Réseaux de neurones et détection d'anomalie

Il y a eu une quantité énorme de recherches sur l'utilisation de techniques d'apprentissage automatique pour Détection d'anomalie , c'est-à-dire de numériser le trafic réseau et détecter les intrusions. Cependant, cette recherche a eu très peu d'impact pratique. Ces techniques ont vu peu de déploiement et sont rarement utilisées dans la pratique.

Pourquoi pas? Il y a de nombreuses raisons.

Premièrement, ces systèmes ont tendance à avoir un taux de faux alarme élevé. Ils soulèvent souvent de multiples alarmes par jour par jour (parfois même des dizaines par jour), ce qui reprend le temps des administrateurs système. Il s'agit d'un défi fondamental pour les systèmes de détection d'anomalie, car ils souffrent de la "aiguille dans un grille de foin": des milliards de paquets traversent votre réseau tous les jours et presque tous sont bénins. Si l'algorithme a un taux d'alarme fausse aussi bas que 0,1%, il s'agit toujours de milliers de paquets éventuellement marqués. Pour être pratique, l'algorithme de détection d'anomalie doit avoir un taux de faux alarme exceptionnellement bas, qui est très difficile à bien faire - pour la même raison qu'il est très difficile de détecter des terroristes dans le dépistage de l'aéroport, sans introduire de nombreuses fausses alarmes. cela parce que les gens de tous les jours doivent être recherchés.

Deuxièmement, les systèmes de détection d'anomalie ont tendance à ne pas être très robustes. Ils se concentrent sur détecter des motifs inhabituels ou nouveaux dans votre trafic réseau: n'importe quoi hors de l'ordinaire. La conséquence est que, à tout moment, quelque chose change de votre réseau, quelle que soit la façon dont bénignant, ils ont tendance à augmenter des alarmes. Votre site Web a-t-il juste obtenu slashdoted? Blam, les alarmes parasites deviennent folles. Certains utilisateurs ont-ils installé une nouvelle application qui joue de nouveaux NAT? Blam, voici les alarmes parasites. Quelqu'un est-il simplement installé IPv6 pour la première fois? Blam. Quelqu'un Connectez un nouveau téléphone portable avec Une pile TCP/IP Wonky, qui envoie des paquets brisés? Blam. Vous obtenez l'idée.

Si vous souhaitez en savoir plus sur les défis de l'innovation dans ce domaine, je recommanderais les documents de recherche suivants:

• En dehors du monde fermé: sur l'utilisation de la machine apprentissage pour la détection d'intrusion de résea . Robin Sommer et Vern Paxson. IEEE Security & Confidentialité 2010.

  • Extraits: "Comparé à d'autres approches de détection d'intrusion, l'apprentissage de la machine est rarement employé dans les paramètres opérationnels" du monde réel ". [...] Il peut être surprenant d'abord de comprendre que malgré de vastes efforts de recherche académiques sur la détection d'anomalie, le succès de cette Les systèmes dans des environnements opérationnels ont été très limités. "

• la chute de base de la base et ses implications pour la difficulté de détection d'intrusion . Stefan Axelsson. RAID 1999.

  • Extraits: "Le facteur limitant les performances d'un système de détection d'intrusion n'est pas la possibilité d'identifier correctement le comportement comme intrusif, mais plutôt sa capacité à supprimer de fausses alarmes."