Skip to Main content Skip to Navigation
Conference papers

Protection d’un système d’information par une intelligence artificielle : une approche en trois phases basée sur l’analyse UEBA des comportements pour détecter un scénario hostile

Résumé : L’analyse des comportements des personnes et des entités (UEBA, en anglais) est un domaine de l’intelligence artificielle qui permet de détecter des actions hostiles (ex. : attaques, fraudes, influence, empoisonnement) grâce au caractère inhabituel des évènements observés. Un procédé UEBA comprend habituellement deux phases, d’apprentissage et d’inférence. Les systèmes de détection d’intrusion (IDS, en anglais) du marché souffrent encore de biais notamment d’une sur-simplification des problématiques, d’une sous-exploitation du potentiel de l’IA, d’une prise en compte insuffisante de la temporalité des évènements, et d’une gestion perfectible du cycle de la mémoire des comportements. En outre, alors qu’une alerte générée par un IDS à base de signatures peut se référer à l’identifiant de la signature sur laquelle se fonde la détection, les IDS du domaine UEBA produisent des résultats, souvent associés à un score, dont le caractère explicable est moins évident. Notre approche, non supervisée, consiste à enrichir ce procédé en lui adjoignant une troisième phase permettant de corréler des évènements présumés liés entre eux, avec pour bénéfice une réduction des faux positifs et négatifs. Nous cherchons également à éviter un biais dit « de la grenouille ébouillantée » inhérent à l’apprentissage continu. Nos premiers résultats sont d’autant plus intéressants qu’ils permettent une détection complète revêtant un caractère explicable, engendrent peu de faux positifs, sont reproductibles dans des contextes variés (ex. : dans un système d’information et/ou un poste de travail, à partir d’évènements de type flux et/ou actions) aussi bien à partir de données synthétiques que réelles, et répondent aux différents biais évoqués.
Complete list of metadatas

Cited literature [10 references]  Display  Hide  Download

https://hal.archives-ouvertes.fr/hal-01993027
Contributor : Jean-Philippe Fauvelle <>
Submitted on : Thursday, January 24, 2019 - 5:06:26 PM
Last modification on : Monday, January 27, 2020 - 2:14:10 PM
Document(s) archivé(s) le : Thursday, April 25, 2019 - 3:30:39 PM

Identifiers

  • HAL Id : hal-01993027, version 1

Relations

Citation

Jean-Philippe Fauvelle, Alexandre Dey, Sylvain Navers. Protection d’un système d’information par une intelligence artificielle : une approche en trois phases basée sur l’analyse UEBA des comportements pour détecter un scénario hostile. Forum international de la Cybersécurité, Jan 2019, Lille, France. ⟨hal-01993027⟩

Share

Metrics

Record views

435

Files downloads

377