• Thèse soutenue le :
  • 2008-12-04
  • Salle des thèses

Résumé

Cette thèse a pour objectif le traitement de deux problèmes importants : représentation des préférences avec application à la corrélation d’alertes et raisonnement sous incertitude avec application à la détection d’intrusions. Dans un premier temps, nous nous sommes intéressés à la représentation des préférences dans un cadre logique. Nos travaux se sont focalisés sur des extensions de la logique du choix qualitatif (QCL) pour représenter des préférences complexes. Notre objectif est de proposer de nouvelles logiques afin de remédier aux limites de QCL et de pouvoir représenter différents types de préférences telles que les préférences prioritaires et les préférences positives. Par ailleurs, cette thèse vise aussi à résoudre le problème de la corrélation d’alertes qui consiste à réduire les grandes quantités d’alertes générées par les systèmes de détection d’intrusions (IDSs) en proposant une approche qui permet d’intégrer les connaissances et les préférences d’un administrateur au sujet des alertes qu’il préfère analyser ou ignorer. L’idée consiste à coder les connaissances et les préférences exprimées dans le cadre de l’une des logiques que nous avons proposées et de présenter à l’administrateur uniquement les alertes préférées. Dans un second temps, nous nous sommes intéressés au problème de la détection d’intrusions qui relève de la sécurité des systèmes d’informations. Notre objectif est de détecter des attaques réseaux présentées dans des connexions finies ou dans des connexions non finies. Ainsi, nous avons proposé de modéliser ce problème par un modèle graphique probabiliste. Pour cela, nous avons défini un jeu d’attributs permettant de décrire les données réseaux et de distinguer un trafic normal d’un trafic intrusif. Nous avons développé un outil de formatage pour extraire les attributs définis et transformer les données réseaux brutes en données formatées. Notre outil permet de structurer les données réseaux en connexions finies (complètes) et connexions non finies (incomplètes). Ces connexions sont utilisées pour la détection en différé et/ou en temps réel des attaques.

Mots clés : représentation des préférences, corrélation d’alertes, détection d’intrusions, réseaux Bayésiens, classification.

Composition du jury

  • Philippe LERAY, professeur des universités Polytech’Nantes
  • Stéphane LOISEAU, professeur des universités (Université d’Angers)
  • Salem BENFERHAT, professeur des universités (Université d’Artois)
  • Gilles GONCALVES, professeur des universités (Université d’Artois, LGI2A-Béthune)
  • Benjamin MORIN, Ingénieur de recherche (Supelec Rennes)
  • Lakhdar SAIS, professeur des universités (Université d’Artois, CRIL-LENS)