Détection de comportements anormaux dans les applications réseaux

par Joseph Ndong

Thèse de doctorat en Informatique

Sous la direction de Kavé Salamatian et de Mamadou Sangharé.

Soutenue en 2011

à Paris 6 .


  • Résumé

    Ce mémoire porte sur le développement de techniques de détection d'anomalies dans les réseaux de communication, basées sur des méthodes probabilistes et possibilistes. Les méthodes probabilistes reposent essentiellement sur des techniques statistiques robustes, notamment le filtrage de Kalman, les modèles de mixtures de gaussiennes, les modèles de Markov cachés, et également sur l'analyse en composants principaux et ses variantes. Les méthodes possibilistes utilisent la théorie des ensembles flous et des distributions de possibilité. Contrairement aux travaux existant dans la littérature, le processus d'innovation (variable de décision) à la sortie du filtre de Kalman est supposé être une mixture de distributions normales, plutôt qu'un simple bruit blanc. Ceci permet d'appliquer des méthodes de clustering non supervisées afin de montrer que les anomalies pourront être détectées dans un petit nombre de clusters, formant le sous espace du comportement anormal du système. L'étude et l'analyse des dépendances temporelles dans la variable de décision, à l'aide de modèles markoviens cachés et l'algorithme de Viterbi permet de montrer clairement que la séparation des clusters en sous espace normal et sous espace anormal, peut être réalisée efficacement. Par ailleurs, ces travaux ont pour autres objectifs, de montrer que les méthodes de filtre de Kalman peuvent donner des résultats robustes et des performances meilleures que celles basées sur l'analyse en composants principaux, lesquelles, sont très sensibles aux paramètres initiaux de calibrage. Les principaux résultats obtenus à travers cette démarche résultent de l'analyse de certains critères de performances, notamment le taux de faux positifs et la probabilité de détection. L'utilisation de courbe ROC (Receiver Operating Characteristics) permet d'étudier et d'illustrer convenablement le compromis entre ces deux critères. Par ailleurs, cette thèse montre qu'il est possible de construire des modèles adéquats de détection d'anomalies basées sur une combinaison robuste d'outils probabilistes et de méthodes issues de la théorie des possibilités. Les validations sont réalisées sur des traces collectées (au niveau des couches protocolaires IP, TCP et UDP) sur des réseaux réels.


  • Pas de résumé disponible.

Consulter en bibliothèque

La version de soutenance existe sous forme papier

Informations

  • Détails : 1 vol. (176 p.)
  • Annexes : Bibliogr. p. 164-176. 221 réf. bibliogr.

Où se trouve cette thèse ?

  • Bibliothèque : Université Pierre et Marie Curie. Bibliothèque Universitaire Pierre et Marie Curie . Section Mathématiques-Informatique Recherche.
  • Consultable sur place dans l'établissement demandeur
  • Cote : T Paris 6 2011 670
Voir dans le Sudoc, catalogue collectif des bibliothèques de l'enseignement supérieur et de la recherche.