمات المختلفة التي تهدد أمن الشبكات سواءا على مستوى البيانات أو الموارد. من أهم هذه الاليات ندكر : تقنيات التعمية، اليات التوثيق و مراقبة الدخول او الولوج للشبكات و كذلك الجدران النارية. لكن هذه الاليات الوقائية، ورغم جديتها، ليست قادرة على كشف أو إحباط الانواع الجديدة (غير معروفة/معرفة مسبقا) من الهجمات الإلكترونية المتطورة والمعدلة باستمرار لاستغلال نقاط ضعف أنظمة الإعلام الآلي الناتجة عن أخطاء في التصاميم والإنجازات المتعلقة بها(أنظمة الإعلام الآلي) . أمام هذا الوضع، اصبح من الضروري إيجاد طرق و أليات جديدة أكثر نجاعة قادرة على مراقبة و تتبع مختلف أنشطة مستعملي أنظمة الإعلام الآلي و كذا التطبيقات البرمجية التي تشغل لحسابهم من أجل الكشف عن محاولات الاختراق التي يمكن ان تنفذ عن بعد و من داخل الشبكات.

أفظت الدراسات و البحوث الى بعث مقاربة دفاعية جديدة عرفت تحت إسم كشف الاختراقات أو كشف التسلل. وكان Anderson1980}J. P. Andersson اول من نشر مقالا علميا في هذا الموضوع سنة .1980 هذه المقاربة تعنى بتحديد الأنشطة العادية و المسموح بها أو تلك التي تعتبر تهديدا للنظام والتمييز بينها. و لقد عرفها Bace على انها عملية رصد وتحليل الأحداث الواردة في نظام الإعلام الآلي من أجل الكشف عن أدلة وجود مشكلة أمنية. و عليه فإن عملية كشف الاختراقات توفر معلومات تخص محاولات اختراق الأنظمة سواءا كانت ناجحة أم فاشلة و ذلك عن طريق تحليل كل المعلومات التي تم تجميعها ضمن ملفات التدقيق الأمني الخاصة بالبرمجيات، أنظمة التشغيل و الشبكات. و لما كان حجم هذه الملفات جد كبير و في تزايد مستمر نتيجة الاستعمال المفرط لأجهزة الكمبيوتر ضمن شبكات عالمية ذات تدفق عالي فأن ادماج اليات وخوارزميات تنقيب البيانات ضمن عملية كشف الاختراقات يعتبر حلا طبيعيا جد فعال لما توفره من امكانية تحليل قواعد البيانات الضخمة و استنباط المعلومات و العلاقات و الأنماط الغير ظاهرة او المخفية. فتقنيات التعلم الآلي تحت إشراف تمكن من بناء نماذج دقيقة انطلاقا من المعطيات الخاصة بالهجمات التي تعرض لها النظام سابقا. أما تقنيات التعلم الآلي بدون إشراف فتوفر امكانية تحديد الأنشطة الخبيثة. فعلا لقد اتجهت الدراسات الحديثة إلى بناء نظم ذكية لكشف الاختراقات المعروفة وغير المعروفة، مستندة على مفاهيم واليات وخوارزميات تنقيب البيانات و نتج عن هذه الدارسات انظمة كشف الاختراقات اثبتت جدارتها وتفوقها على الأنظمة الكلاسيكية. و في نفس نسق هذه الدراسات نحاول ضمن هذه الأطروحة استعراض اهم الأعمال العلمية المنجزة في طار توظيف اليات وخوارزميات تنقيب البيانات في عملية تطوير انظمة كشف الاختراقات اكثر ذكاءا و فعالية. كما سنعمد الى تطوير مقاربة كشف الاختراقات تعتمد على إحدى هذه الأليات والخوارزميات.

الكلمات المفتاحية كشف الاختراقات، نظام كشف الاختراقات، تنقيب البيانات، تصنيف، تصنيف آلي.

------------------------------------------------ Résumé (Français et/ou Anglais) : L'utilisation continue des réseaux informatiques et du web dans la société d'aujourd'hui a fait que les ressources de la majorité des systèmes informatiques sont devenus a fortiori des cibles attrayantes d'attaques de plus en plus sophistiquées. De ce fait, tôt ou tard, toute entreprise connectée à internet peut se trouver victime d'une agression électronique à n'importe quel moment et les conséquences d'une telle attaque peuvent être catastrophiques. Les efforts de recherches et de développement consentis en matière de lutte contre de telles menaces, on aboutit à un nombre considérable d'outils et de moyens pour éviter, ou repousser dans le temps les différents types d'attaques. Parmi les plus classiques, on trouve les mécanismes d'authentification, de contrôle d'accès, les protocoles cryptographiques ou encore les pare-feux(Firewalls). Toutefois ces outils, de nature préventive, souffrent d'un nombre considérable d'inévitables vulnérabilités, ne sont pas en mesure de faire face, efficacement, aux différentes attaques qui sont continuellement sophistiquées, diversifiées et adaptées à exploiter les faiblesses des systèmes informatiques dus souvent à des conceptions négligentes ou à des erreurs d'implémentation. D'ou la nécessité d'une nouvelle composante ou approche de sécurité capable de surveiller les activités des applications et des utilisateurs d'un système informatique à fin de détecter ou identifier toute sorte d'intrusion.

En effet, c'est la prétention de l'approches "réactive" dite "Détection d'intrusion" introduite, initialement par J. P. Andersson en 1980. La détection d'intrusion, comme son nom l'indique, consiste à repérer des activités anormales ou suspectes. Bace la définie comme étant le processus de surveillance et d'analyse des événements occurrents au sein d'un système informatique dans le but de détecter l'évidence d'un problème de sécurité. Ainsi, la détection d'intrusion permet d'avoir une connaissance sur les tentatives d'intrusion réussies aussi bien que sur celles ayant échouées par le biais de l'analyse des différents fichiers d'audit de sécurité. Ces fichiers d'audit, générés soit par les applications soit par les systèmes d'exploitation ou encore les périphériques réseaux, devient de plus en plus volumineux vue l'utilisation accrue des ordinateur notamment au sein des réseaux dont le débit ne cesse d'accroitre. De ce fait l'intégration des méthodes de fouille de données(Datamining) dans la détection d'intrusion semble être la solution la plus naturelle pour explorer cette importante masse de données à fin d'extraire des caractéristiques, des relation et/ou des règles permettant de détecter des attaques au moment opportun. En effet, l'utilisation des techniques de fouille de données dans la sécurité des systèmes informatiques a suscité, au cours des trois dernières décennies, un intérêt considérable de la part de la communauté des chercheurs et des professionnels de l'informatique et de la fouille données.

La fouille de données peut contribuer à l'amélioration des performances des systèmes de détection d'intrusion soit par la construction de modèle précis à partir de l'historique des attaques perpétuées dans le passé en utilisant des techniques d'apprentissage supervisé ou par l'identification des activités malveillantes en utilisant des techniques d'apprentissage non supervisé. Dans le cadre de cette thèse nous nous intéressons à la détection d'intrusion comme approche pour faire face aux différentes activités malveillantes pouvant corrompre la sécurité des systèmes informatiques et plus particulièrement nous mettrons l'accent sur le rôle de la fouille de données dans la promotion et le développement des systèmes de détection d'intrusion.