Note publique d'information : La sécurité d’un système d’information est devenue un enjeu stratégique important.
Actuellement, les organisations (organismes ou entreprises) évoluent et disposent
de multiples nœuds exécutant de multiples systèmes. Ces organisations déploient de
multiples équipements de sécurité et offrent différents services à leurs utilisateurs.
Les services, les ressources ainsi que les équipements déployés peuvent être des cibles
pour les intrus. L'interopérabilité entre les produits déployés pour la surveillance
du SI est absolument nécessaire. Nous proposons dans notre travail une architecture
pour un système de détection d’intrusion basée sur l'interopérabilité entre les différents
produits (de sécurité et de management) et les services déployés dans un organisme.
Cette architecture va fournir une vision globale et répond aux besoins actuels de
l'administrateur de sécurité. La détection d'intrusion dans ce contexte consiste à
analyser les informations (alertes et événements) remontées par tous ces dispositifs
mis en place afin de *surveiller un système d'information* et de prévenir toute action
non légalement autorisée. Les processus d'analyse des informations de sécurité rencontrent
des problèmes sérieux à cause de l’hétérogénéité des mécanismes impliqués dans la
surveillance du SI et à cause du manque de standard pour la représentation de ces
informations. Les travaux de thèse s’inscrivent dans le cadre de la modélisation des
informations de sécurité afin de faire face au problème d’hétérogénéité des produits
de surveillance, ce qui permet par la suite aux processus de gestion des informations
de sécurité (comme la détection d’intrusion ou la recherche de causes d’un incident
de sécurité) d’être opérationnelles et efficaces. La première partie de la thèse propose
une solution pour la modélisation de la sémantique des informations de sécurité au
travers d’une ontologie. Le but de l’ontologie réalisée est de décrire d'une manière
uniforme la sémantique de toutes les activités qui peuvent être effectuées par des
utilisateurs du SI, en faisant abstraction des produits impliqués dans la surveillance
d’un SI, et en focalisant que sur les concepts porteurs de connaissance pour les mécanismes
de traitement de ces informations. La mise en œuvre de l’ontologie consiste à faire
une classification des alertes et événements remontés par les produits de surveillance
dans les catégories qui ont été décrites par l’ontologie. La deuxième partie de la
thèse s'attache à l'automatisation de la classification des messages de sécurité.
Comme nous possédons un corpus de messages préalablement classifiés, nous nous intéressons
donc aux techniques de catégorisation automatique de texte (CT). Ces techniques s'appuient
sur des méthodes d'apprentissage. Le processus de classification proposé se compose
en deux étapes. La première étape permet la préparation de données et leur représentation
dans un format exploitable par les algorithmes de classification. La deuxième étape
s'attache à appliquer les algorithmes des machines d'apprentissage sur les informations
de sécurité prétraitées. L’application des solutions proposées dans la thèse se fait
sur une base d’alertes et d’événements fournie par l’entreprise Exaprotect (un éditeur
de logiciel de sécurité).
Note publique d'information : The security of the Information System(IS) has become an important strategic issue.
Currently, organizations or companies are evolving and have multiple nodes running
multiple systems. These organizations are deploying multiple security devices and
offer different services to their users. Services, resources and equipment deployed
may be the targets for intruders. Interoperability between products to monitoring
the IS is absolutely necessary. We present in our work an architecture for intrusion
detection system based on interoperability between different products (security and
management) and services deployed in an organization. This architecture will provide
a comprehensive and meets the current needs of the security administrator. Intrusion
detection in this context is to analyze the information (alerts and events) generated
from all these devices to prevent any action not legally permitted. The process of
analyzing information security faced serious problems because of the heterogeneity
of the mechanisms involved in the monitoring of the IS and because of the lack of
standard to presents of such information. The thesis is part of the modeling of security
information to address the problem of the heterogeneity of the products, allowing
the management process of information security (such as intrusion detection or the
search for causes of a security incident) to be operational and efficient. The first
part of the thesis proposes a solution for modeling the semantics of information security
through an ontology. The purpose of the ontology is to describe in a uniform manner
the semantics for all activities that may be made by users of IS, regardless of the
products involved in the supervision of an IS, and focusing on the concepts of knowledge
for mechanisms for processing such information. The implementation of the ontology
is to make a classification of events and alerts generated by the monitoring products,
in categories that were described by the ontology. The second part of the thesis focuses
on automating the classification of security messages. As we have a corpus of previously
classified messages, therefore we are interested in the techniques for automatic categorization
of text (CT). These techniques are based on machine learning methods. The proposed
classification process consists of two stages. The first step allows the data preparation
and representation in a format usable by the classification algorithms. The second
step aims to implement the algorithms machine learning on information security preprocessed.
The application of the solutions proposed in the thesis is on a basis of alerts and
events provided by the company Exaprotect (a publisher of software security).
paprika.idref.fr
data.idref.fr
Documentation
