Génération de graphes de causalité pour suivre des attaques

Supervisors: Eric Totel Team: Télécom SudParis, Institut Polytechnique de Paris

Description

Le suivi des attaques dans un système distribué reste une problématique importante dans la supervision de sécurité. Etant donné un IoC (un indice de compromission), il est nécessaire de suivre l’évolution des activités de l’attaquant dans le système d’information. Pour cela, une possibilité est de calculer en temps réel les activités causalement dépendantes de cet IoC [1].

Objectifs : Il s’agit donc d’expliquer et de suivre en temps réel l’évolution du fonctionnement du système pour calculer, grâce aux interactions entre composants, quelle action est causalement dépendante de cet IoC.

Approche envisagée : Il faudra s’appuyer sur les calculs de causalité, par exemple des vecteurs d’horloge, tels qu’ils sont définis dans les systèmes distribués, et de les adapter à la définition de la causalité orientée sécurité.

Résultats attendus : le projet fournira une méthodologie et des outils d’aide à la décision pour l’analyste qui devront être validés sur des études de cas représentatives.

Références

[1] Charles Xosanavongsa, Eric Totel, et Olivier Bettan. « Discovering Correlations: A Formal Definition of Causal Dependency Among Heterogeneous Events ». In 2019 IEEE European Symposium on Security and Privacy (EuroS P), 340‑55, 2019. https://doi.org/10.1109/EuroSP.2019.00033