Corrélation d'alertes issues de sondes de détection d'intrusions avec prise en compte d'informations sur le système surveillé

par Benjamin Morin

Thèse de doctorat en Informatique

Sous la direction de Mireille Ducassé.

Soutenue en 2004

à Rennes, INSA .


  • Résumé

    Les systèmes de détection d'intrusions détectent les attaques contre les systèmes informatiques. Malheureusement, ces systèmes génèrent un volume excessif d'alertes dont la sémantique est pauvre. Une solution pour améliorer les systèmes de détection d'intrusions consiste à corréler les alertes. Nous proposons un modèle baptisé M2D2, qui fédère et structure les informations ne��cessaires à la corrélation d'alertes, notamment les informations relatives aux entités du système d'informations surveillé. Nous proposons en outre deux approches de corrélation d'alertes qui exploitent les informations de M2D2. La première, basée sur le formalisme des chroniques, permet de reconnaître des séquences récurrentes d'alertes. La seconde approche, basée sur l'analyse de concepts, aborde la corrélation sous l'angle de la recherche d'information. Elle permet à l'opérateur de sécurité de consulter un ensemble d'alertes par interrogation et par navigation et facilite ainsi leur traitement.

  • Titre traduit

    Correlation of alarms from intrusion detection systems using the characteristics of the monitored environment


  • Résumé

    Intrusion detection systems trigger alarms when attacks against a monitored information system are detected. Unfortunatly, these systems produce too many alarms whose semantics is poor. Alarm correlation is an approach to reduce the amount of alarms and enhance their quality. We propose a model called M2D2 which federates the required information to correlate alarms, especially information about the monitored environment. We also propose two alarm correlation approaches which use M2D2's information. The first one is based on the chronicle formalism. This approach allows us to recognize known alarm or event sequences. The second approach tackles correlation from the information retrieving point of view; it is based on concept analysis. This approach provides the security operator with a tool that allows him to query and navigate in an alarm set and facilitates their processing

Autre version

Cette thèse a donné lieu à une publication

Corrélation d'alertes issues de sondes de détection d'intrusions avec prise en compte d'informations sur le système surveillé


Consulter en bibliothèque

La version de soutenance existe sous forme papier

Informations

  • Détails : 104 p.
  • Notes : Publication autorisée par le jury
  • Annexes : Bibliogr.p.159-154(83 réf.). Index

Où se trouve cette thèse\u00a0?

  • Bibliothèque : Institut National des Sciences Appliquées. Bibliothèque.
  • Disponible pour le PEB
  • Cote : THE MOR
  • Bibliothèque : IMT Atlantique campus de Rennes. Documentation.
  • Disponible pour le PEB
  • Cote : 2.28 MORI

Cette version existe également sous forme de microfiche :

  • Bibliothèque : Université de Lille. Service commun de la documentation. Bibliothèque universitaire de Sciences Humaines et Sociales.
  • Non disponible pour le PEB
  • Cote : 2004ISAR0001
Voir dans le Sudoc, catalogue collectif des bibliothèques de l'enseignement supérieur et de la recherche.

Consulter en bibliothèque

Cette thèse a donné lieu à une publication

Informations

  • Sous le titre : Corrélation d'alertes issues de sondes de détection d'intrusions avec prise en compte d'informations sur le système surveillé
  • Détails : 1 vol. 164 p.)
  • Annexes : Bibliogr.p.159-154(83 réf.). Index
La version de soutenance de cette thèse existe aussi sous forme papier.

Où se trouve cette thèse\u00a0?

Voir dans le Sudoc, catalogue collectif des bibliothèques de l'enseignement supérieur et de la recherche.