Datascience in support of cybersecurity operations : Adaptable, robust and explainable anomaly detection for security analysts - TEL - Thèses en ligne Accéder directement au contenu
Thèse Année : 2022

Datascience in support of cybersecurity operations : Adaptable, robust and explainable anomaly detection for security analysts

Science de la donnée en appui des opérations de cybersécurité : Détection d'anomalies adaptable, robuste et explicable pour les analystes de sécurité

Résumé

To defend against sophisticated cyber-criminal organizations and APTs, IT system operators should define and enforce strict security policies. However, defining and maintining perfect security policies that block all attacks and do not impact usability of thesystem is impossible. Therefore, security monitoring and incident response are often entrusted to Security Operation Centres (SOC) and Computer Emergency Response Teams (CERT). When monitoring an IT system, legitimate behaviours repeatedly triggers false alarms. This causes alert fatigue, as analysts are overloaded to the point they can miss subtle variations that are the consequence of adversary behaviours. This thesis describes methods to allow security analysts, with no expertise in data science, to create and adapt security analytics that leverage machine learning models to automate more of their investigation procedures. This thesis focuses on anomaly detection to highlight unusual behaviours and clustering to regroup similar alerts and avoid repeating the samealerts again and again. We specifically explore the application of these methods to novel attack detection. To assess our approach, we also describe a method to automatically generate user activity to create realistic datasets.
Pour se prémunir des organisations cyber-criminelles et des APTs, les opérateurs de systèmes d’information doivent définir et mettre en oeuvre des politiques de sécurité strictes. Cependant, il est impossible de définir et maintenir des politiques qui bloquent toutes les attaques sans impacter les fonctionnalités du système. Par conséquent, pour réagir au plus vite aux attaques, la supervision des systèmes et la réponse aux incidents de sécurité sont souvent confiées aux Security Operation Centres (SOC) et aux Computer Emergency Response Teams (CERT). Lors de la supervision de systèmes d’information, des comportements légitimes entraînent régulièrement des fausses alertes. Ceci entraîne une fatigue liée aux alertes, les analystes étant surchargés d’informations au point où ils ne sont plus attentifs aux variations causées par des comportements adverses. Cette thèse décrit des méthodes s’adressant aux analystes ne possédant pas de connaissances en science de la donnée. Elles leur permettent de créer et adapter des analytiques de sécurité qui reposent sur des méthodes d’apprentissage machine afin d’automatiser une plus grande part de leur procédures d’investigation. Cette thèse se concentre sur la détection d’anomalies pour relever des comportements inhabituels, ainsi que sur le regroupement d’alertes par similarité. En particulier, l’application de ces méthodes à la détection d’attaques inconnues est explorée. Nous décrivons également une méthode permettant de générer de l’activité utilisateur dans le but de créer des jeux de données d’évaluation réalistes.
Fichier principal
Vignette du fichier
2022IMTA0328_Dey-Alexandre.pdf (10.68 Mo) Télécharger le fichier
Origine : Version validée par le jury (STAR)

Dates et versions

tel-03967259 , version 1 (01-02-2023)

Identifiants

  • HAL Id : tel-03967259 , version 1

Citer

Alexandre Dey. Datascience in support of cybersecurity operations : Adaptable, robust and explainable anomaly detection for security analysts. Cryptography and Security [cs.CR]. Ecole nationale supérieure Mines-Télécom Atlantique, 2022. English. ⟨NNT : 2022IMTA0328⟩. ⟨tel-03967259⟩
212 Consultations
215 Téléchargements

Partager

Gmail Facebook X LinkedIn More