Définition de la Relation de Dépendance Causale entre Événements Hétérogènes pour la Détection et l’Explication de Scénarios d’Attaque Multi-Étapes
Auteur / Autrice : | Charles Xosanavongsa |
Direction : | Éric Totel |
Type : | Thèse de doctorat |
Discipline(s) : | Informatique (STIC) |
Date : | Soutenance le 23/06/2020 |
Etablissement(s) : | CentraleSupélec |
Ecole(s) doctorale(s) : | École doctorale Mathématiques et sciences et technologies de l'information et de la communication (Rennes) |
Partenaire(s) de recherche : | Laboratoire : Institut de recherche en informatique et systèmes aléatoires (Rennes) |
Jury : | Président / Présidente : Hervé Debar |
Examinateurs / Examinatrices : Isabelle Chrisment, Sébastien Monnet, Olivier Bettan | |
Rapporteurs / Rapporteuses : Isabelle Chrisment, Sébastien Monnet |
Résumé
Partant du constat qu'un attaquant motivé finit par réussir à s'infiltrer dans un réseau malgré les moyens de prévention déployés, la mise en place d'une supervision de sécurité est indispensable. L'objectif de cette thèse est de permettre la découverte de scénarios d'attaque multi-étapes à travers l'analyse d'événements de sécurité. Pour atteindre cet objectif, les approches précédentes visent à construire des liens entre les événements et entre les étapes d'une attaque.En pratique, ces liens sont difficiles à définir et découvrir, notamment lorsque l'on considère l'analyse d'événements hétérogènes (c.-à-d. produits par différents types de systèmes de supervision). De plus, la littérature ne propose pas de définition formelle de ce lien. Selon nous, ce lien correspond à une relation de dépendance causale. Inspirés de deux modèles de causalité précédemment définis dans les domaines des systèmes distribués (modèle de Lamport) et de la sécurité (modèle de d'Ausbourg), nous avons donc proposé une définition formelle de cette relation dénommée event causal dependency. Cette relation permet la découverte de tous les événements pouvant être considérés comme les causes, ou les effets, d'un événement d'intérêt telle qu'une alerte.À notre connaissance, nos travaux sont les premiers à proposer une définition formelle de la relation de dépendance causale entre événements hétérogènes. Actuellement, les méthodes proposées dans la littérature ne permettent de construire qu'une approximation de notre modèle. Notre implémentation a la particularité de se baser uniquement sur l'analyse d'événements issus de COTS. Cette dernière permet d'obtenir une bonne approximation de notre modèle.