Le moteur de recherche
des thèses françaises
'%3e%3cpath%20style='fill:%2300a0dc;fill-opacity:1;stroke:none;stroke-width:.144606;stroke-opacity:1;stop-color:%23000'%20d='M41.8%20100.088H52.28c.46%200%20.831.421.831.945v10.25c0%20.524-.37.946-.831.946H41.8c-.46%200-.831-.422-.831-.945v-10.251c0-.524.37-.945.831-.945z'/%3e%3cpath%20d='m47.072%20102.02-4.87%202.656%204.87%202.657%203.985-2.174v3.06h.885v-3.543m-7.969%201.851v1.771l3.1%201.691%203.098-1.691v-1.77l-3.099%201.69z'%20style='fill:%23fff;fill-opacity:1;stroke-width:.442726'/%3e%3ccircle%20style='fill:%23009f1d;fill-opacity:1;stroke:%23fff;stroke-width:.379704;stroke-linecap:round;stroke-linejoin:round;stroke-miterlimit:4;stroke-dasharray:none;stroke-opacity:1;stop-color:%23000'%20cx='54.151'%20cy='101.224'%20r='3.451'/%3e%3cpath%20d='m55.669%2099.387.659.664-3.075%203.104-1.634-1.649.66-.663.974.979%202.416-2.435'%20style='fill:%23fff;fill-opacity:1;stroke:none;stroke-width:.30061;stroke-miterlimit:4;stroke-dasharray:none;stroke-opacity:1'/%3e%3c/g%3e%3c/svg%3e)
Corrélation d’alertes : un outil plus efficace d’aide à la décision pour répondre aux intrusions
| Auteur / Autrice : | Yosra Ben Mustapha |
| Direction : | Hervé Debar |
| Type : | Thèse de doctorat |
| Discipline(s) : | Informatique et réseaux |
| Date : | Soutenance le 30/04/2015 |
| Etablissement(s) : | Evry, Institut national des télécommunications |
| Ecole(s) doctorale(s) : | École doctorale Informatique, télécommunications et électronique de Paris (1992-...) |
| Partenaire(s) de recherche : | Université : Université Pierre et Marie Curie (Paris ; 1971-2017) |
| Laboratoire : Services répartis- Architectures- MOdélisation- Validation- Administration des Réseaux / SAMOVAR - Département Réseaux et Services de Télécommunications / RST |
Résumé
Les SIEMs (systèmes pour la Sécurité de l’Information et la Gestion des Événements) sont les cœurs des centres opérationnels de la sécurité. Ils corrèlent un nombre important d’événements en provenance de différents capteurs (anti-virus, pare-feux, systèmes de détection d’intrusion, etc), et offrent des vues synthétiques pour la gestion des menaces ainsi que des rapports de sécurité. La gestion et l’analyse de ce grand nombre d’alertes est une tâche difficile pour l’administrateur de sécurité. La corrélation d’alertes a été conçue afin de remédier à ce problème. Des solutions de corrélation ont été développées pour obtenir une vue plus concise des alertes générées et une meilleure description de l’attaque détectée. Elles permettent de réduire considérablement le volume des alertes remontées afin de soutenir l’administrateur dans le traitement de ce grand nombre d’alertes. Malheureusement, ces techniques ne prennent pas en compte les connaissances sur le comportement de l’attaquant, les fonctionnalités de l’application et le périmètre de défense du réseau supervisé (pare-feu, serveurs mandataires, Systèmes de détection d’intrusions, etc). Dans cette thèse, nous proposons deux nouvelles approches de corrélation d’alertes. La première approche que nous appelons corrélation d’alertes basée sur les pots de miel utilise des connaissances sur les attaquants recueillies par le biais des pots de miel. La deuxième approche de corrélation est basée sur une modélisation des points d’application de politique de sécurité