Détection d’attaques par analyse de métriques dans les graphes complexes dynamiques

Christophe Bobineau
Calendar
When:
01/02/2023 – 02/02/2023 all-day
2023-02-01T01:00:00+01:00
2023-02-02T01:00:00+01:00
theses

Offre en lien avec l’Action/le Réseau : – — –/– — –

Laboratoire/Entreprise : Laboratoire de recherche de l’EPITA (LRE)
Durée : 36 mois
Contact : mark.angoustures@epita.fr
Date limite de publication : 2023-02-01

Contexte :
Les menaces persistantes avancées sont difficiles à détecter en raison de leurs schémas d’attaque en plusieurs étapes s’accompagnant de phases lentes et rapides.
Ces types d’attaques impliquent généralement des moyens de persistances d’accès et des mouvements latéraux vers d’autres environnements.
Détecter une campagne d’APT revient à identifier des patterns d’attaques dans des données de natures très hétérogènes, sur différentes échelles temporelles.
Diverses techniques ont été récemment mises au point pour représenter ces patterns, notamment la représentation des interconnexions entre les noeuds du système d’information sous forme de graphes.
Différentes métriques et centralités de graphes sont sujettes à une corrélation des différentes phases des APT.

Sujet :
L’objectif de la thèse est de proposer une méthode de détection des menaces persistances avancées basées sur des réseaux complexes statiques et dynamiques. La thèse mesurera l’impact et la corrélation entre différentes métriques de réseaux complexes (centralités, dynamique temporelle, etc.) et les phases d’attaques des APT. Le deuxième objectif de la thèse sera d’établir une méthode pour prédire une phase d’attaque par des calcul de métriques et de centralités. La piste des Graph Neural Networks (GNN) pour apprendre et prédire ces métriques et centralités dans les réseaux complexes sera étudiée.

* Axe 1 :
La première approche de la thèse consistera à évaluer les méthodes de détection d’APT. Cette première étape permettra d’identifier les problématiques liées à ces méthodes.
Ensuite la thèse visera à construire une représentation des données sous forme de graphes statiques et dynamiques. Cette représentation devra prendre en compte les propriétés liées aux phases d’APT. L’état de l’art de la thèse incorpora des différentes représentations existantes en graphes liées à la sécurité.
* Axe 2 :
La thèse abordera la mesure entre différentes centralités dynamique et statiques (closeness, betweenness, eigenvector…) sur les réseaux complexes des données contenant les attaques.
Au début, Il s’agira de se concentrer sur une ou deux métriques et attaques pour pouvoir produire une publication et du code associé dans la première année de thèse.
* Axe 3 :
Enfin, la thèse visera à proposer une méthode pour approximer ces centralités pertinentes selon les différentes attaques. Au vu de la forte volumétrie et haute intensité des données, les modèles basées sur les réseaux de neurones sur les graphes peuvent être une piste à envisager pour approximer les différentes valeurs de centralités. Cette approche sera comparée à d’autres pistes d’approximation algorithmique de métriques de graphes. L’objectif est d’optimiser la qualité de la détection et le compromis temps vs précision.

Profil du candidat :
Le candidat a une formation initiale (ingénieur ou master universitaire) en informatique avec une spécialisation dans le domaine de la cybersécurité.
Idéalement, le candidat à des connaissances en l’apprentissage automatique et idéalement de bonnes notions de graphes.
La maîtrise d’un langage de programmation est indispensable.

Formation et compétences requises :
cf ‘Profil du candidat’

Adresse d’emploi :
14-16 Rue Voltaire, 94270 Le Kremlin-Bicêtre

Document attaché : 202211281059_Detection_dattaque_par_graphe.pdf