Définition et évaluation d'un mécanisme de génération de règles de corrélation liées à l'environnement.
Auteur / Autrice : | Erwan Godefroy |
Direction : | Michel Hurfin, Frédéric Majorczyk, Éric Totel |
Type : | Thèse de doctorat |
Discipline(s) : | Informatique (STIC) |
Date : | Soutenance le 30/09/2016 |
Etablissement(s) : | CentraleSupélec |
Ecole(s) doctorale(s) : | École doctorale Mathématiques, télécommunications, informatique, signal, systèmes, électronique (Rennes) |
Partenaire(s) de recherche : | Laboratoire : IRISA - CIDRE (Institut de recherche en Informatique et Systèmes Aléatoires) (Confidentialité, Intégrité, Disponibilité et Répartition) |
Jury : | Président / Présidente : Isabelle Chrisment |
Examinateurs / Examinatrices : Frédéric Majorczyk | |
Rapporteurs / Rapporteuses : Hervé Debar, Vincent Nicomette |
Mots clés
Résumé
Dans les systèmes d'informations, les outils de détection produisent en continu un grand nombre d'alertes.Des outils de corrélation permettent de réduire le nombre d'alertes et de synthétiser au sein de méta-alertes les informations importantes pour les administrateurs.Cependant, la complexité des règles de corrélation rend difficile leur écriture et leur maintenance.Cette thèse propose par conséquent une méthode pour générer des règles de corrélation de manière semi-automatique à partir d’un scénario d’attaque exprimé dans un langage de niveau d'abstraction élevé.La méthode repose sur la construction et l'utilisation d’une base de connaissances contenant une modélisation des éléments essentiels du système d’information (par exemple les nœuds et le déploiement des outils de détection). Le procédé de génération des règles de corrélation est composé de différentes étapes qui permettent de transformer progressivement un arbre d'attaque en règles de corrélation.Nous avons évalué ce travail en deux temps. D'une part, nous avons déroulé la méthode dans le cadre d'un cas d'utilisation mettant en jeu un réseau représentatif d'un système d'une petite entreprise.D'autre part, nous avons mesuré l'influence de fautes touchant la base de connaissances sur les règles de corrélation générées et sur la qualité de la détection.