en fr Alert correlation towards an efficient response decision support Corrélation d’alertes : un outil plus efficace d’aide à la décision pour répondre aux intrusions Report as inadecuate




en fr Alert correlation towards an efficient response decision support Corrélation d’alertes : un outil plus efficace d’aide à la décision pour répondre aux intrusions - Download this document for free, or read online. Document in PDF available to download.

1 SAMOVAR - Services répartis, Architectures, MOdélisation, Validation, Administration des Réseaux 2 RST - Département Réseaux et Services de Télécommunications

Abstract : Security Information and Event Management SIEM systems provide the security analysts with a huge amount of alerts. Managing and analyzing such tremendous number of alerts is a challenging task for the security administrator. Alert correlation has been designed in order to alleviate this problem. Current alert correlation techniques provide the security administrator with a better description of the detected attack and a more concise view of the generated alerts. That way, it usually reduces the volume of alerts in order to support the administrator in tackling the amount of generated alerts. Unfortunately, none of these techniques consider neither the knowledge about the attacker’s behavior nor the enforcement functionalities and the defense perimeter of the protected network Firewalls, Proxies, Intrusion Detection Systems, etc. It is still challenging to first improve the knowledge about the attacker and second to identify the policy enforcement mechanisms that are capable to process generated alerts. Several authors have proposed different alert correlation methods and techniques. Although these approaches support the administrator in processing the huge number of generated alerts, they remain limited since these solutions do not provide us with more information about the attackers’ behavior and the defender’s capability in reacting to detected attacks. In this dissertation, we propose two novel alert correlation approaches. The first approach, which we call honeypot-based alert correlation, is based on the use of knowledge about attackers collected through honeypots. The second approach, which we call enforcement-based alert correlation, is based on a policy enforcement and defender capabilities’ model

Résumé : Les SIEMs systèmes pour la Sécurité de l’Information et la Gestion des Événements sont les cœurs des centres opérationnels de la sécurité. Ils corrèlent un nombre important d’événements en provenance de différents capteurs anti-virus, pare-feux, systèmes de détection d’intrusion, etc, et offrent des vues synthétiques pour la gestion des menaces ainsi que des rapports de sécurité. La gestion et l’analyse de ce grand nombre d’alertes est une tâche difficile pour l’administrateur de sécurité. La corrélation d’alertes a été conçue afin de remédier à ce problème. Des solutions de corrélation ont été développées pour obtenir une vue plus concise des alertes générées et une meilleure description de l’attaque détectée. Elles permettent de réduire considérablement le volume des alertes remontées afin de soutenir l’administrateur dans le traitement de ce grand nombre d’alertes. Malheureusement, ces techniques ne prennent pas en compte les connaissances sur le comportement de l’attaquant, les fonctionnalités de l’application et le périmètre de défense du réseau supervisé pare-feu, serveurs mandataires, Systèmes de détection d’intrusions, etc. Dans cette thèse, nous proposons deux nouvelles approches de corrélation d’alertes. La première approche que nous appelons corrélation d’alertes basée sur les pots de miel utilise des connaissances sur les attaquants recueillies par le biais des pots de miel. La deuxième approche de corrélation est basée sur une modélisation des points d’application de politique de sécurité

en fr

Keywords : Alert correlation Decision support Honeypots Security policy enforcement Detection systems Responses to intrusions

Mots-clés : Corrélation d-alertes Aide à la décision Pots de miels Renforcement de politique de sécurité Systèmes de détection d-intrusions Réponses aux intrusions





Author: Yosra Ben Mustapha -

Source: https://hal.archives-ouvertes.fr/



DOWNLOAD PDF




Related documents