Knowledge Tree

thesis

Modèles graphiques et approches comportementales pour la détection d'intrusions

Defense date:

Jan. 1, 2008

Edit

Institution:

Artois

Disciplines:

Computer sciences

Authors:

Karim Tabia

Directors:

Salem Benferhat

Abstract EN:

In this thesis, we deal with modelling intrusion detection problem using graphical models. We first define relevant variables taking into account nowadays attacks and normal traffic characteristics. We after that study the failure of standard Bayesian networks and decision trees in detecting novel attacks. We proposed two directions in order to solve this problem: the first one proposes to enhance and adapt standard Bayesian networks and decision trees in order to fit anomaly approach requirements and better detect novel attacks. The second direction proposes a serial combination aiming at equipping a classifier with an anomaly approach and a diagnosis component. We finally deal with analyzing audit events when inputs are uncertain or missing. We start with analyzing Jeffrey's rule for revising possibility distributions by uncertain observations. Then, we propose an efficient algorithm for revising possibility distributions encoded by a naive possibilistic network. This algorithm is particularly suitable for classification with uncertain inputs since it allows classification in polynomial time using different efficient transformations of the initial naive possibilistic networks.

Abstract FR:

Dans cette thèse, nous nous intéressons à la modélisation du problème de détection d'intrusions à base de modèles graphiques. Nous avons d'abord défini un ensemble de variables essentielles en tenant compte des attaques actuelles et des caractéristiques du trafic normal. Ensuite, nous avons analysé la faiblesse des réseaux Bayésiens et des arbres de décisions dans la détection des nouvelles attaques. Nous avons proposé deux directions pour résoudre ce problème: la première propose des adaptations pour les réseaux Bayésiens et les arbres de décisions standard afin de les adapter aux objectifs de l'approche comportementale pour mieux détecter les nouvelles attaques. La deuxième direction propose une combinaison en série visant à doter une approche par classification d'un module comportemental et d'un module de diagnostic. Enfin, nous nous sommes intéressés au traitement des événements d'audit lorsque les observations sont incertaines ou incomplètes. Nous avons commencé par analyser l'application de la règle Jeffrey pour la révision de distributions de possibilités avec des observations incertaines. Nous avons proposé ensuite un algorithme efficace pour la révision de la distribution de possibilités codée par un réseau possibiliste naïf. Cet algorithme est particulièrement approprié pour la classification avec des observations entachées d'incertitude car il permet de réaliser la classification en temps polynomial grâce à une série de transformations équivalentes appliquées au réseau possibiliste initial.