Weakly-Supervised Learning for Botnet Traffic Analysis and Adversarial Robustness Assessment

Type de soutenance
Thèse
Date de début
Orateur
ORSINI Hélène (PIRAT)
Sujet

Title:

Weakly-Supervised Learning for Botnet Traffic Analysis and Adversarial Robustness Assessment
 

Résumé :

Cette thèse se concentre principalement sur les systèmes de détection d'intrusion au niveau réseau avec des techniques de machine learning ML faiblement supervisées et dignes de confiance. Elle aborde les principaux défis liés aux données de réseau pour les techniques ML basées sur le comportement pour l'analyse du trafic des botnets, en particulier le manque de données étiquetées et l'évolution du comportement du réseau. La recherche comprend quatre contributions principales. Premièrement, le pipeline DYNAMO optimise l'échantillonnage des données actives, réduisant ainsi les besoins d'annotation tout en améliorant la précision de l'attribution des attaques. Deuxièmement, le projet PoneyPot rassemble des données actuelles et représentatives afin d'analyser le comportement de botnet dans des scénarios réels. Troisièmement, le cadre ABACUS offre une solution adaptative pour identifier les comportements évolutifs des réseaux, en enrichissant une base de connaissances sur les modèles de trafic au fil du temps. Enfin, le cadre AdvCat évalue la robustesse du modèle face aux risques adverses. Les résultats montrent des améliorations significatives des performances des systèmes de détection d'intrusion, renforçant leur fiabilité et leur résilience face à des menaces complexes et évolutives. 

Abstract :

 This thesis primarily focuses on behavior-based NIDS with weakly-supervised and trustworthy ML techniques. It addresses key network data challenges for ML-based NIDS for botnet traffic analysis, particularly the lack of labeled data and evolving network behavior. The research comprises four main contributions. Firstly, the DYNAMO pipeline optimizes active data sampling, reducing annotation needs while enhancing attack attribution accuracy. Secondly, the PoneyPot project gathers current, representative data to analyze botnet behavior in real-world scenarios. Thirdly, the ABACUS framework offers an adaptive solution for identifying evolving network behaviors, enriching a knowledge base of traffic patterns over time. Finally, the AdvCat  framework assesses model robustness against adverse risks. The results show significant performance improvements in intrusion detection systems, boosting their reliability and resilience against complex, evolving threats.

Composition du jury
- CHRISMENT Isabelle , Rapporteur, Professeur, TELECOM Nancy, Université de Lorraine
- DE CRISTOFARO Emiliano, Rapporteur, Full Professor, University de California
- BLANC Grégory, Examinateur, Maître de conférence, TelecomSud Paris
- ME Ludovic, Examinateur, Chercheur Contractuel Sénior ARP, Inria
- VREEKEN Jilles, Examinateur, Professor, Helmholtz Center for Information, CISPA
- HAN Yufei, Encadrement, Chercheur Contractuel Sénior, Inria
- VIET TRIEM TONG Valérie, Encadrement, Professeur, CentraleSupélec, Irisa
- LUBICZ David, Encadrement, Ingénieur de recherche, IRMAR, Université de Rennes