Automatiser la construction de règles de corrélation : prérequis et processus - Archive ouverte HAL Access content directly
Conference Papers Year :

Automatiser la construction de règles de corrélation : prérequis et processus

(1) , (2) , (2) , (1) , (2)
1
2

Abstract

Les systèmes d'entreprise sont aujourd'hui composés de plusieurs dizaines, centaines ou milliers d'entités communiquant potentiellement avec des machines externes inconnues. Dans ces systèmes de nombreux détecteurs, sondes et IDS sont déployés et inondent les systèmes de supervision de messages et d'alertes. La problématique d'un administrateur en charge de la supervision est alors de détecter des motifs d'attaques contre le système au sein de ce flot de notifications. Pour cela, il dispose d'outils de corrélation permettant d'identifier des scénarios complexes à partir de ces notifications de bas niveau. Cependant, la spécification de ces scénarios demande d'avoir au préalable construit les règles de corrélation adéquates. Ce papier se focalise sur une méthode de génération de règles de corrélation et des prérequis nécessaires à cette opération. Il évalue ensuite le travail requis pour obtenir de telles règles dans le cas d'un processus de génération automatisé.
Fichier principal
Vignette du fichier
cesar.pdf (389.68 Ko) Télécharger le fichier
Origin : Files produced by the author(s)
Loading...

Dates and versions

hal-01091327 , version 1 (05-12-2014)

Identifiers

  • HAL Id : hal-01091327 , version 1

Cite

E Godefroy, E Totel, M Hurfin, F Majorczyk, A Maaroufi. Automatiser la construction de règles de corrélation : prérequis et processus. C&ESAR 2014 - Détection et réaction face aux attaques informatiques, Nov 2014, Rennes, France. pp.9. ⟨hal-01091327⟩
211 View
408 Download

Share

Gmail Facebook Twitter LinkedIn More