Détection d'anomalies comportementales appliquée à la vision globale
Institution:
Lyon, INSADisciplines:
Directors:
Abstract EN:
Ln light of the increase in new threads and attacks, security components (Firewall, IDS) are becoming inadequate. Lndeed, complex attack scenarios tend to be confused with normal system behaviors in arder to by-pass local security components. From this perspective, we provided a new method of behavioral anomaly detection based on a global view of the system throughout our work. By taking into account the observation constraints of the entire IS (heterogeneity, high data volume), we built a statistical profile of the system and developed an anomaly detection method that showed that the continuous update of this profile allows us to follow the evolution of legitima te user behaviors and reduces false alarms. Thus, by focusing on the attacker's strategy, our works determined the observation perimeter of system behaviors to detect behavioral anomalies.
Abstract FR:
Face à l’évolution et la croissance de nouvelles attaques, les systèmes de protection classiques (farewalls, IDS) sont devenus rapidement insuffisants pour contrôler ces menaces. Des scénarios d’attaques complexes tentent d’être assimilés à des comportements d’usage normaux du SI afin de contourner les défenses locales. Nous proposons dans nos travaux une méthode de détection d’anomalies comportementale portant sur la vision globale des SI. En intégrant les contraintes liées à l’observation de l’ensemble d’un SI (hétérogénéité, volume de données), nous avons bâtis des profils statistiques d’usage du système et mis en place une méthode de détection d’anomalies. La mise à jour continuelle de ces profils nous permet de suivre l’évolution des comportements légitimes des utilisateurs et de limiter le nombre de fausses alertes. Outre la détection d’anomalies comportementales, nos travaux ont délimité le périmètre d’observation des comportements en se focalisant sur les démarches des attaquants.