Semestre Supervision de systèmes dynamiques :
techniques émergentes pour l’investigation d’activités anormales (SUPSEC)
La supervision d’un système d’information, qu’il soit constitué d’une unique machine (un PC, un téléphone, etc.), d’un ensemble fini de machines bien répertoriées (une entreprise), ou d’un parc dynamique de serveurs virtualisés dans le cloud, repose sur les mêmes paradigmes. En effet, superviser demande de déployer des outils de détection (détection d’intrusions, détection et identification de code malveillant, logs d’erreurs au niveau applicatif, détection d’erreurs dans les applications) qui génèrent des événements de sécurité. Ces événements peuvent être des alertes à destination de l’administrateur ou de simples informations sur le fonctionnement du système, et sont collectées et traitées par des SIEM (Security Event and Information Management). Nombre de ces événements de sécurité pourraient permettre à l’administrateur d’expliquer l’attaque s’il était capable de les corréler. Il est donc nécessaire d’aider ce dernier en lui montrant tous les événements de sécurité engendrés par une même attaque. Un tel regroupement est bien sûr aussi utile sur un simple terminal (dans un but de forensic) que dans un grand système distribué (dans un but de mise en évidence d’alertes importantes et de diagnostic d’attaque). Dans la chaîne globale de supervision, les corrélateurs d’alertes (inclus dans les SIEM) décrivent généralement, pour chaque attaque, l’enchainement des étapes de l’attaque visibles sur le système supervisé. Cette description prend la forme de règles explicites ; il s’avère que la construction de telles règles est un travail difficile, parfois même impossible comme par exemple dans le contexte dynamique du cloud. Les travaux de supervision ont donc évolué ces dernières années, via la mise en place des outils de description a priori ou d’analyse a posteriori d’attaques.
Le semestre thématique consistera à faire un point sur l’état de l’art dans le domaine de la supervision de sécurité et proposer des pistes pour résoudre, entre autres, le problème de l’analyse et la découverte de nouvelles attaques. Pour remplir cet objectif, il est nécessaire d’établir des relations causales entre les différents événements générés par le système d’information. Idéalement, de telles relations ne pourront être établies correctement qu’en mettant en place des observations à différents niveaux d’un système global, de la couche matérielle, au système d’exploitation (et l’hyperviseur dans le cadre du cloud), jusqu’à la couche réseau et aux applications. Pour aborder le problème, on peut trouver des inspirations dans de nombreux domaines. Parmi ces domaines, aujourd’hui l’intelligence artificielle offre de sérieuses pistes pour atteindre cet objectif : on compte par exemple les techniques de fouille de données (« data mining ») (dans les fichiers d’événements de sécurité), de clustering des logs, d’apprentissage automatique (« machine learning »). Parmi les mécanismes plus connus en sécurité, on compte les mécanismes de calcul de causalité temporelle entre les événements (usuels dans les systèmes où de multiples processus interagissent), de calcul de causalité en valeur entre les événements (graphes de flux d’information systèmes). De surcroît, les logs analysés étant très volumineux.
Il est aujourd’hui important de s’intéresser aux façons les plus efficaces de transporter, stocker, manipuler et interroger les logs produits par les outils de supervision. La gestion de ces masses de données est un problème encore ouvert, même si les avancées en « big data » de ces dernières années permettent d’envisager le passage à l’échelle des algorithmes préalablement cités. Les nombreux domaines énumérés ci-dessus sont autant de sujets de séminaires qui seront organisés afin de mettre en évidence le potentiel des différentes approches : domaine de l’intelligence artificielle (en embrassant tous les aspects d’application de ce domaine à la sécurité, de la détection d’anomalies à la corrélation d’événements), domaine de la sécurité et du suivi de flux d’information et de la causalité, domaine du big data.
Responsables du semestre :
- Eric Totel, Professeur Télécom SudParis
- Laurent d’Orazio, Professeur Université Rennes 1
- Erwan Le Merrer, Advanced Research Position Inria
Le semestre SUPSEC est organisé par :
en coopération avec