logologo
HilfeLoading...
Dienstag 23 Juni 2020, 10:30Passed
Juni 2020
Dienstag 23
10:30 - 12:00

Campus de Rennes

Avenue de la Boulaie, 35576 Cesson-Sévigné
  • Ille-et-Vilaine
  • Bretagne

Soutenance de thèse de Charles Xosanavongsa

Charles XOSANAVONGSA soutient sa thèse intitulée "Définition de la Relation de Dépendance Causale entre évènements Hétérogènes pour la Détection et l'Explication de Scénarios d'Attaque Multi-Etapes".
Dienstag 23 Juni 2020, 10:30Passed

La soutenance a lieu sur le campus de Rennes de CentraleSupélec, mardi 23 juin à 10h30 en salle 151.

Membres du jury :

  • Olivier BETTAN : responsable d'équipe Cyber, Thales SIX GTS, Palaiseau / Co-directeur de thèse
  • Isabelle CHRISMENT : Professeur des universités, TELECOM, Nancy / Rapporteur
  • Hervé DEBAR : Professeur des Universités, TELECOM Sud Paris, Evry / Examinateur
  • Sébastien MONNET : Professeur des Universités, Polytech, Annecy-Chambéry / Rapporteur
  • Eric TOTEL : Professeur des Universités, IMT Atlantique, Cesson Sévigné / Directeur de thèse

Résumé : Partant du constat qu'un attaquant motivé finit par réussir à s'infiltrer dans un réseau malgré les moyens de prévention déployés, la mise en place d'une supervision de sécurité est indispensable. L'objectif de cette thèse est de permettre la découverte de scénarios d'attaque multi-étapes à travers l'analyse d'événements de sécurité.

Pour atteindre cet objectif, les approches précédentes visent à construire des liens entre les événements et entre les étapes d'une attaque.

En pratique, ces liens sont difficiles à définir et découvrir, notamment lorsque l'on considère l'analyse d'événements hétérogènes (c.-à-d. produits par différents types de systèmes de supervision). De plus, la littérature ne propose pas de définition formelle de ce lien. Selon nous, ce lien correspond à une relation de dépendance causale. Inspirés de deux modèles de causalité précédemment définis dans les domaines des systèmes distribués (modèle de Lamport) et de la sécurité (modèle de d'Ausbourg), nous avons donc proposé une définition formelle de cette relation dénommée event causal dependency. Cette relation permet la découverte de tous les événements pouvant être considérés comme les causes, ou les effets, d'un événement d'intérêt telle qu'une alerte.

À notre connaissance, nos travaux sont les premiers à proposer une définition formelle de la relation de dépendance causale entre événements hétérogènes. Actuellement, les méthodes proposées dans la littérature ne permettent de construire qu'une approximation de notre modèle. Notre implémentation a la particularité de se baser uniquement sur l'analyse d'événements issus de COTS. Cette dernière permet d'obtenir une bonne approximation de notre modèle.

Summary: Knowing that a persistent attacker will eventually succeed in gaining a foothold inside the targeted network despite prevention mechanisms, it is mandatory to perform security monitoring on the system. The purpose of this thesis is to enable the discovery of multi-step attacks through logged events analysis. To that end, previous alert correlation work has aimed at building connections among events and between attack steps. In practice, this type of link is not trivial to define and discover, especially when considering heterogeneous events (i.e., events emanating from monitoring systems deployed in different abstraction layers of the monitored system), and the literature lacks a formal definition of these connections. We argue that the connections among heterogeneous events correspond to causal dependency relationships among events.

Inspired from two causality models from the distributed system and the security research areas, i.e., Lamport's and d'Ausbourg's models, we have thereby proposed a formal definition of this relationship called event causal dependency. The relationship enables the discovery of all events, which can be considered as the cause or the effect of an event of interest (e.g., an IDS alert).

To the best of our knowledge, our work is the first one to propose a formal definition of the causal dependency relationship among heterogeneous events.

We present how existing work permits the computation of parts of the overall model, and detail our implementation, which exclusively leverages existing monitoring facilities (e.g., auditd, or Zeek NIDS) to produce events. We show that our implementation already yields a good approximation of our model.

thèse und soutenance

Über den Standort

Campus de Rennes
Avenue de la Boulaie, 35576 Cesson-Sévigné
  • Ille-et-Vilaine
  • Bretagne