Mots-clés:
- Détection d’intrusions
- Intelligence Artificielle
- Fouille de données
- Modélisation
Description du stage:
Le contexte du stage est celui de la détection des intrusions de systèmes informatiques face aux cyber-attaques. Si de nombreux IDS (Intrusion Detection System) sont déployés de plus en plus largement, de nombreuses études ont montré qu’à ce jour aucun outil ne peut concurrencer un être humain dans l’analyse des intrusions. La détection d’intrusions reste un problème difficile à résoudre notamment en raison du volume de données de plus en plus important à traiter et des évolutions constantes des attaques. Son efficacité est mesurée par la confiance qu’on peut lui accorder dans la détection de vraies attaques et par la limitation de fausses alertes qu’elle peut lever. S’il existe des méthodes efficaces pour détecter des attaques dont la forme est déjà connue (méthodes supervisées), il est nettement plus difficile de détecter dynamiquement des attaques inconnues (méthodes non-supervisées).
La problématique de ce stage consiste à proposer des méthodes innovantes reposant sur des techniques d’Intelligence Artificielle afin de pouvoir traiter à terme, en temps-réel, un volume important de données et détecter à la fois les attaques déjà identifiées et les attaques inconnues. La particularité de ce travail va consister à appliquer des techniques de data-mining, et en particulier de pattern-mining, qui consistent à identifier des motifs fréquents dans des flux de données. Ces motifs seront ensuite utilisés afin de construire et d’alimenter dynamiquement un modèle de détection d’intrusions. L’accent devra être mis sur les performances de la méthode pour traiter en temps réel des flux importants de données et sur la prise en compte de l’ordonnancement temporel des actions primordiales pour la reconnaissance des intrusions. L’objectif final de l’approche proposée sera non seulement de détecter le plus efficacement possible les intrusions mais également de les expliquer.
Pour ce stage, l’étudiant disposera d’un jeu de données réelles afin de pouvoir tester son approche. Après un état de l’art des techniques de détection d’intrusions employant des algorithmes de data-mining, le travail attendu est de proposer une approche exploitant les données réelles et permettant de coupler l’usage de techniques de pattern-mining avec une modélisation des intrusions. L’objectif du stage sera de valider la performance de détection de nouvelles attaques de cette approche.
Ce stage a pour cadre une collaboration entre la société AMOSSYS et l’équipe Dream de l’IRISA. Il pourra être poursuivi par une thèse CIFRE au sein de la société AMOSSYS, dont l’objectif sera de faire passer cette approche à l’échelle pour analyser des flux d’un débit de l’ordre du Gigabit par seconde.
Compétences requises
Le candidat doit avoir un goût prononcé pour l’algorithmique et de solides compétences en programmation (C++ ou Java). Des connaissances en data-mining et/ou intelligence artificielle seront appréciées.
Contacts
- Christine Largouët – largouet@agrocampus-ouest.fr
- René Quiniou – rene.quiniou@inria.fr
- Alexandre Termier – alexandre.termier@irisa.fr
Bibliographie:
- P.Laskov, P.Düssel, C.Schäfer and K.Rieck. Learning intrusion detection: supervised or unsupervised? Image Analysis and Processing – ICIAP 2005. Lecture Notes in Computer Science Volume 3617, 2005, pp 50-57
- P.Dokas, L.Ertoz, V.Kumar, A.Lazarevic, J.Srivastava and P.NigTan. Data Mining for Network Intrusion Detection. 2002 – citeseer.ist.psu.edu
- NF. Haq, AR. Onik, Md A.Khan Hridoy, M.Rafni, FM.Shah and Md D.Farid. Application of Machine Learning Approaches in Intrusion Detection System: A Survey, International Journal of Advanced Research in Artificial Intelligence (IJARAI),Vol. 4, No.3, p9-18, 2015
- Wei Wang, Florent Masseglia, Thomas Guyet, René Quiniou, Marie- Odile Cordier: A general framework for adaptive and online detection of web attacks. WWW 2009: 1141-1142
