Modèles graphiques probabilistes et logiques de descriptions pour la corrélation d'alertes en détection d'intrusions – PLACID

L'objectif de la d´etection d'intrusions est d'analyser l'activit´e d'un syst`eme d'information afin de d´etecter
des actions malveillantes, susceptibles de violer les propri´et´es de confidentialit´e, d'int´egrit´e et de disponibilit
´e des service et des donn´ees. Afin de garantir la compl´etude de la d´etection, il s'av`ere n´ecessaire de
d´eployer plusieurs syst`emes de d´etection d'intrusions au sein d'un r´eseau. Cependant, ces syst`emes sont
susceptibles de g´en´erer un volume important d'alertes redondantes et peu pertinentes. Il s'av`ere donc
n´ecessaire d'analyser les observations fournies par ces syst`emes, afin de r´eduire le volume global d'alertes
tout en am´eliorant leur contenu s´emantique.
Le projet PLACID se propose d'aborder deux des enjeux principaux de la corr´elation d'alertes, `a savoir
la coop´eration de sondes h´et´erog`enes et la prise en compte de l'incertitude des observations.
L'utilisation d'une logique commune constitue un pr´erequis pour permettre aux syst`emes de corr´elation
d'alertes de raisonner sur les observations fournies par les syst`emes de d´etection d'intrusions. En effet, la
plupart des m´ecanismes de corr´elation propos´es n´ecessitent des informations sur les caract´eristiques des
attaques et du contexte dans lequel elles surviennent. Pour autant, il n'existe `a l'heure actuelle aucun
langage formel regroupant l'ensemble des informations, de mani`ere unifi´ee. Le projet a donc comme
premiere ambition de proposer une logique de description pour la d´etection d'intrusions, capable de f´ed´erer
les informations n´ecessaires `a la coop´eration entre les syst`emes de protection et au raisonnement sur les
´ev´enements qu'ils g´en`erent. La communaut´e scientifique b´en´eficierait ainsi d'un fondement th´eorique
solide sur lequel les techniques de corr´elation d'alertes et de d´etection d'intrusions pourraient s'appuyer.
Un des probl`emes majeur en d´etection d'intrusions r´eside dans l'incertitude des observations qu'ils
g´en`erent, comme l'illustre le taux important de fausses alertes constat´e. Nous proposons d'´etudier dans le
cadre du projet l'utilisation de logiques probabilistes, notamment les r´eseaux Bay´esiens, qui permettent
de raisonner en pr´esence d'´el´ements incertains, afin de diagnostiquer l'origine des alertes, en prenant en
compte les observations mod´elis´ees dans la logique de descrition ´evoqu´ee pr´ec´edemment.