Définition et évaluation d'un mécanisme de génération de règles de corrélation liées à l'environnement.

Définition et évaluation d'un mécanisme de génération de règles de corrélation liées à l'environnement.

Show other versions (1)

Dans les systèmes d'informations, les outils de détection produisent en continu un grand nombre d'alertes.Des outils de corrélation permettent de réduire le nombre d'alertes et de synthétiser au sein de méta-alertes les informations importantes pour les administrateurs.Cependant, la c...

Full description

Bibliographic Details
Main Author: Godefroy, Erwan
Other Authors: Supélec
Language:fr
en
Published: 2016
Subjects:
Corrélation d’alertes
Scénario d’attaque
Règles de corrélation
Détection d’intrusion
Alerts correlation
Attack scenario
Correlation rules
Intrusion detection
Online Access:http://www.theses.fr/2016SUPL0007/document
id ndltd-theses.fr-2016SUPL0007
record_format oai_dc
spelling ndltd-theses.fr-2016SUPL00072017-11-25T04:43:01Z Définition et évaluation d'un mécanisme de génération de règles de corrélation liées à l'environnement. Definition and assessment of a mechanism for the generation of environment specific correlation rules Corrélation d’alertes Scénario d’attaque Règles de corrélation Détection d’intrusion Alerts correlation Attack scenario Correlation rules Intrusion detection Dans les systèmes d'informations, les outils de détection produisent en continu un grand nombre d'alertes.Des outils de corrélation permettent de réduire le nombre d'alertes et de synthétiser au sein de méta-alertes les informations importantes pour les administrateurs.Cependant, la complexité des règles de corrélation rend difficile leur écriture et leur maintenance.Cette thèse propose par conséquent une méthode pour générer des règles de corrélation de manière semi-automatique à partir d’un scénario d’attaque exprimé dans un langage de niveau d'abstraction élevé.La méthode repose sur la construction et l'utilisation d’une base de connaissances contenant une modélisation des éléments essentiels du système d’information (par exemple les nœuds et le déploiement des outils de détection). Le procédé de génération des règles de corrélation est composé de différentes étapes qui permettent de transformer progressivement un arbre d'attaque en règles de corrélation.Nous avons évalué ce travail en deux temps. D'une part, nous avons déroulé la méthode dans le cadre d'un cas d'utilisation mettant en jeu un réseau représentatif d'un système d'une petite entreprise.D'autre part, nous avons mesuré l'influence de fautes touchant la base de connaissances sur les règles de corrélation générées et sur la qualité de la détection. Information systems produce continuously a large amount of messages and alerts. In order to manage this amount of data, correlation system are introduced to reduce the alerts number and produce high-level meta-alerts with relevant information for the administrators. However, it is usually difficult to write complete and correct correlation rules and to maintain them. This thesis describes a method to create correlation rules from an attack scenario specified in a high-level language. This method relies on a specific knowledge base that includes relevant information on the system such as nodes or the deployment of sensor. This process is composed of different steps that iteratively transform an attack tree into a correlation rule. The assessment of this work is divided in two aspects. First, we apply the method int the context of a use-case involving a small business system. The second aspect covers the influence of a faulty knowledge base on the generated rules and on the detection. Electronic Thesis or Dissertation Text fr en http://www.theses.fr/2016SUPL0007/document Godefroy, Erwan 2016-09-30 Supélec Hurfin, Michel Majorczyk, Frédéric Totel, Éric
collection NDLTD
language fr
en
sources NDLTD
topic Corrélation d’alertes
Scénario d’attaque
Règles de corrélation
Détection d’intrusion
Alerts correlation
Attack scenario
Correlation rules
Intrusion detection
spellingShingle Corrélation d’alertes
Scénario d’attaque
Règles de corrélation
Détection d’intrusion
Alerts correlation
Attack scenario
Correlation rules
Intrusion detection

Godefroy, Erwan
Définition et évaluation d'un mécanisme de génération de règles de corrélation liées à l'environnement.
description Dans les systèmes d'informations, les outils de détection produisent en continu un grand nombre d'alertes.Des outils de corrélation permettent de réduire le nombre d'alertes et de synthétiser au sein de méta-alertes les informations importantes pour les administrateurs.Cependant, la complexité des règles de corrélation rend difficile leur écriture et leur maintenance.Cette thèse propose par conséquent une méthode pour générer des règles de corrélation de manière semi-automatique à partir d’un scénario d’attaque exprimé dans un langage de niveau d'abstraction élevé.La méthode repose sur la construction et l'utilisation d’une base de connaissances contenant une modélisation des éléments essentiels du système d’information (par exemple les nœuds et le déploiement des outils de détection). Le procédé de génération des règles de corrélation est composé de différentes étapes qui permettent de transformer progressivement un arbre d'attaque en règles de corrélation.Nous avons évalué ce travail en deux temps. D'une part, nous avons déroulé la méthode dans le cadre d'un cas d'utilisation mettant en jeu un réseau représentatif d'un système d'une petite entreprise.D'autre part, nous avons mesuré l'influence de fautes touchant la base de connaissances sur les règles de corrélation générées et sur la qualité de la détection. === Information systems produce continuously a large amount of messages and alerts. In order to manage this amount of data, correlation system are introduced to reduce the alerts number and produce high-level meta-alerts with relevant information for the administrators. However, it is usually difficult to write complete and correct correlation rules and to maintain them. This thesis describes a method to create correlation rules from an attack scenario specified in a high-level language. This method relies on a specific knowledge base that includes relevant information on the system such as nodes or the deployment of sensor. This process is composed of different steps that iteratively transform an attack tree into a correlation rule. The assessment of this work is divided in two aspects. First, we apply the method int the context of a use-case involving a small business system. The second aspect covers the influence of a faulty knowledge base on the generated rules and on the detection.
author2 Supélec
author_facet Supélec
Godefroy, Erwan
author Godefroy, Erwan
author_sort Godefroy, Erwan
title Définition et évaluation d'un mécanisme de génération de règles de corrélation liées à l'environnement.
title_short Définition et évaluation d'un mécanisme de génération de règles de corrélation liées à l'environnement.
title_full Définition et évaluation d'un mécanisme de génération de règles de corrélation liées à l'environnement.
title_fullStr Définition et évaluation d'un mécanisme de génération de règles de corrélation liées à l'environnement.
title_full_unstemmed Définition et évaluation d'un mécanisme de génération de règles de corrélation liées à l'environnement.
title_sort définition et évaluation d'un mécanisme de génération de règles de corrélation liées à l'environnement.
publishDate 2016
url http://www.theses.fr/2016SUPL0007/document
work_keys_str_mv AT godefroyerwan definitionetevaluationdunmecanismedegenerationdereglesdecorrelationlieesalenvironnement
AT godefroyerwan definitionandassessmentofamechanismforthegenerationofenvironmentspecificcorrelationrules
_version_ 1718563231226658816

Similar Items