Modélisation et classification automatique des informations de sécurité
par Fatiha Benali
Thèse de doctorat en Informatique
Sous la direction de Stéphane Ubeda.
Soutenue en 2009
à Lyon, INSA , dans le cadre de Ecole Doctorale Informatique et Information Pour La Societe. 1992-2009 (Lyon) , en partenariat avec CITI - Centre d'Innovation en Télécommunications et Intégration de services (Lyon, INSA) (laboratoire) .
mots clés-
Résumé
La sécurité d’un système d’information est devenue un enjeu stratégique important. Actuellement, les organisations (organismes ou entreprises) évoluent et disposent de multiples nœuds exécutant de multiples systèmes. Ces organisations déploient de multiples équipements de sécurité et offrent différents services à leurs utilisateurs. Les services, les ressources ainsi que les équipements déployés peuvent être des cibles pour les intrus. L'interopérabilité entre les produits déployés pour la surveillance du SI est absolument nécessaire. Nous proposons dans notre travail une architecture pour un système de détection d’intrusion basée sur l'interopérabilité entre les différents produits (de sécurité et de management) et les services déployés dans un organisme. Cette architecture va fournir une vision globale et répond aux besoins actuels de l'administrateur de sécurité. La détection d'intrusion dans ce contexte consiste à analyser les informations (alertes et événements) remontées par tous ces dispositifs mis en place afin de *surveiller un système d'information* et de prévenir toute action non légalement autorisée. Les processus d'analyse des informations de sécurité rencontrent des problèmes sérieux à cause de l’hétérogénéité des mécanismes impliqués dans la surveillance du SI et à cause du manque de standard pour la représentation de ces informations. Les travaux de thèse s’inscrivent dans le cadre de la modélisation des informations de sécurité afin de faire face au problème d’hétérogénéité des produits de surveillance, ce qui permet par la suite aux processus de gestion des informations de sécurité (comme la détection d’intrusion ou la recherche de causes d’un incident de sécurité) d’être opérationnelles et efficaces. La première partie de la thèse propose une solution pour la modélisation de la sémantique des informations de sécurité au travers d’une ontologie. Le but de l’ontologie réalisée est de décrire d'une manière uniforme la sémantique de toutes les activités qui peuvent être effectuées par des utilisateurs du SI, en faisant abstraction des produits impliqués dans la surveillance d’un SI, et en focalisant que sur les concepts porteurs de connaissance pour les mécanismes de traitement de ces informations. La mise en œuvre de l’ontologie consiste à faire une classification des alertes et événements remontés par les produits de surveillance dans les catégories qui ont été décrites par l’ontologie. La deuxième partie de la thèse s'attache à l'automatisation de la classification des messages de sécurité. Comme nous possédons un corpus de messages préalablement classifiés, nous nous intéressons donc aux techniques de catégorisation automatique de texte (CT). Ces techniques s'appuient sur des méthodes d'apprentissage. Le processus de classification proposé se compose en deux étapes. La première étape permet la préparation de données et leur représentation dans un format exploitable par les algorithmes de classification. La deuxième étape s'attache à appliquer les algorithmes des machines d'apprentissage sur les informations de sécurité prétraitées. L’application des solutions proposées dans la thèse se fait sur une base d’alertes et d’événements fournie par l’entreprise Exaprotect (un éditeur de logiciel de sécurité).
-
Titre traduit
= Modeling and automatic classification of security information
-
Résumé
The security of the Information System(IS) has become an important strategic issue. Currently, organizations or companies are evolving and have multiple nodes running multiple systems. These organizations are deploying multiple security devices and offer different services to their users. Services, resources and equipment deployed may be the targets for intruders. Interoperability between products to monitoring the IS is absolutely necessary. We present in our work an architecture for intrusion detection system based on interoperability between different products (security and management) and services deployed in an organization. This architecture will provide a comprehensive and meets the current needs of the security administrator. Intrusion detection in this context is to analyze the information (alerts and events) generated from all these devices to prevent any action not legally permitted. The process of analyzing information security faced serious problems because of the heterogeneity of the mechanisms involved in the monitoring of the IS and because of the lack of standard to presents of such information. The thesis is part of the modeling of security information to address the problem of the heterogeneity of the products, allowing the management process of information security (such as intrusion detection or the search for causes of a security incident) to be operational and efficient. The first part of the thesis proposes a solution for modeling the semantics of information security through an ontology. The purpose of the ontology is to describe in a uniform manner the semantics for all activities that may be made by users of IS, regardless of the products involved in the supervision of an IS, and focusing on the concepts of knowledge for mechanisms for processing such information. The implementation of the ontology is to make a classification of events and alerts generated by the monitoring products, in categories that were described by the ontology. The second part of the thesis focuses on automating the classification of security messages. As we have a corpus of previously classified messages, therefore we are interested in the techniques for automatic categorization of text (CT). These techniques are based on machine learning methods. The proposed classification process consists of two stages. The first step allows the data preparation and representation in a format usable by the classification algorithms. The second step aims to implement the algorithms machine learning on information security preprocessed. The application of the solutions proposed in the thesis is on a basis of alerts and events provided by the company Exaprotect (a publisher of software security).
