Détection robuste de ruptures pour les signaux multidimensionnels : application à la détection d'anomalies dans les réseaux

par Alexandre Lung-Yut-Fong

Thèse de doctorat en Signal et images

Sous la direction de Olivier Cappé et de Céline Lévy-Leduc.

Soutenue en 2011

à Paris, Télécom ParisTech .


  • Résumé

    The aim of this work is to propose non-parametric change-point detection methods. The main application of such methods is the use of data recorded by a collection of network sensors to detect malevolent attacks. The first contribution of the thesis work is a decentralized anomaly detector. Each network sensor applies a rank-based change-point detection test, and the final decision is taken by a fusion center which aggregates the information transmitted by the sensors. This method is able to process a huge amount of data, thanks to a clever filtering step. In the second contribution, we take into account the dependencies between the different sensors to improve the detection performance. Based on homogeneity tests that we have proposed to assess the similarity between different sets of data, the robust detection methods that we have designed are able to find one or more change-point in a multidimensional signal. We thus obtained robust and versatile methods, with strong theoretical properties, to solve a large collection of segmentation problems: network anomaly detection, econometrics, DNA analysis for cancer prognosis… The methods that we proposed are particularly adequate when the characteristics of the analyzed data are unknown.

  • Titre traduit

    Robust change-point detection for multdimensional signals : application to computer network anomaly detection


  • Résumé

    L'objectif de cette thèse est de proposer des méthodes non-paramétriques de détection rétrospective de ruptures. L'application principale de cette étude est la détection d'attaques dans les réseaux informatiques à partir de données recueillies par plusieurs sondes disséminées dans le réseau. Nous proposons dans un premier temps une méthode en trois étapes de détection décentralisée d'anomalies faisant coopérer des sondes n'ayant accès qu'à une partie du trafic réseau. Un des avantages de cette approche est la possibilité de traiter un flux massif de données, ce qui est permis par une étape de filtrage par records. Un traitement local est effectué dans chaque sonde, et une synthèse est réalisée dans un centre de fusion. La détection est effectuée à l'aide d'un test de rang qui est inspiré par le test de rang de Wilcoxon et étendu aux données censurées. Dans une seconde partie, nous proposons d'exploiter les relations de dépendance entre les données recueillies par les différents capteurs afin d'améliorer les performances de détection. Nous proposons ainsi une méthode non-paramétrique de détection d'une ou plusieurs ruptures dans un signal multidimensionnel. Cette méthode s'appuie sur un test d'homogénéité utilisant un test de rang multivarié. Nous décrivons les propriétés asymptotiques de ce test ainsi que ses performances sur divers jeux de données (bio-informatiques, économétriques ou réseau). La méthode proposée obtient de très bons résultats, en particulier lorsque la distribution des données est atypique (par exemple en présence de valeurs aberrantes).

Consulter en bibliothèque

La version de soutenance existe sous forme papier

Informations

  • Détails : 1 vol. (154 p.)
  • Notes : Publication autorisée par le jury
  • Annexes : 101 réf. bibliogr. Résumé en français et en anglais

Où se trouve cette thèse ?

  • Bibliothèque : Télécom ParisTech. Bibliothèque scientifique et technique.
  • Disponible pour le PEB
  • Cote : 1.11 LUNG
Voir dans le Sudoc, catalogue collectif des bibliothèques de l'enseignement supérieur et de la recherche.