Expression and deployment of reaction policies

International audienceCurrent prevention techniques provide restrictive responses that may take a local reaction in a limited information system infrastructure. In this paper, an in depth and comprehensive approach is introduced for responding to intrusions in an efficient way. This approach considers not only the threat and the architecture of the monitored information system, but also the security policy. The proposed reaction workflow links the lowest level of the information system corresponding to intrusion detection mechanisms, including misuse and anomaly techniques, and access control techniques with the higher level of the security policy. This reaction workflow evaluates the intrusion alerts at three different levels, it then reacts against threats with appropriate counter measures in each level accordingly

Intrusion detection using principal component analysis

International audienceIntrusion detection using principal component analysi

Profils propres pour la détection d'intrusion

International audienceProfils propres pour la détection d'intrusio

Eigensconnections to intrusion detection

International audienceEigensconnections to intrusion detectio

An efficient method to intrusion detection

International audienceThis paper presents a new method in intrusion detection based on analyzing the audit trails of users' activities in a local area network. This approach consists of detecting the presence of known attacks in servers' audit sessions. Each attack scenario is described by a column vector containing the different occurrences of the system events that represent the attack. The detection procedure consists of examining the manifestation of the attack scenarios in the system event trace. This method could be applied to attacks on servers. The most advantages of the presented method are (1) it is easy to implement in any network having the audit mechanism, (2) it is very fast and may be used in real time and (3) it is robust

Principal component analysis for intrusion detection and supervised learning for new attacks detection

La détection d'intrusion est un mécanisme essentiel pour la protection des systèmes d'information. En plus des méthodes préventives, les systèmes de détection d'intrusion sont largement déployés par les administrateurs de sécurité. Cette thèse présente deux applications différentes de l'analyse en composante principale pour la détection d'intrusion. Elle propose aussi une nouvelle approche basée sur l'apprentissage supervisé afin de détecter les nouvelles attaques. Dans la première application, l'analyse en composante principale est utilisée pour distinguer les comportements normaux des utilisateurs des comportements malveillants. Dans la seconde application, elle est utilisée comme une méthode de réduction avant d'appliquer les modèles de classification qui fournissent des signatures d'intrusion. Un autre résultat de cette thèse est l'amélioration des techniques d'apprentissage supervisé pour la détection de nouvelles attaques. Les résultats des différentes expérimentations basées sur l'analyse en composante principale et celles relatives à l'amélioration des techniques supervisées pour la détection d'intrusion sont présentés et discutés.RENNES1-BU Sciences Philo (352382102) / SudocBREST-Télécom Bretagne (290192306) / SudocSudocFranceF