ATELIER - CYBERSÉCURITÉ – DÉTECTION D’INTRUSION : ANALYSE DE JOURNAUX D’ÉVÉNEMENTS STRUCTURÉS

Cet atelier a été animé par Corentin Larroche, Télécom Paris

Les journaux d’événements constituent un historique des activités menées sur l’ensemble des machines d’un parc informatique. Ils présentent ainsi deux caractéristiques principales : d’une part, ils offrent une grande visibilité sur l’état présent et passé du réseau, ce qui est particulièrement intéressant dans le cadre de la détection d’intrusion. D’autre part, leur volume est considérable, ce qui rend leur exploitation ardue. Dans cet atelier, nous étudierons l’utilisation d’algorithmes de détection d’anomalies dans le but de faciliter la détection d’activité malveillante dans des journaux d’événements. Nous nous focaliserons sur la nature particulière de ces journaux et ce qu’elle implique en termes de modélisation : en effet, les événements n’étant pas des données numériques ou vectorielles, leur analyse repose sur des concepts de statistique discrète et combinatoire.

Déroulé de l'atelier

  • Introduction : journaux d’événements, intrusions, détection
  • Formalisation du problème et lien avec la détection d’anomalies
    – Première approche : agrégation et conversion en données vectorielles
    – Deuxième approche : agrégation et représentation par des graphes
    – Troisième approche : graphe utilisateur-hôte global
    – Quatrième approche : modèle combinatoire d’ordre supérieur
  • Conclusion : de l’importance de la représentation des données

Jeu de données 
Journaux d’événements de 12000 utilisateurs sur 13 jours soit 27 millions d’événements dont environ 500 correspondent à des attaques

Recherche liée
Multi-Dimensional Anomalous Entity Detection via Poisson Tensor Factorization, par Eren, Moore et Alexandrov

Si vous souhaitez en savoir plus sur le contenu de cet atelier, n'hésitez pas à vous rendre sur notre Github.

Atelier réalisé le 19 novembre 2021.

Share