Vous êtes sur la page 1sur 5

1.

Description et structure de notre modèle


Dans cette partie, nous présentons le modèle proposé ( Minerva) au cours de notre travail,
les différentes étapes ainsi que les résultats qui en découlent.

Comme illustrée sur la figure 9, Minerva-IDS se base sur trois niveaux :

• Le premier niveau contient le meilleur classificateur. Ce classificateur est


sélectionné pour la simple cause qu’il nous donne le meilleurs résultat representer en
deux prédictions relativement à un comportement normal ou anormal , et ceci pour
s’assurer de la rapidité d’exécution (pas multi classification), et il travaille comme un
filtre qui sélectionne seulement les attaques à exclure et le deuxième classificateur
n’est utiliser que pour détecter un type d’attaque.

• Le deuxième niveau contient un seul classificateur(naivien baise) confirme


résultat de premier niveau. Il analyse les prédictions sélectionnées du meilleur
classificateur du premier niveau plus la connexion et prend la décision finale (comme
illustré dans la figure 10).

• Le troisième niveau contient le meilleur classificateur destiner pour distinguer


que le type attaque (taux exactitude plus élevé).

1
2. Mode de fonctionnement
La sélection de classificateurs, la phase d’apprentissage et de test constituent les étapes qui
nous ont permis de construire Minerva_IDS.

2.1. Sélection du meilleur classificateur


Dans le but est choisir le meilleur classificateur pour Minerva_IDS,
Au début, on a procédé à une sélection de classificateurs les plus utilisés dans les travaux
d’IDS.

Les différents classificateurs comparés sont : Naive bayesien, Random-Forest (RF),


RepeatedIncrementalPruningto ProduceErrorReduction (RIPPER), Simple Vector Machine
(SVM), arbre J48 (J48), FuzzyUnorderedRule Induction Algorithm (FURRIA), Sequential
minimal optimization (SMO), Multilayer Perceptrons (MLP).

Tout d’abord, deux types de mesures de performance sont utilisés :

▪ Le premier type relatif à la catégorie de connexion

Classifieur TNR_normal,% DR_DOS,% DR_R2L,% DR_U2R,% DR_PROBE,%


Naivebayesien 86,63 85,09 26,45 64,86 83,73

J48 95,95 93,22 74,17 13,51 99,73


RandomForest 96,94 99,11 35,79 16,22 100
MLP 92,16 94,34 49,79 27,03 93,22
RIPPER 96,71 97,81 33,61 37,84 99,91
LibSVM 97,73 86,07 0,00 2,70 96,29
FURRIA 96,90 95,40 54,77 10,81 99,91
SMO 94,17 94,06 32,99 40,54 99,19

Tableau 3: Les performances des classificateurs

2
120

100

80

60

40

20

TNR_normal,% DR_DOS,% DR_R2L,% DR_U2R,% DR_PROBE,%

Figure 11: Performance des classificateurs

Ensuite, une élimination de quelques classificateurs parmi ces derniers est nécessaire, en
appliquant notre opérateur Minerva qui consiste à comparer chaque classificateur par son
ensemble de résultats obtenus ( le meilleur taux d’exactitude, le taux de détection et le
minimum taux de fausses alertes) , jusqu’on arrives à atteindre un classificateur incomparable.

Nous examinons les résultats tout en comparant les différents classificateurs par ces trois
mesures citées précédemment (comme illustré dans le tableau 4) :

Mesures DR, Exactitude, FAR, Décision

Classificateurs % % %
Naivebayesien 77,6 82,59 13,37 dominé par J48
J48 91,42 93,93 4,05
RandomForest 91,07 94,32 3,06
MLP 88,39 90,48 7,84 dominé par J48
RIPPER 89,93 93,68 3,29 dominé par RF
Libsvm 76,54 88,26 2,27
FURRIA 90,65 94,11 3,10 dominé par RF
SMO 87,03 90,98 5,83 dominé par J48

Tableau 4: Minerva des classificateurs

C’est ainsi qu’on retiendra les 3 classificateurs efficaces pour former le premier niveau de
notre Minerva_IDS à savoir J48, RandomForest et Libsvm , à partir desquels notre choix se
porte sur le J48 qui semble le plus performant .

3
2.2. La phase d’apprentissage
La phase d’apprentissage nous prépare à la phase de test, et est constituée de deux niveaux :
• Le premier niveau est formé avec une partie de l’ensemble de données d’apprentissage
où chaque connexion représente une entrée pour le classificateur du premier niveau.
Cette partie de l’ensemble de données d’apprentissage correspondant à notre base de données
d’apprentissage. En premier, Nous avons fait une sélection aléatoire de 70% d’enregistrement
de notre DATASET.

• Le deuxième niveau est formé Minerva-IDS tel que chaque classificateur donne sa
prédiction par rapport à un type de connexion pour lequel ce classificateur est
sélectionné, ensuite cette prédiction et le classificateur qui lui convient seront
fusionnés avec l’ensemble de données de test.

2.3. La phase de test


Nous traitons chaque enregistrement de l’ensemble de données de test par le premier niveau,
ensuite pour confirmer, nous utilisons les sorties des prédictions et sa classification comme
des entrées pour le classificateur du deuxième niveau.

3. Expérimentation
On effectuant une série d’expérimentation avec notre DATASET qui représente l’ensemble de
données de détection d’intrusion IOT. Weka [60] est utilisé pour la mise en œuvre des
différents classificateurs. Les résultats sont obtenus sur un PC HP Intel(R) Cœur i7, 2.40
GHz, et 08Go de RAM à l’aide de weka 3.8.0.

Ensuite nous procédons à l’expérimentation du premier niveau en utilisant Naivebayesien,


Random Forest, RIPPER, SVM, J48, FURRIA, SMO, MLP suite à l’analyse de leurs
performances.

Pour le deuxième niveau, nous avons utilisé le Naïves Bayes dû à sa caractérisation


probabiliste simple et apte à intégrer les prédictions et ses classificateurs du premier niveau.

4
I. La description du modèle La plupart des travaux de la détection d’intrusion utilisent
les classificateurs du même niveau de façon isolée.

Concernant notre contribution nous proposons une nouvelle approche qui est représentée
dans un modèle de détection d’intrusion hybride et hiérarchique à trois niveaux dont la
particularité réside sur l’intégration des décisions de différents classificateurs du 1er
niveau par le classificateur de deuxième niveau qui va dégager puis faire le filtrage pour
réduire l'échelle de l'ensemble des donnée, donc efficacement permet d'économiser du
temps de traitement et de prévision,

Enfin, le troisième niveau intégré la décision de deux niveaux hauts en fonction de cela,
sa prédiction finale.

1 la structure de notre modèle

Dans cette partie, nous présentons le modèle proposé (Minerva-IDS) au cours de notre
travail, les différentes étapes ainsi que les résultats qui en découlent.

Comme illustrée sur la figure 9, Minerva-IDS se base sur