Logiques IFO-QCL et gestion des informations partielles en théorie des possibilités : application à la corrélation d'alertes

Nous proposons dans cette thèse une modélisation du processus de corrélation d'alertes avec une nouvelle logique de préférences, appelée IFO-QCL (pour Instanciated First Order Qualitative Choice Logic). Le processus de corrélation d'alertes modélisé prend en entrée un ensemble d'aler...

Full description

Bibliographic Details
Main Author: Benlabiod, Lydia
Other Authors: Artois
Language:fr
Published: 2015
Subjects:
QCL
IDS
Online Access:http://www.theses.fr/2015ARTO0401
Description
Summary:Nous proposons dans cette thèse une modélisation du processus de corrélation d'alertes avec une nouvelle logique de préférences, appelée IFO-QCL (pour Instanciated First Order Qualitative Choice Logic). Le processus de corrélation d'alertes modélisé prend en entrée un ensemble d'alertes, générées par les systèmes de détection d'intrusions (IDS), ainsi que les connaissances et les préférences d'un opérateur de sécurité sous forme de bases de connaissances/préférences, codées en logique IFO-QCL. En sortie, un sous-ensemble d'alertes jugées les plus pertinentes sont transmises à l'opérateur de sécurité.Dans la pratique, les alertes fournies par les IDS ne renseignent pas tous les attributs exprimés par l'opérateur de sécurité dans ses bases de connaissances/préférences. Afin de pouvoir classer ce type d'alertes et leur attribuer un degré de satisfaction, nous avons proposé deux méthodes duales pour traiter le manque d'information. La première consiste en la complétion des alertes dites partielles et la deuxième méthode consiste à modifier les formules des bases de connaissances/préférences, afin de se focaliser uniquement sur les attributs présents dans les alertes.Nous avons proposé un algorithme polynomial qui permet d'attribuer un degré de satisfaction, basé sur la logique IFO-QCL, aux alertes et de retourner un sous-ensemble d'alertes préférées.Des études expérimentales ont été effectuées sur une base d'alertes réelles qui montrent l'efficacité de notre modèle de corrélation d'alertes. === In this thesis, we propose a model for alert correlation process using a new preference logic, called IFO-QCL (for Instanciated First Order Qualitative Choice Logic). The proposed alert correlation process has as inputs a set of alerts, generated by intrusion detectin systems (IDS), and a set of knowledge and preferences of a security operator, encoded using IFO-QCL logic. As output, a set of preferred a relevant alerts are produced.In practise, IDS alerts may not provide information about attributes expressed by the security operator in his knowledge and preferences. In order to classify such kind of alerts, two dual methods have been proposed. The first one consists in the completion of the so-called partial alerts and the second one reduces knowledge/preferences formulas, in order to only focus on attributes that are present in the alerts.We proposed a polynomial algorithm that assigns a satisfaction degree, according to the IFO-QCL logic, to alerts and select a set of preferred ones.Experimental studies were carried out using real alerts show the merits of our model.