COMPTE RENDU DU TP DETECTION INTRUSION

« Carl Gue hi Introduction L’objectif de ce TP est d’implémenter une méthode de détection en temps réel caractérisée par un saut de moyenne dans un signal, un comptage de connexions successives à un serveur donné. La statistique extraite est le nombre de connexio ns au même hôte au cours des deux dernières secondes.

La méthode choisie est le détecteur de Page -Hinkley (test de saut de moyenne par rapport de vrais emblance). On simulera donc le comportement d’un IDS dans un réseau. I.

Extraction des caractéristiques 1.

Vis ualisation des signaux d’apprentissage (en particulier les plages de normalité et d’anormalité) Comme mentionnée dans le T P on considérera qu’une conn exion est normale si elle est étiquetée par 0 ou anormale si elle est étiquetée par 1. Les signaux seront contenus dans la variable data et le signal de vérité dans la variable gt. COMPTE RENDU DU TP DETECTION INTRUSION Donnees=load( 'signaltcp -http -SF_gt.mat' ); gt=Donnees.gt; data= Donnees.data_tcp_http; nnorm=0; vnorm=0; vanorm=0; nnorm1=0; m=0; m1=0; figure(1) for i=1:size(data,1) plot(data(i,:), 'b' ); hold on ; plot(gt(i,:), 'bl ack' ,'Linewidth' ,3); for j=1:1000 if gt(i,j)==0 m=m+data(i,j); vnorm=vnorm+data(i,j)^2; nnorm=nnorm+1; else m1=m1+data(i,j); vanorm=vanorm+data(i,j)^2; nnorm1=nnorm1+1; end end end hold off. »