Modélisation et classification automatique des informations de sécurité
Auteur / Autrice : | Fatiha Benali |
Direction : | Stéphane Ubeda |
Type : | Thèse de doctorat |
Discipline(s) : | Informatique |
Date : | Soutenance en 2009 |
Etablissement(s) : | Lyon, INSA |
Ecole(s) doctorale(s) : | Ecole doctorale Informatique et Information Pour La Societe (Lyon ; 1992-2008) |
Partenaire(s) de recherche : | Laboratoire : CITI - Centre d'Innovation en Télécommunications et Intégration de services (Lyon, INSA) |
Mots clés
Mots clés contrôlés
Résumé
La sécurité d’un système d’information est devenue un enjeu stratégique important. Actuellement, les organisations (organismes ou entreprises) évoluent et disposent de multiples nœuds exécutant de multiples systèmes. Ces organisations déploient de multiples équipements de sécurité et offrent différents services à leurs utilisateurs. Les services, les ressources ainsi que les équipements déployés peuvent être des cibles pour les intrus. L'interopérabilité entre les produits déployés pour la surveillance du SI est absolument nécessaire. Nous proposons dans notre travail une architecture pour un système de détection d’intrusion basée sur l'interopérabilité entre les différents produits (de sécurité et de management) et les services déployés dans un organisme. Cette architecture va fournir une vision globale et répond aux besoins actuels de l'administrateur de sécurité. La détection d'intrusion dans ce contexte consiste à analyser les informations (alertes et événements) remontées par tous ces dispositifs mis en place afin de *surveiller un système d'information* et de prévenir toute action non légalement autorisée. Les processus d'analyse des informations de sécurité rencontrent des problèmes sérieux à cause de l’hétérogénéité des mécanismes impliqués dans la surveillance du SI et à cause du manque de standard pour la représentation de ces informations. Les travaux de thèse s’inscrivent dans le cadre de la modélisation des informations de sécurité afin de faire face au problème d’hétérogénéité des produits de surveillance, ce qui permet par la suite aux processus de gestion des informations de sécurité (comme la détection d’intrusion ou la recherche de causes d’un incident de sécurité) d’être opérationnelles et efficaces. La première partie de la thèse propose une solution pour la modélisation de la sémantique des informations de sécurité au travers d’une ontologie. Le but de l’ontologie réalisée est de décrire d'une manière uniforme la sémantique de toutes les activités qui peuvent être effectuées par des utilisateurs du SI, en faisant abstraction des produits impliqués dans la surveillance d’un SI, et en focalisant que sur les concepts porteurs de connaissance pour les mécanismes de traitement de ces informations. La mise en œuvre de l’ontologie consiste à faire une classification des alertes et événements remontés par les produits de surveillance dans les catégories qui ont été décrites par l’ontologie. La deuxième partie de la thèse s'attache à l'automatisation de la classification des messages de sécurité. Comme nous possédons un corpus de messages préalablement classifiés, nous nous intéressons donc aux techniques de catégorisation automatique de texte (CT). Ces techniques s'appuient sur des méthodes d'apprentissage. Le processus de classification proposé se compose en deux étapes. La première étape permet la préparation de données et leur représentation dans un format exploitable par les algorithmes de classification. La deuxième étape s'attache à appliquer les algorithmes des machines d'apprentissage sur les informations de sécurité prétraitées. L’application des solutions proposées dans la thèse se fait sur une base d’alertes et d’événements fournie par l’entreprise Exaprotect (un éditeur de logiciel de sécurité).