Simulation réaliste d'utilisateurs pour les systèmes d'information en Cyber Range

International audienceGenerating user activity is a key capability for both evaluating security monitoring tools as well as improving the credibility of attacker analysis platforms (e.g., honeynets). In this paper, to generate this activity, we instrument each machine by means of an external agent. This agent combines both deterministic and deep learning based methods to adapt to different environment (e.g., multiple OS, software versions, etc.), while maintaining high performances. We also propose conditional text generation models to facilitate the creation of conversations and documents to accelerate the definition of coherent, system-wide, life scenarios.La génération d'activité utilisateur est un élément-clé autant pour la qualification des produits de supervision de sécurité que pour la crédibilité des environnements d'analyse de l'attaquant. Ce travail aborde la génération automatique d'une telle activité en instrumentant chaque poste utilisateur à l'aide d'un agent externe; lequel combine des méthodes déterministes et d'apprentissage profond, qui le rendent adaptable à différents environnements, sans pour autant dégrader ses performances. La préparation de scénarios de vie cohérents à l'échelle du SI est assistée par des modèles de génération de conversations et de documents crédible

Simulation réaliste d'utilisateurs pour les systèmes d'information en Cyber Range

International audienceGenerating user activity is a key capability for both evaluating security monitoring tools as well as improving the credibility of attacker analysis platforms (e.g., honeynets). In this paper, to generate this activity, we instrument each machine by means of an external agent. This agent combines both deterministic and deep learning based methods to adapt to different environment (e.g., multiple OS, software versions, etc.), while maintaining high performances. We also propose conditional text generation models to facilitate the creation of conversations and documents to accelerate the definition of coherent, system-wide, life scenarios.La génération d'activité utilisateur est un élément-clé autant pour la qualification des produits de supervision de sécurité que pour la crédibilité des environnements d'analyse de l'attaquant. Ce travail aborde la génération automatique d'une telle activité en instrumentant chaque poste utilisateur à l'aide d'un agent externe; lequel combine des méthodes déterministes et d'apprentissage profond, qui le rendent adaptable à différents environnements, sans pour autant dégrader ses performances. La préparation de scénarios de vie cohérents à l'échelle du SI est assistée par des modèles de génération de conversations et de documents crédible

Génération et évaluation de mécanismes de détection des intrusions au niveau applicatif

La plupart des mécanismes de détection des anomalies au niveau applicatif reposent sur la détection de la déviation du flot de contrôle d'un programme. Bien souvent, pour détecter cela, le mécanisme repose sur les séquences d'appels système des applications. Cependant, ces méthodes ne permettent pas de détecter les attaques par imitation ou bien les attaques qui modifient les paramètres des appels système. De telles attaques peuvent être réalisées en ciblant les données de calcul utilisées par les processus. Pour compléter ces mécanismes de détection, nous proposons une approche pour détecter la corruption de données de calcul qui influencent l'exécution des appels système. Cette approche repose sur la construction d'un modèle de comportement orienté autour des données et construit par analyse statique du code source. Nous avons implémenté notre approche pour les programmes écrits en langage C. Cette implémentation est utilisée pour illustrer la faisabilité de notre approche sur plusieurs exemples. Pour évaluer plus en détails notre mécanisme de détection, nous proposons aussi une approche pour la simulation d'attaques contre les données de calcul. Cette approche repose sur un modèle de faute qui reproduit l'état interne d'une application après ce type d'attaque. Nous avons implémenté une plateforme d'évaluation en combinant notre modèle de faute avec un mécanisme d'injection en mémoire. Cette plateforme est utilisée pour réaliser une campagne d'injections sur deux exemples afin d'évaluer les capacitées de détection de notre modèle orienté autour des données.La plupart des mécanismes de détection des anomalies au niveau applicatif reposent sur la détection de la déviation du flot de contrôle d'un programme. Bien souvent, pour détecter cela, le mécanisme repose sur les séquences d'appels système des applications. Cependant, ces méthodes ne permettent pas de détecter les attaques par imitation ou bien les attaques qui modifient les paramètres des appels système. De telles attaques peuvent être réalisées en ciblant les données de calcul utilisées par les processus. Pour compléter ces mécanismes de détection, nous proposons une approche pour détecter la corruption de données de calcul qui influencent l'exécution des appels système. Cette approche repose sur la construction d'un modèle de comportement orienté autour des données et construit par analyse statique du code source. Nous avons implémenté notre approche pour les programmes écrits en langage C. Cette implémentation est utilisée pour illustrer la faisabilité de notre approche sur plusieurs exemples. Pour évaluer plus en détails notre mécanisme de détection, nous proposons aussi une approche pour la simulation d'attaques contre les données de calcul. Cette approche repose sur un modèle de faute qui reproduit l'état interne d'une application après ce type d'attaque. Nous avons implémenté une plateforme d'évaluation en combinant notre modèle de faute avec un mécanisme d'injection en mémoire. Cette plateforme est utilisée pour réaliser une campagne d'injections sur deux exemples afin d'évaluer les capacitées de détection de notre modèle orienté autour des données.RENNES1-BU Sciences Philo (352382102) / SudocSudocFranceF

Detecting APT through graph anomaly detection

International audienceDespite fruitful achievements made by unsupervised machine learning-based anomaly detection for network intrusion detection systems, they are still prone to the issue of high false alarm rates, and it is still difficult to reach very high recalls. In 2020, Leichtnam et al. proposed Sec2graph, an unsupervised approach applied to security objects graphs that exhibited interesting results on single-step attacks. The graph representation and the embedding allowed for better detection since it creates qualitative features. In this paper, we present new experiments to assess the performances of this approach for detecting APT attacks. We achieve better detection performances than the original work's baseline detection methods on the DAPT2020 dataset. This work is realised in the context of the Ph.D. thesis of Maxime Lanvin, which started in October 2021

Detecting APT through graph anomaly detection

International audienceDespite fruitful achievements made by unsupervised machine learning-based anomaly detection for network intrusion detection systems, they are still prone to the issue of high false alarm rates, and it is still difficult to reach very high recalls. In 2020, Leichtnam et al. proposed Sec2graph, an unsupervised approach applied to security objects graphs that exhibited interesting results on single-step attacks. The graph representation and the embedding allowed for better detection since it creates qualitative features. In this paper, we present new experiments to assess the performances of this approach for detecting APT attacks. We achieve better detection performances than the original work's baseline detection methods on the DAPT2020 dataset. This work is realised in the context of the Ph.D. thesis of Maxime Lanvin, which started in October 2021

Detecting APT through graph anomaly detection

International audienceDespite fruitful achievements made by unsupervised machine learning-based anomaly detection for network intrusion detection systems, they are still prone to the issue of high false alarm rates, and it is still difficult to reach very high recalls. In 2020, Leichtnam et al. proposed Sec2graph, an unsupervised approach applied to security objects graphs that exhibited interesting results on single-step attacks. The graph representation and the embedding allowed for better detection since it creates qualitative features. In this paper, we present new experiments to assess the performances of this approach for detecting APT attacks. We achieve better detection performances than the original work's baseline detection methods on the DAPT2020 dataset. This work is realised in the context of the Ph.D. thesis of Maxime Lanvin, which started in October 2021