Logiques IFO-QCL et gestion des informations partielles en théorie des possibilités : application à la corrélation d'alertes

par Lydia Benlabiod (Bouzar)

Thèse de doctorat en Informatique

Sous la direction de Salem Benferhat et de Thouraya Bouabana-Tebibel.


  • Résumé

    Nous proposons dans cette thèse une modélisation du processus de corrélation d'alertes avec une nouvelle logique de préférences, appelée IFO-QCL (pour Instanciated First Order Qualitative Choice Logic). Le processus de corrélation d'alertes modélisé prend en entrée un ensemble d'alertes, générées par les systèmes de détection d'intrusions (IDS), ainsi que les connaissances et les préférences d'un opérateur de sécurité sous forme de bases de connaissances/préférences, codées en logique IFO-QCL. En sortie, un sous-ensemble d'alertes jugées les plus pertinentes sont transmises à l'opérateur de sécurité.Dans la pratique, les alertes fournies par les IDS ne renseignent pas tous les attributs exprimés par l'opérateur de sécurité dans ses bases de connaissances/préférences. Afin de pouvoir classer ce type d'alertes et leur attribuer un degré de satisfaction, nous avons proposé deux méthodes duales pour traiter le manque d'information. La première consiste en la complétion des alertes dites partielles et la deuxième méthode consiste à modifier les formules des bases de connaissances/préférences, afin de se focaliser uniquement sur les attributs présents dans les alertes.Nous avons proposé un algorithme polynomial qui permet d'attribuer un degré de satisfaction, basé sur la logique IFO-QCL, aux alertes et de retourner un sous-ensemble d'alertes préférées.Des études expérimentales ont été effectuées sur une base d'alertes réelles qui montrent l'efficacité de notre modèle de corrélation d'alertes.

  • Titre traduit

    An alert correlation approach based on IFO-QCL and on the handling of partial information in possibility theory


  • Résumé

    In this thesis, we propose a model for alert correlation process using a new preference logic, called IFO-QCL (for Instanciated First Order Qualitative Choice Logic). The proposed alert correlation process has as inputs a set of alerts, generated by intrusion detectin systems (IDS), and a set of knowledge and preferences of a security operator, encoded using IFO-QCL logic. As output, a set of preferred a relevant alerts are produced.In practise, IDS alerts may not provide information about attributes expressed by the security operator in his knowledge and preferences. In order to classify such kind of alerts, two dual methods have been proposed. The first one consists in the completion of the so-called partial alerts and the second one reduces knowledge/preferences formulas, in order to only focus on attributes that are present in the alerts.We proposed a polynomial algorithm that assigns a satisfaction degree, according to the IFO-QCL logic, to alerts and select a set of preferred ones.Experimental studies were carried out using real alerts show the merits of our model.


Le texte intégral de cette thèse n'est pas accessible en ligne.
Il est disponible au sein de la bibliothèque de l'établissement de soutenance.

Consulter en bibliothèque

La version de soutenance existe

Où se trouve cette thèse\u00a0?

  • Bibliothèque : Université d'Artois (Arras, Pas-de-Calais). Bibliothèque électronique.
Voir dans le Sudoc, catalogue collectif des bibliothèques de l'enseignement supérieur et de la recherche.