Dynamic Clustering for IoT Key Management in Hostile Application Area

© 2019, Springer Nature Switzerland AG. The IoT development area has drawn the attention of nowadays researchers, some of them made assumptions regarding the use of clustering in their key management schemes. For example, in CL-EKM (Certificateless Effective Key Management) protocol, cluster-heads are assumed to be with high-processing capabilities and deployed within a grid topology. In fact, this is only possible in a controlled environment. In a hostile environment, such as battlefields, this assumption cannot be satisfied. In this work, an enhancement of the CL-EKM scheme has been proposed by introducing a distributed clustering algorithm. The performance of the implemented and enhanced system proved our assumptions

Enhancing the SVDD accuracy in Intrusion Detection Systems by removing external voids

This work aims to improve the accuracy of the SVDD-based Intrusion Detection Systems. In this study we are interested by approaches using only one-class classification, namely the class of normal user sessions. Sessions are modeled by vectors of points in a finite features space. The goal of using the SVDD in anomaly detection is to find the hypersphere with a minimal volume that encloses the entire scatter of points (i.e. the normal sessions). This paper discusses the general case where the shape of the scatter is arbitrary. In this case some voids can occur between the scatter and the boundary of the hypersphere, and mainly cause a distortion of the data description that reduces the accuracy of the detection. The objective of this work is to study and highlight the best techniques that help removing voids and thus improving the accuracy of the SVDD. Experimental results show that choosing the appropriate techniques and parameters can significantly improve the accuracy of the SVDD

Probabilistic graphical models and logics for alarm correlation in intrusion detection

Dans cette thèse, nous nous intéressons à la modélisation du problème de la corrélation d'alertes à base de modèles graphiques probabilistes. Nous avons constaté que les approches existantes de corrélation d'alertes, soit se basent sur des connaissances explicites d'experts, soit utilisent des mesures de similarité simples qui ne permettent pas de détecter des scénarios d'attaque. Pour cela, nous avons d'abord proposé une nouvelle modélisation de la corrélation d'alertes, basée sur les classifieurs Bayésiens naïfs, qui permet d'apprendre les coordinations entre les attaques élémentaires qui contribuent à la réalisation d'un scénario d'attaque. Notre modélisation nécessite seulement une légère contribution des connaissances d'experts. Elle tire profit des données disponibles et fournit des algorithmes efficaces pour la détection et la prédiction des scénarios d'attaque. Ensuite, nous avons montré comment notre approche de corrélation d'alertes peut être améliorée en prenant en considération les informations contextuelles codées en logiques de description, notamment dans le contexte d'une détection coopérative d'intrusions. Enfin, nous avons proposé plusieurs mesures d'évaluation pour un multi-classifieurs Bayésiens naïfs. Ceci est très important pour l'évaluation de notre approche de corrélation d'alertes car elle utilise un ensemble de classifieurs Bayésiens naïfs pour surveiller plusieurs objectifs d'intrusion en même temps.In this thesis, we focus on modeling the problem of alert correlation based on probabilistic graphical models. Existing approaches either require a large amount of expert knowledge or use simple similarity measures which are not enough to detect coordinated attacks. We first proposed a new modeling for the alert correlation problem, based on naive Bayesian classifiers, which can learn the coordination between elementary attacks that contribute to the achievement of an attack scenario. Our model requires only a slight contribution of expert knowledge. It takes advantage of available data and provides efficient algorithms for detecting and predicting attacks scenario. Then we show how our alert correlation approach can be improved by taking into account contextual information encoded in description logics, particularly in the context of a cooperative intrusion detection. Finally, we proposed several evaluation measures for a naive Bayesian multi-classifiers. This is very important for evaluating our alert correlation approach because it uses a set of naive Bayesian classifiers to monitor multiple intrusion objectives simultaneously

Détection d'attaques élémentaires et coordonnées à base de réseaux Bayésiens naïfs

International audienc

False alert filtering and detection of high severe alerts using Naive Bayes

International audienc

Tree-Augmented Naïve Bayes for Alert Correlation

International audienc

Modèles graphiques probabilistes pour la corrélation d'alertes en détection d'intrusions

Dans cette thèse, nous nous intéressons à la modélisation du problème de la corrélation d'alertes à base de modèles graphiques probabilistes. Nous avons constaté que les approches existantes de corrélation d'alertes, soit se basent sur des connaissances explicites d'experts, soit utilisent des mesures de similarité simples qui ne permettent pas de détecter des scénarios d'attaque. Pour cela, nous avons d'abord proposé une nouvelle modélisation de la corrélation d'alertes, basée sur les classifieurs Bayésiens naïfs, qui permet d'apprendre les coordinations entre les attaques élémentaires qui contribuent à la réalisation d'un scénario d'attaque. Notre modélisation nécessite seulement une légère contribution des connaissances d'experts. Elle tire profit des données disponibles et fournit des algorithmes efficaces pour la détection et la prédiction des scénarios d'attaque. Ensuite, nous avons montré comment notre approche de corrélation d'alertes peut être améliorée en prenant en considération les informations contextuelles codées en logiques de description, notamment dans le contexte d'une détection coopérative d'intrusions. Enfin, nous avons proposé plusieurs mesures d'évaluation pour un multi-classifieurs Bayésiens naïfs. Ceci est très important pour l'évaluation de notre approche de corrélation d'alertes car elle utilise un ensemble de classifieurs Bayésiens naïfs pour surveiller plusieurs objectifs d'intrusion en même temps.In this thesis, we focus on modeling the problem of alert correlation based on probabilistic graphical models. Existing approaches either require a large amount of expert knowledge or use simple similarity measures which are not enough to detect coordinated attacks. We first proposed a new modeling for the alert correlation problem, based on naive Bayesian classifiers, which can learn the coordination between elementary attacks that contribute to the achievement of an attack scenario. Our model requires only a slight contribution of expert knowledge. It takes advantage of available data and provides efficient algorithms for detecting and predicting attacks scenario. Then we show how our alert correlation approach can be improved by taking into account contextual information encoded in description logics, particularly in the context of a cooperative intrusion detection. Finally, we proposed several evaluation measures for a naive Bayesian multi-classifiers. This is very important for evaluating our alert correlation approach because it uses a set of naive Bayesian classifiers to monitor multiple intrusion objectives simultaneously.ARRAS-Bib.electronique (620419901) / SudocSudocFranceF

Réseaux Bayésiens naïfs pour la détection des attaques coordonnées

18 pagesAlert correlation is a very useful mechanism to reduce the high volume of reported alerts and to detect complex and coordinated attacks. Existing approaches either require a large amount of expert knowledge or use simple similarity measures that prevent detecting complex attacks. They also suffer from high computational issues due, for instance, to a high number of possible scenarios. In this paper, we propose a naive bayes approach to alert correlation. Our modeling only needs a small part of expert knowledge. It takes advantage of available historical data, and provides efficient algorithms for detecting and predicting most plausible scenarios. Our approach is illustrated using the well known DARPA 2000 data set

De l'utilisation des logiques de description à la gestion d'incohérences en détection d'intrusion coopérative

National audienc