La vitrine de diffusion des mémoires et thèses de l'ÉTS
RECHERCHER

AlertWheel visualisation radiale de graphes bipartis appliquée aux systèmes de détection d'intrusions sur des réseaux informatiques

Dumas, Maxime (2011). AlertWheel visualisation radiale de graphes bipartis appliquée aux systèmes de détection d'intrusions sur des réseaux informatiques. Mémoire de maîtrise électronique, Montréal, École de technologie supérieure.

[img]
Prévisualisation
PDF
Télécharger (8MB) | Prévisualisation
[img]
Prévisualisation
PDF
Télécharger (992kB) | Prévisualisation

Résumé

Les systèmes de détection d’intrusions (IDS) sont couramment employés pour détecter des attaques sur des réseaux informatiques. Ces appareils analysent le trafic entrant et sortant à la recherche d’anomalies ou d’activités suspectes. Malheureusement, ces appareils génèrent une quantité importante de bruit (ex. : faux positifs, alertes redondantes, etc.), complexifiant grandement l’analyse des données.

Ce mémoire présente AlertWheel, une nouvelle application logicielle visant à faciliter l’analyse des alertes sur des grands réseaux. L’application intègre une visualisation radiale affichant simultanément plusieurs milliers d’alertes et permettant de percevoir rapidement les patrons d’attaques importants. AlertWheel propose, entre autres, une nouvelle façon de représenter un graphe biparti. Les liens sont conçus et positionnés de façon à réduire l’occlusion sur le graphique. Contrairement aux travaux antérieurs, AlertWheel combine l’utilisation simultanée de trois techniques de regroupement des liens afin d’améliorer la lisibilité sur la représentation. L’application intègre également des fonctionnalités de filtrage, d’annotation, de journalisation et de « détails sur demande », de façon à supporter les processus d’analyse des spécialistes en sécurité informatique.

L’application se décompose essentiellement en trois niveaux : vue globale (roue), vue intermédiaire (matrice d’alertes) et vue détails (une seule alerte). L’application supporte plusieurs combinaisons et dispositions de vues, de façon à s’adapter facilement à la plupart des types d’analyse.

AlertWheel a été développé principalement dans le but d’étudier le trafic sur des pots de miel (honeypots). Dans la mesure où tout le trafic sur un honeypot est nécessairement malveillant, ces derniers permettent d’isoler plus facilement les attaques.

AlertWheel a été évalué à partir de données provenant du réseau international de honeypots WOMBAT. Grâce à l’application, il a été possible d’isoler rapidement des attaques concrètes et de cibler des patrons d’attaques globaux.

Résumé traduit

Intrusion detection systems (IDS) are widely used to detect attacks on computer networks. These tools scan incoming and outgoing traffic, searching for anomalies or suspicious activities. Unfortunately, they also generate much noise (i.e. false positives, redundant alerts, etc.), greatly complicating data analysis.

This thesis presents AlertWheel, a new software application easing network analysis on large-scale networks. It is based on a novel radial visualization capable of simultaneously displaying several thousand alerts, emphasizing the most important alerts or patterns in the dataset. Among other things, AlertWheel offers a new technique for representing bipartite graphs (where links exist between two distinct node groups). Using this approach, links are positioned in a way to reduce occlusion in the visualization. AlertWheel simultaneously combines three link bundling techniques in a novel way to reduce cluttering on the interface. Our solution also incorporates filtering options, annotation, logging and details-on-demand, to support analysis processes as described by specialists in this field.

AlertWheel enables three different levels of analysis: high level analysis (the alert wheel), intermediate analysis (alert matrix) and a detailed analysis (single alert). Our prototype supports different combinations and layouts of views, to adapt to many kinds of analysis.

The application was mainly developed to support honeypot analysis (virtually vulnerable computers used as a trap to analyze malicious traffic). AlertWheel could also be used on large computer networks where traditional techniques could not be adapted.

AlertWheel was evaluated using network traffic captured on the international honeypot network WOMBAT. Using our solution, it was possible to rapidly isolate actual attacks and identify high level attack patterns.

Type de document: Mémoire ou thèse (Mémoire de maîtrise électronique)
Renseignements supplémentaires: "Mémoire présenté à l'École de technologie supérieure comme exigence partielle à l'obtention de la maîtrise en génie des technologies de l'information". Bibliogr. : f. [97]-101.
Mots-clés libres: Réseaux d'ordinateurs. Systèmes de détection d'intrusion (Sécurité informatique) Graphes bipartis. Alerte, Alertwheel, Honeypot, Honeypots, Radial, Visualisation, Wombat, IDS, Sécurité.
Directeur de mémoire/thèse:
Directeur de mémoire/thèse
Robert, Jean-Marc
Co-directeurs de mémoire/thèse:
Co-directeurs de mémoire/thèse
McGuffin, Michael John
Programme: Maîtrise en ingénierie > Génie
Date de dépôt: 14 mars 2012 14:28
Dernière modification: 20 févr. 2017 21:34
URI: http://espace.etsmtl.ca/id/eprint/959

Actions (Identification requise)

Dernière vérification avant le dépôt Dernière vérification avant le dépôt

Statistique

Plus de statistique...