Définition et évaluation d'un mécanisme de génération de règles de corrélation liées à l'environnement. - INRIA - Institut National de Recherche en Informatique et en Automatique Accéder directement au contenu
Thèse Année : 2016

Definition and assessment of a mechanism for the generation of environment specific correlation rules

Définition et évaluation d'un mécanisme de génération de règles de corrélation liées à l'environnement.

Résumé

Information systems produce continuously a large amount of messages and alerts. In order to manage this amount of data, correlation system are introduced to reduce the alerts number and produce high-level meta-alerts with relevant information for the administrators. However, it is usually difficult to write complete and correct correlation rules and to maintain them. This thesis describes a method to create correlation rules from an attack scenario specified in a high-level language. This method relies on a specific knowledge base that includes relevant information on the system such as nodes or the deployment of sensor. This process is composed of different steps that iteratively transform an attack tree into a correlation rule. The assessment of this work is divided in two aspects. First, we apply the method int the context of a use-case involving a small business system. The second aspect covers the influence of a faulty knowledge base on the generated rules and on the detection.
Dans les systèmes d'informations, les outils de détection produisent en continu un grand nombre d'alertes.Des outils de corrélation permettent de réduire le nombre d'alertes et de synthétiser au sein de méta-alertes les informations importantes pour les administrateurs.Cependant, la complexité des règles de corrélation rend difficile leur écriture et leur maintenance.Cette thèse propose par conséquent une méthode pour générer des règles de corrélation de manière semi-automatique à partir d’un scénario d’attaque exprimé dans un langage de niveau d'abstraction élevé.La méthode repose sur la construction et l'utilisation d’une base de connaissances contenant une modélisation des éléments essentiels du système d’information (par exemple les nœuds et le déploiement des outils de détection). Le procédé de génération des règles de corrélation est composé de différentes étapes qui permettent de transformer progressivement un arbre d'attaque en règles de corrélation.Nous avons évalué ce travail en deux temps. D'une part, nous avons déroulé la méthode dans le cadre d'un cas d'utilisation mettant en jeu un réseau représentatif d'un système d'une petite entreprise.D'autre part, nous avons mesuré l'influence de fautes touchant la base de connaissances sur les règles de corrélation générées et sur la qualité de la détection.

Domaines

Autre
Fichier principal
Vignette du fichier
Godefroy-Erwan-these-validee.pdf (2.92 Mo) Télécharger le fichier
Origine : Version validée par le jury (STAR)

ABES STAR  :  Contact

https://theses.hal.science/tel-01415703

Soumis le : vendredi 24 novembre 2017-15:35:10

Dernière modification le : vendredi 24 mars 2023-14:53:05

Télécharger pour visualiser

Dates et versions

tel-01415703 , version 1 (13-12-2016)
tel-01415703 , version 2 (24-11-2017)

Identifiants

  • HAL Id : tel-01415703 , version 2

Citer

Erwan Godefroy. Définition et évaluation d'un mécanisme de génération de règles de corrélation liées à l'environnement.. Autre. CentraleSupélec, 2016. Français. ⟨NNT : 2016CSUP0007⟩. ⟨tel-01415703v2⟩

Exporter

BibTeX XML-TEI Dublin Core DC Terms EndNote DataCite

Collections

INSTITUT-TELECOM UNIV-RENNES1 CNRS INRIA INSA-RENNES IRISA STAR SUP_CIDRE CENTRALESUPELEC IRISA-D1 UR1-THESES UR1-MATH-STIC UR1-UFR-ISTIC UNIV-RENNES INSA-GROUPE UR1-MATH-NUM
525 Consultations
1220 Téléchargements

Partager

Gmail Facebook X LinkedIn More