Automatiser la construction de règles de corrélation : prérequis et processus

E Godefroy 1 E Totel 2 M Hurfin 2 F Majorczyk 1 A Maaroufi 2
2 CIDRE - Confidentialité, Intégrité, Disponibilité et Répartition
CentraleSupélec, Inria Rennes – Bretagne Atlantique , IRISA-D1 - SYSTÈMES LARGE ÉCHELLE
Résumé : Les systèmes d'entreprise sont aujourd'hui composés de plusieurs dizaines, centaines ou milliers d'entités communiquant potentiellement avec des machines externes inconnues. Dans ces systèmes de nombreux détecteurs, sondes et IDS sont déployés et inondent les systèmes de supervision de messages et d'alertes. La problématique d'un administrateur en charge de la supervision est alors de détecter des motifs d'attaques contre le système au sein de ce flot de notifications. Pour cela, il dispose d'outils de corrélation permettant d'identifier des scénarios complexes à partir de ces notifications de bas niveau. Cependant, la spécification de ces scénarios demande d'avoir au préalable construit les règles de corrélation adéquates. Ce papier se focalise sur une méthode de génération de règles de corrélation et des prérequis nécessaires à cette opération. Il évalue ensuite le travail requis pour obtenir de telles règles dans le cas d'un processus de génération automatisé.
Type de document :
Communication dans un congrès
C&ESAR 2014 - Détection et réaction face aux attaques informatiques, Nov 2014, Rennes, France. pp.9, 〈http://www.cesar-conference.fr9〉
Liste complète des métadonnées

Littérature citée [7 références]  Voir  Masquer  Télécharger

https://hal.inria.fr/hal-01091327
Contributeur : Michel Hurfin <>
Soumis le : vendredi 5 décembre 2014 - 11:00:52
Dernière modification le : mardi 3 juillet 2018 - 13:10:02
Document(s) archivé(s) le : lundi 9 mars 2015 - 06:02:29

Fichier

cesar.pdf
Fichiers produits par l'(les) auteur(s)

Identifiants

  • HAL Id : hal-01091327, version 1

Citation

E Godefroy, E Totel, M Hurfin, F Majorczyk, A Maaroufi. Automatiser la construction de règles de corrélation : prérequis et processus. C&ESAR 2014 - Détection et réaction face aux attaques informatiques, Nov 2014, Rennes, France. pp.9, 〈http://www.cesar-conference.fr9〉. 〈hal-01091327〉

Partager

Métriques

Consultations de la notice

328

Téléchargements de fichiers

367