thesis

Corrélation d'alertes issues de sondes de détection d'intrusions avec prise en compte d'informations sur le système surveillé

Defense date:

Jan. 1, 2004

Edit

Institution:

Rennes, INSA

Disciplines:

Computer sciences

Authors:

Directors:

Abstract EN:

Intrusion detection systems trigger alarms when attacks against a monitored information system are detected. Unfortunatly, these systems produce too many alarms whose semantics is poor. Alarm correlation is an approach to reduce the amount of alarms and enhance their quality. We propose a model called M2D2 which federates the required information to correlate alarms, especially information about the monitored environment. We also propose two alarm correlation approaches which use M2D2's information. The first one is based on the chronicle formalism. This approach allows us to recognize known alarm or event sequences. The second approach tackles correlation from the information retrieving point of view; it is based on concept analysis. This approach provides the security operator with a tool that allows him to query and navigate in an alarm set and facilitates their processing

Abstract FR:

Les systèmes de détection d'intrusions détectent les attaques contre les systèmes informatiques. Malheureusement, ces systèmes génèrent un volume excessif d'alertes dont la sémantique est pauvre. Une solution pour améliorer les systèmes de détection d'intrusions consiste à corréler les alertes. Nous proposons un modèle baptisé M2D2, qui fédère et structure les informations nécessaires à la corrélation d'alertes, notamment les informations relatives aux entités du système d'informations surveillé. Nous proposons en outre deux approches de corrélation d'alertes qui exploitent les informations de M2D2. La première, basée sur le formalisme des chroniques, permet de reconnaître des séquences récurrentes d'alertes. La seconde approche, basée sur l'analyse de concepts, aborde la corrélation sous l'angle de la recherche d'information. Elle permet à l'opérateur de sécurité de consulter un ensemble d'alertes par interrogation et par navigation et facilite ainsi leur traitement.