Métriques pour la mesure de distance entre graphes pour la détection de comportement anormaux en cybersécurité

Christophe Bobineau
Calendar
When:
30/04/2020 – 01/05/2020 all-day
2020-04-30T02:00:00+02:00
2020-05-01T02:00:00+02:00
theses

Annonce en lien avec l’Action/le Réseau : aucun

Laboratoire/Entreprise : Laboratoire ICube – Université de Strasbourg
Durée : 36 mois
Contact : pierre.parrend@unistra.fr
Date limite de publication : 2020-04-30

Contexte :
Les comportements des systèmes, des services et des utilisateurs peuvent être
analysés par des modèles dits UEBA: User and Event Behaviour Analytics. Cette
approche permet de détecter pour chaque entité d’un ecosystème d’information les
variations brutales ou progressives de comportements révélatrices d’actions
malveillantes menées par un utilisateur ou un logiciel.

Sujet :
Les modèles de graphes de scénarios d’anomalie (ASG, Anomaly Scenario Graphs) sont particulièrment pertinents pour définir ces modèles UEBA. Ils permettent de représenter le comportement d’une instance (Concrete Anomaly Scenario Graphs) ou un comportement générique, abstrait (Abstract Anomaly Scenario Graphs). S’ils sont bien définis(1), ces modèles nécessitent d’être enrichis par des outils d’analyse permettant la détection de comportements anormaux.

Cette thèse proposera donc un ensemble de métriques de distance entre graphes, et évaluera leur impact sur la capacité de détection des ASGs. Elle se fondera sur une étude de la litérature théorique sur le sujet (Stream Graphs, Graph mining, etc.). Elle pourra exploiter les outils d’analyse tels que les réseaux de neurones à graphes (GNN, Graph Neural Networks), entre autres, comme support d’évaluation.

(1) Modelization and Identification of Multi-step Cyberattacks in Sets of Events, J. Navarro, PhD Thesis, 2019
(2) Stream Graphs and Link Streams for the Modeling of Interactions over Time, M. Latapy, T. Viard, C. Magnien

Profil du candidat :
Les compétences dans un des domaines suivants sont un critère de sélection important pour ce projet de thèse:
– Soit: théorie des graphes; statistiques
– Soit: cybersécurité.

Des connaissances théoriques ainsi qu’une première expérience pratique sont attendues.

Les compétences rédactionnelles en anglais (et pour les candidats dont c’est la langue maternelle en français) sont très importantes pour la réussite d’une thèse de doctorat en informatique.

Formation et compétences requises :
Bac+5 en informatique, majeure Sécurité ou Intelligence Artificielle/Science des données. Très bon classement attendu.

Adresse d’emploi :
Laboratoire ICube, équipe CSTB, 11, Rue Humann, 67000 Strasbourg.

Document attaché :