Técnicas de detección de ataques en un sistema SIEM (Security Information and Event Management)

Technology advance has achieved an almost entirely globalized world. New inventions are achieved at a speed that has revolutionized people’s pace of life. Information has become a very helpful and of great value resource. This has made the protection of information a demanded work. Globalization and the Internet have managed to maintain in contact to people all around the world. Due to this progress cyber-attacks to networks have become a main objective for hackers that attempt to gain people credentials or not allowing the availability of network resources. System Information and Event Management (SIEM) have become the main defense against those attacks. How to detect attacks and prepare procedures and algorithms to protect information is the objective of this work that develops solutions when understanding theory and systems behind every cyber-attack.El avance de la tecnología ha logrado un mundo casi enteramente globalizado. La velocidad con la que se consigue nuevos inventos ya sean digitales o no, ha revolucionado el ritmo de vida en la mayoría de las personas. La información se ha vuelto un recurso muy utilizado y de mucho valor, por lo que proteger dicha información se ha vuelto un trabajo muy demandado. La globalización y la interconectividad de redes (el Internet) han logrado mantener en contacto a seres humanos muy alejados unos de otros. Debido a estos avances, los ataques informáticos a las redes se han vuelto objetivos por parte de atacantes que intentan conseguir información confidencial o no permitir la disponibilidad de recursos en la red. Los sistemas de información y manejo de eventos (SIEM por sus siglas en inglés) se han vuelto la defensa a estos ataques. Como detectar ataques y preparar procedimientos y algoritmos para proteger información es el objetivo de este trabajo que desarrolla soluciones a base de entender los sistemas y la teoría detrás de cada ataque informático

Détection d'intrusion à l'aide d'un système expert basé sur l'ontologie

Les attaques informatiques sont une réalité importante d’aujourd’hui. Leur omniprésence s’explique par le fait que les attaquants peuvent tirer parti de la complexification de l’environnement des systèmes d’information. Ceci est causé à la fois par une informatisation massive des activités, tel le stockage de données personnelles, et par l’intégration de nouvelles technologies comme les technologies sans-fil. L’appât du gain est en augmentation et les surfaces d’attaque sont plus grandes que jamais. Les mécanismes de défense traditionnels peinent à s’adapter à cet environnement qualifié d’hétérogène à cause du large spectre de types d’information qui le composent. C’est à travers des règles que les systèmes de défense procèdent à la détection d’intrusion. Malheureusement, les langages dans lesquels sont écrites ces règles de détection possèdent plusieurs faiblesses. D’une part, leur écriture demande une grande expertise. D’autre part, les langages permettent difficilement de faire interagir des concepts de nature différente. L’humain a été impliqué dans le processus de détection d’intrusion pour pallier cette dernière faiblesse. Cependant, la détection d’intrusion est sujette aux faiblesses de l’humain, telles que la fiabilité et la performance. Nous proposons d’informatiser le processus de détection d’intrusion avec l’utilisation d’un système expert. Ce type d’outil est un système qui reproduit le raisonnement d’un expert humain. Le système expert que nous proposons est DIOSE (Détection d’Intrusion avec l’Ontologie par un Système Expert). Il sera basé sur les ontologies, qui sont des méthodes de représentation de la connaissance qui permettent d’expliciter un concept afin qu’il soit compréhensible par une machine. La représentation de connaissance par l’ontologie permet de définir un concept pour l’utiliser dans un raisonnement. L’utilisation de base de données ontologique offre une flexibilité qui permet de passer d’une détection basée uniquement sur les événements à une détection basée sur les événements, leur contexte ainsi que les vulnérabilités. Ceci a pour but d’améliorer la détection d’attaques informatiques en faisant une corrélation des différentes informations collectées. Une représentation des connaissances par l’ontologie va également permettre d’utiliser l’abstraction pour approcher le langage des règles de détection d’intrusion vers le langage de l’expert du domaine.----------ABSTRACT: Computer attacks are an important reality today. Their ubiquity is explained by the fact that attackers can take advantage of the growing complexity of the information systems environment. This is due to a massive computerization of activities, such as the storage of personal data, and the integration of new technologies, such as wireless technologies. The lure of gain is increasing and the attack surfaces are bigger than ever. Traditional defence mechanisms are struggling to adapt to this heterogeneous environment due to the broad spectrum of information it contains. It is through detection rules that defence systems perform intrusion detection. Unfortunately, the languages in which these detection rules are written have several weaknesses. On the one hand, their writings require great expertise. On the other hand, these languages make it difficult to make concepts of different natures interact. Humans have been involved in the intrusion detection process to address this weakness. Thereby, intrusion detection is subject to human weaknesses, such as reliability and performance. We propose to computerize the intrusion detection process with the use of an expert system. This type of tool is a system that replicates the reasoning of a human expert. The expert system that we propose is DIOSE (Détection d’Intrusion avec l’Ontologie par un Système Expert). It will be based on ontologies, which are methods of representation of knowledge that make it possible to explain a concept so that it can be understood by a machine. The uses of ontological database provide flexibility that makes it possible to move from a detection based only on events, to a detection based on both events, event contexts and vulnerabilities. This is to improve the detection of computer attacks by correlating different information collected. A representation of knowledge with the ontology will also allow to use the abstraction to bring the language of the rules of detection of intrusion closer to the language of the expert