• Thèse soutenue le :
  • 2015-06-28

Nous proposons dans cette thèse une modélisation du processus de corrélation d’alertes avec une nouvelle logique de préférences, appelée IFO-QCL (pour Instanciated First Order Qualitative Choice Logic). Le processus de corrélation d’alertes modélisé prend en entrée un ensemble d’alertes, générées par les systèmes de détection d’intrusions (IDS), ainsi que les connaissances et les préférences d’un opérateur de sécurité sous forme de bases de connaissances/préférences, codées en logique IFO-QCL. En sortie, un sous-ensemble d’alertes jugées les plus pertinentes sont transmises à l’opérateur de sécurité.Dans la pratique, les alertes fournies par les IDS ne renseignent pas tous les attributs exprimés par l’opérateur de sécurité dans ses bases de connaissances/préférences. Afin de pouvoir classer ce type d’alertes et leur attribuer un degré de satisfaction, nous avons proposé deux méthodes duales pour traiter le manque d’information. La première consiste en la complétion des alertes dites partielles et la deuxième méthode consiste à modifier les formules des bases de connaissances/préférences, afin de se focaliser uniquement sur les attributs présents dans les alertes.Nous avons proposé un algorithme polynomial qui permet d’attribuer un degré de satisfaction, basé sur la logique IFO-QCL, aux alertes et de retourner un sous-ensemble d’alertes préférées.Des études expérimentales ont été effectuées sur une base d’alertes réelles qui montrent l’efficacité de notre modèle de corrélation d’alertes.