Raisonnement sous incertitude et en présence des préférences : application à la détection d'intrusions et à la corrélation d'alertes
Institution:
ArtoisDisciplines:
Directors:
Abstract EN:
This thesis aims to study two important problems: representation of preferences with application to alert correlation and reasoning under uncertainty with application to intrusion detection problem. We focused on extensions of Qualitative Choice Logic (QCL) to represent complex preferences. Our aim is to propose new logics to address of QCL limitations and to represent different kinds of preferences such as prioritized and positive preferences. Moreover, this thesis aims to solve the problem of alert correlation that concerns reducing the large amounts of generated alerts by intrusion detection systems (IDSs). We propose an approach that incorporates administrator’s knowledge and preferences about alerts that he prefers to analyze or ignore. The idea is to encode administrator’s knowledge and preferences in the context of one of our developed logics and present to the administrator only preferred alerts. In the other hand, we are interested in the problem of intrusion detection that is a serious problem in computer security. Our objective is to detect network attacks before or after connection’s completion. Thus, we propose to represent this problem by a probabilistic graphical model used for classification purposes. To do this, we defined a set of attributes that describe network data and distinguish between normal and intrusive traffic. We have developed a preprocessing tool to extract the defined attributes and transform raw data to formatted one. Our tool can structure network data into finished or not finished connections that can be used for on-line or/and off-line attacks detection.
Abstract FR:
Cette thèse a pour objectif le traitement de deux problèmes importants : représentation des préférences avec application à la corrélation d’alertes et raisonnement sous incertitude avec application à la détection d’intrusions. Dans un premier temps, nous nous sommes intéressés à la représentation des préférences dans un cadre logique. Nos travaux se sont focalisés sur des extensions de la logique du choix qualitatif (QCL) pour représenter des préférences complexes. Notre objectif est de proposer de nouvelles logiques afin de remédier aux limites de QCL et de pouvoir représenter différents types de préférences telles que les préférences prioritaires et les préférences positives. Par ailleurs, cette thèse vise aussi à résoudre le problème de la corrélation d’alertes qui consiste à réduire les grandes quantités d’alertes générées par les systèmes de détection d’intrusions (IDSs) en proposant une approche qui permet d’intégrer les connaissances et les préférences d’un administrateur au sujet des alertes qu’il préfère analyser ou ignorer. L’idée consiste à coder les connaissances et les préférences exprimées dans le cadre de l’une des logiques que nous avons proposées et de présenter à l’administrateur uniquement les alertes préférées. Dans un second temps, nous nous sommes intéressés au problème de la détection d’intrusions qui relève de la sécurité des systèmes d’informations. Notre objectif est de détecter des attaques réseaux présentées dans des connexions finies ou dans des connexions non finies. Ainsi, nous avons proposé de modéliser ce problème par un modèle graphique probabiliste. Pour cela, nous avons défini un jeu d’attributs permettant de décrire les données réseaux et de distinguer un trafic normal d’un trafic intrusif. Nous avons développé un outil de formatage pour extraire les attributs définis et transformer les données réseaux brutes en données formatées. Notre outil permet de structurer les données réseaux en connexions finies (complètes) et connexions non finies (incomplètes). Ces connexions sont utilisées pour la détection en différé et/ou en temps réel des attaques.