Représentation des connaissances à plusieurs niveaux et raisonnement causal pour une compréhension et une prédiction interprétables des incidents de sécurité – CKRISP

Malgré le succès des solutions de détection et de classification des attaques basées sur l'IA, elles sont toujours confrontées à une couverture limitée quant à la variété des comportements d'attaque présents dans les données d'entraînement, ainsi que le manque d'interopérabilité des modèles d’IA pour la détection. La principale contribution de CKRISP est consacrée à la résolution de ces problèmes sous quatre angles. Tout d'abord, nous étudierons la combinaison de systèmes d'IA tels que les grands modèles de langage (LLM) et les graphes de connaissances en cybersécurité (CSKG) supervisés par l'homme pour comprendre, prédire et explorer de nouveaux comportements de cyberattaques par le biais de l'interaction homme-IA. Les puissants LLM peuvent aider à identifier les entités et à prédire les relations entre les entités à partir de rapports sur les cybermenaces et de journaux de comportements de bas niveau. Le CSKG peut ensuite être construit automatiquement sur la base des connaissances extraites concernant des scénarios d'attaque spécifiques. Le graphe de connaissances sur les attaques peut aider considérablement les analystes humains à vérifier les résultats de la détection des attaques basée sur l'IA et faciliter leur inspection de nouvelles attaques. Deuxièmement, nous développerons la prédiction des comportements d'attaque en coordonnant le raisonnement assisté par l'IA avec des entrées d'incidents de sécurité collectées à partir de divers capteurs, tels que les IDS, et les résultats d'inspection manuelle des analystes humains. Cela permettra d'évaluer la vulnérabilité d'un système informatique cible et de parvenir à une première étape de réponse de sécurité assistée par l'IA sur la base des incidents détectés. Troisièmement, nous proposerons des méthodes de génération de données pour produire des données synthétiques sur le comportement normal/attaque afin d'enrichir les données d'entraînement et d’améliorer la robustesse des méthodes de détection basées sur l'IA en fonction de la représentation des connaissances extraites et des causes des attaques. En parallèle, de nouvelles interfaces de visualisation et d’interaction seront développées dans ce projet afin de simplifier l’interaction entre l’humain et l’IA. Ces interfaces devraient être intuitives et conviviales afin de permettre aux opérateurs techniques (analystes) et non techniques (managers) d’interagir avec les résultats de manière simple, de réagir rapidement et de prendre des décisions efficaces.