Advancing Network Intrusion Detection : Datasets, Testbeds, Alert Explanations, and False Positives Reduction

Avancées en détection d'intrusion réseau : jeux de données, bancs d'essai, explications des alertes et réduction des faux positifs Les systèmes de détection d'intrusion (IDS) permettent de détecter les cyberattaques et d'y réagir.Ils réalisent la détection soit au niveau du réseau, soit au niveau des machines hôtes.Les IDS ont progressivement intégré de l'apprentissage automatique (ML) pour réaliser la détection.Ces outils génèrent une grande quantité de fausses alertes et lorsque les IDS utilisent du ML les alertes peuvent être difficiles à comprendre à cause du manque de transparence de certains modèles.L'évaluation des performances des IDS est complexe et repose sur des jeux de données, notamment fournis par la communauté académique.Au cours des travaux présentés dans cette thèse, de multiples défauts ont été relevés dans les jeux de données de référence existants qui sont utilisés pour l'élaboration et l'évaluation des IDS.L'identification et la correction des problèmes identifiés et l'évaluation de leur impact constitue la première contribution.Face à l'ampleur des problèmes identifiés et étant donné le peu d'alternatives satisfaisantes disponibles, nous avons produit un nouveau jeu de données (miniDEDALE) pour la détection d'intrusion en améliorant en profondeur la plateforme SOCBED qui fournit un système d'information virtualisé. Cela constitue une deuxième contribution.Les problèmes identifiés dans le jeu de données CICIDS2017 n'avaient pas été repérés, ce qui peut s'expliquer par le manque de transparence du fonctionnement des IDS.Pour pallier ce manque, une dernière contribution est la méthode AE-pvalues permettant d'expliquer les alertes levées par les IDS utilisant un auto-encodeur comme modèle de ML pour la détection.Ces explications permettent aux analystes de cerner rapidement les caractéristiques réseau qui sont anormales et permettent de démarrer plus facilement l'investigation.Enfin une étude est proposée concernant l'utilisation des explications pour réduire le nombre de fausses alertes automatiquement.