Real-time detection of Advanced Persistent Threats using Information Flow Tracking and Hidden Markov Models

Résumé : Dans cette thèse, nous présentons les risques posés par les Menaces Persistentes Avancées (APTs) et proposons une approche en deux temps pour distinguer les attaques qui en font partie. Ce travail fait partie d'Akheros, un Système de Détection d'Intrusion (IDS) autonome développé par trois doctorants. L'idée est d'utiliser l'apprentissage machine pour détecté des évènements inattendus et vérifier s'ils posent un risque de sécurité. La dernière étape, et le sujet de cette thèse, est de mettre en évidence les APT. Les campagnes d'APT sont particulièrement dangereuses car les attaquants sont compétents et ont un but précis ainsi que du temps et de l'argent. Nous partons des résultats des parties précédentes d'Akheros: une liste d'évènements traduisible en flux d'information et qui indique quand des attaques sont détectées. Nous faisons ressortir les liens entre attaques en utilisant le Suivi de Flux d'Information: nous ajoutons une nouvelle teinte pour chaque attaque. Lors de la propagation, si une teinte se trouve en amont d'un flux qui fait partie d'une attaque, alors les deux attaques sont liés. Certaines attaques se trouvent liées par erreur car les évènements que nous utilisons ne sont pas assez précis, d'où l'approche en deux temps. Dans le cas où certaines attaques ne sont pas détectées, la teinte de cette attaque n'est pas créée, cependant, les autres teintes sont propagées normalement, et l'attaque précédent l'attaque non détectée sera liée à l'attaque lui faisant suite. Le deuxième temps de l'approche est de retirer les liens erronés. Nous utilisons un Modèle de Markov Caché pour représenter les APTs et retirons les campagnes qui ne suivent pas le modèle. Ceci fonctionne car les APTs, quoique toutes différentes, passent par les mêmes phases. Ces phases sont les états cachés du modèle. Les observations sont les types d'attaques effectuées pendant ces phases. De plus, les actions futures des attaquants dépendent des résultats de l'action en cours, ce qui satisfait l'hypothèse de Markov. Le score utilisé pour classer les campagnes potentielles de la plus proche d'une APT à la plus éloigné est basé sur un algorithme de Viterbi modifié pour prendre en compte les attaques non détectées potentielles.
Type de document :
Thèse
Machine Learning [cs.LG]. Conservatoire national des arts et metiers - CNAM, 2018. English. 〈NNT : 2018CNAM1167〉
Liste complète des métadonnées

Littérature citée [44 références]  Voir  Masquer  Télécharger

https://tel.archives-ouvertes.fr/tel-01793709
Contributeur : Abes Star <>
Soumis le : mercredi 16 mai 2018 - 19:10:05
Dernière modification le : jeudi 27 septembre 2018 - 14:03:08
Document(s) archivé(s) le : mardi 25 septembre 2018 - 17:12:47

Fichier

THGuillaumeBROGI.pdf
Version validée par le jury (STAR)

Identifiants

  • HAL Id : tel-01793709, version 1

Collections

Citation

Guillaume Brogi. Real-time detection of Advanced Persistent Threats using Information Flow Tracking and Hidden Markov Models. Machine Learning [cs.LG]. Conservatoire national des arts et metiers - CNAM, 2018. English. 〈NNT : 2018CNAM1167〉. 〈tel-01793709〉

Partager

Métriques

Consultations de la notice

238

Téléchargements de fichiers

732