Nouvelle approche de corrélation d'alertes basée sur la fouille multidimensionnelle
Résumé
En réponse aux problèmes posés par la complexité croissante des réseaux et des attaques, les Systèmes de Détection d'Intrusions (SDIs) constituent une bonne alternative pour mieux sécuriser un système informatique. Cependant, les SDIs existants présentent des lacunes en terme de génération excessive d'alertes. Réellement, la majorité de ces alertes ne correspondent pas à des attaques (fausses alertes, alertes redondantes, etc.). Ainsi, la corrélation d'alertes est un processus d'analyse appliqué à des journaux d'alertes. Dans cet article, nous proposons une nouvelle approche pour la corrélation d'alertes basée sur le couplage entre la fouille de données et les outils OLAP (On Line Analytical Processing). L'idée intuitive derrière cette approche est de profiter des avantages de la fouille de données multidimensionnelles afin de rehausser l'analyse des alertes et introduire une solution puissante pour faire face aux défauts des SDIs. Les expérimentations, que nous avons menées, montrent l'efficacité de notre nouvelle méthode de corrélation d'alertes.