Définition de la Relation de Dépendance Causale entre Événements Hétérogènes pour la Détection et l’Explication de Scénarios d’Attaque Multi-Étapes
Résumé : Partant du constat qu'un attaquant motivé finit par réussir à s'infiltrer dans un réseau malgré les moyens de prévention déployés, la mise en place d'une supervision de sécurité est indispensable. L'objectif de cette thèse est de permettre la découverte de scénarios d'attaque multi-étapes à travers l'analyse d'événements de sécurité. Pour atteindre cet objectif, les approches précédentes visent à construire des liens entre les événements et entre les étapes d'une attaque. En pratique, ces liens sont difficiles à définir et découvrir, notamment lorsque l'on considère l'analyse d'événements hétérogènes (c.-à-d. produits par différents types de systèmes de supervision). De plus, la littérature ne propose pas de définition formelle de ce lien. Selon nous, ce lien correspond à une relation de dépendance causale. Inspirés de deux modèles de causalité précédemment définis dans les domaines des systèmes distribués (modèle de Lamport) et de la sécurité (modèle de d'Ausbourg), nous avons donc proposé une définition formelle de cette relation dénommée event causal dependency. Cette relation permet la découverte de tous les événements pouvant être considérés comme les causes, ou les effets, d'un événement d'intérêt telle qu'une alerte. À notre connaissance, nos travaux sont les premiers à proposer une définition formelle de la relation de dépendance causale entre événements hétérogènes. Actuellement, les méthodes proposées dans la littérature ne permettent de construire qu'une approximation de notre modèle. Notre implémentation a la particularité de se baser uniquement sur l'analyse d'événements issus de COTS. Cette dernière permet d'obtenir une bonne approximation de notre modèle.
Title : Heterogeneous Event Causal Dependency Definition for the Detection and Explanation of Multi-Step Attacks
Summary : Knowing that a persistent attacker will eventually succeed in gaining a foothold inside the targeted network despite prevention mechanisms, it is mandatory to perform security monitoring on the system. The purpose of this thesis is to enable the discovery of multi-step attacks through logged events analysis. To that end, previous alert correlation work has aimed at building connections among events and between attack steps. In practice, this type of link is not trivial to define and discover, especially when considering heterogeneous events (i.e., events emanating from monitoring systems deployed in different abstraction layers of the monitored system), and the literature lacks a formal definition of these connections. We argue that the connections among heterogeneous events correspond to causal dependency relationships among events. Inspired from two causality models from the distributed system and the security research areas, i.e., Lamport's and d'Ausbourg's models, we have thereby proposed a formal definition of this relationship called event causal dependency. The relationship enables the discovery of all events, which can be considered as the cause or the effect of an event of interest (e.g., an IDS alert). To the best of our knowledge, our work is the first one to propose a formal definition of the causal dependency relationship among heterogeneous events. We present how existing work permits the computation of parts of the overall model, and detail our implementation, which exclusively leverages existing monitoring facilities (e.g., auditd, or Zeek NIDS) to produce events. We show that our implementation already yields a good approximation of our model.
Membres du jury :
Isabelle CHRISMENT : Professeur des universités, TELECOM, Nancy / Rapporteur
Hervé DEBAR: Professeur des Universités, TELECOM Sud Paris, Evry / Examinateur
Sébastien MONNET : Professeur des Universités, Polytech, Annecy-Chambéry / Rapporteur
Eric TOTEL : Professeur des Universités, IMT Atlantique, Cesson Sévigné / Directeur de thèse