Traitement de flux d'alertes en détection d'intrusions avec des méthodes d'analyse de séries temporelles
Institution:
CaenDisciplines:
Directors:
Abstract EN:
The first intrusion detection systems were used to detect the breaches of the security policy. This remains their main use today, but complementary and alternative usages are more and more common. For example, some network-based sensors can be used to monitor network management and control traffic, i. E. , normal system functioning. Typically, intrusion detection systems generate large numbers of alerts. This is especially the case with these complementary usages: this thesis focuses on analyzing and processing this type of alerts. Real world alert flows are analyzed to demonstrate that a significant proportion of the alerts can be caused by normal system use. For this reason, some alert flows contain strong regular behaviors. This being established, we propose three different alert flow processing methods. The methods build on techniques from time series analysis, namely exponentially weighted moving averages, and both stationary and non-stationary autoregressive modeling. With these techniques, we first model the normal behavior of alert flows, and then filter out alerts related to the normal use of the monitored system. Our goal is to reduce the workload of the security operator, and to provide him information that is not available by analyzing alerts individually. Experimental results show that this goal is reached
Abstract FR:
Les premiers systèmes de détection d'intrusions étaient utilisés pour déceler les violations de la politique de sécurité. Aujourd'hui, il en est toujours de même. Néanmoins, les usages complémentaires et alternatifs sont de plus en plus courants. Par exemple, certaines sondes réseau permettent la supervision des protocoles de gestion et le contrôle du trafic, c'est-à-dire du fonctionnement normal du système. Un défaut habituel des outils de détection d'intrusions est leur tendance à générer un grand nombre d'alertes. C'est particulièrement le cas dans le cadre de ces usages complémentaires et alternatifs : cette thèse porte sur l'analyse et le traitement de ce type d'alertes. Des flux d'alertes provenant de systèmes d'information réels sont analysés pour démontrer qu'une partie significative des alertes peut être liée à l'utilisation normale du système d'information ; les flux d'alertes reflètent ainsi des comportements fortement réguliers. Sur la base de ces observations, nous proposons trois méthodes de traitement, qui s'appuient sur des techniques d'analyse de séries temporelles. Il s'agit, d'une part, des moyennes glissantes pondérées exponentiellement et, d'autre part, de deux modèles autorégressifs, l'un stationnaire l'autre non-stationnaire. Avec ces techniques, nous modélisons d'abord le comportement normal d'un flux d'alertes, puis nous éliminons par filtrage les alertes liées à l'utilisation normale du système surveillé. Notre objectif est de réduire la charge de travail de l'opérateur de sécurité et de lui fournir des informations visibles grâce à l'analyse des flux, ce que ne permet pas l'analyse des alertes individuellement. Les résultats expérimentaux exposés dans cette thèse montrent que cet objectif est atteint