Apprentissage et analyse basés sur les graphes pour la détection d'intrusion dans les sytèmes d'information – GLADIS

Apprentissage et analyse basés sur les graphes pour la détection d’intrusion dans les systèmes d’information

Le projet vise à construire un système efficace de détection de cyberattaques en temps réel basé sur une représentation graphes des activités du système. La nouveauté scientifique principale consiste à modéliser des logs hétérogènes par un ensemble de graphes dynamiques afin de suivre les différentes activités et comportements, d'identifier les anomalies et de retracer les sources des attaques en utilisant des techniques d'apprentissage et détection d'anomalies dans les graphes en mode flux.

Détection d'anomalies basée sur les graphes dans les flux de trafic réseau

GLADIS vise à apprendre et détecter les activités suspectes des utilisateurs en modélisant les journaux hétérogènes par des graphes. Les systèmes de détection d'intrusion existants utilisent des règles pour détecter les événements anormaux. Les règles sont construites par les experts et appliquées sur une grande quantité de données. Les journaux d'événements sont hétérogènes et provenant de plusieurs sources. Les journaux ne prennent pas en compte la sémantique, les dépendances et les relations entre eux. Ainsi, notre solution consiste à modéliser les journaux d'événements sous forme de graphes après la génération et la collecte des journaux afin d'utiliser le modèle dans les étapes d’extraction et d’apprentissage des détections d'anomalies. La plupart des solutions de surveillance existantes ne peuvent pas faire face à des attaques inconnues et complexes en raison de l'apparition de nouvelles menaces, de la propagation de botnets et de mécanismes de commande et de contrôle à distance. Des modélisations et des approches basées sur des graphes ont été proposées et fournissent des résultats intéressants. Les avantages de la modélisation basée sur les graphes sont de réduire la taille des événements de trafic réseau en stockant les flux réseau sous forme de graphes compactes représentant des données complexes. Les principaux défis à relever dans notre projet pourraient être résumés comme suit :<br />Améliorer la détection en augmentant les vrais positifs tout en diminuant les faux positifs.<br />Améliorer la complexité de la détection en réduisant le nombre d'événements qu'un analyste de sécurité doit enquêter et en diminuant le temps nécessaire pour mettre en évidence et identifier un événement malveillant.<br />Apprendre et détecter les attaques les plus sophistiquées en un temps raisonnable ou dans le meilleur des cas en temps réel.<br />Fournir de nouveaux modèles de graphes permettant les points précédents.