Modèle d'exploitation de flux d'événements complexes (CEP) par des patrons spatiotemporels agrégés dans un contexte de réseau de distribution énergétique

Mahdi, Khouloud

18 May 2018

Dans le domaine de l’internet des objets, nos recherches se sont focalisées sur l’étude des corrélations entre les données générées par des réseaux de capteurs. Ces données sont généralement collectées par des systèmes d’acquisition et se caractérisent par une grande vélocité et un fort volume. Les décideurs ont besoin d’outils permettant de détecter les situations d’intérêt au meilleur moment pour la prise de décision. Nous partons des travaux de doctorat de F.Barouni (2016) qui a proposé une extension du modèle et des outils de traitement d’événements complexes (CEP) pour répondre aux enjeux relatifs à la vélocité et au volume de ces données. Barouni a proposé une approche de représentation et de détection de patrons spatiotemporels pour représenter les situations d’intérêt. Notre but est de concevoir un outil destiné à gérer ces données et à fouiller des corrélations potentielles entre elles, en tenant compte des données contextuelles. Dans ce mémoire, nous proposons une approche théorique qui utilise les graphes conceptuels afin d’améliorer l’approche de Barouni en permettant de modéliser plusieurs types de relations spatiales. Dans ce contexte, nous avons proposé une extension des relations spatiales en tenant compte des éléments composant un réseau en lien avec l’espace géographique sous-jacent. En effet, notre modèle prend en compte, la représentation spatiale du réseau, la projection du réseau dans l’espace géographique sous-jacent et toutes les relations spatiales qui en découlent. Nous proposons aussi une extension au formalisme de représentation des patrons en ajoutant une structure du résumé et de contraintes du patron (graphes conceptuels) pour pouvoir modéliser des relations spatiales entre des patrons de complexité croissante. Nous avons développé un outil de détection de patrons en utilisant une approche de CEP itérative. Notre outil utilise plusieurs CEPs pour pouvoir détecter des patrons de différents degrés de complexité. Nous avons démontré la pertinence de notre approche par l’étude des événements de reconfiguration dans un réseau de distribution électrique. Notre approche est assez générique pour être applicable dans d’autres domaines d’application, tels que les réseaux de fibres optiques.

QA 76.05 UL 2018

Données spatio-temporelles

Traitement d'événements (Informatique)

Réseaux électriques intelligents

Détection de menaces internes par apprentissage automatique non supervisé

Bertrand, Simon

14 June 2023

Titre de l'écran-titre (visionné le 5 juin 2023) / Les menaces internes, ou en anglais Insider Threat, surviennent lorsqu'un individu ayant des accès privilégiés au sein d'une organisation les utilise d'une façon causant du tort à l'organisation. L'employé peut réaliser ces actions dangereuses de façon intentionnelle ou non intentionnelle. Les menaces internes sont très variées ce qui les rend particulièrement complexes à détecter. La confidentialité, l'intégrité et la disponibilité des données sont des préoccupations croissantes pour les organisations d'aujourd'hui. Malgré tout, l'étendue de l'impact des menaces internes est souvent sous-estimée. En effet, même si les menaces internes ne représentent qu'une fraction de toutes les cyberattaques, les dangers en lien avec les menaces internes sont réels. Dans un premier lieu, les attaques internes peuvent causer plus de dommages aux organisations que les attaques traditionnelles. Ceci s'explique en partie par la grande connaissance de l'organisation, ainsi que les accès privilégiés, qu'ont les employés réalisant ces attaques. Ces derniers sont donc en mesure de facilement perpétrer des actions dangereuses sans éveiller de soupçons. De plus, dans les dernières années, plusieurs études suggèrent que la majorité des organisations souffrent de menaces internes chaque année [2]. La détection de menaces internes est ainsi un problème pertinent qui attire beaucoup de chercheurs. Une des stratégies couramment utilisée pour faire la détection de menaces internes est de modéliser les comportements des employés d'une organisation et d'identifier toute divergence significative comme une menace potentielle. Pour ce faire, les journaux d'audit, décrivant tous les évènements réalisés par les membres d'une organisation dans le réseau informatique, sont des sources d'informations privilégiées dans le domaine pour apprendre les comportements typiques des utilisateurs. Dans ce mémoire, nous présentons deux solutions originales de détection de menaces internes utilisant des journaux d'audit et des techniques d'apprentissage automatique non supervisé afin d'apprendre les comportements utilisateur et détecter les comportements malicieux. Les deux solutions présentent des résultats compétitifs par rapport à l'état de l'art, et ce en offrant des caractéristiques qui facilitent leur implémentation dans de vraies organisations. / Insider threats occur when a privileged member of an organization wrong fully uses his access in a way that causes harm to his organization. Those damaging actions can be intentional, as in the case of theft or sabotage, however, un intentional dangerous actions are also to be considered, which adds to the complexity of the insider threat. The insider threat is a broad type of cyber menace, making its detection particularly difficult. For organizations, the confidentiality, integrity, and availability of their information are an increasing concern. Yet many under estimate the magnitude of the insider threats against the maintenance of those ideals. Indeed, even though insider threats are only a fraction of all existing cyber threats, this type of menace presents a real and unique danger for organizations. Firstly, an insider threat can be more damaging to an organization than a traditional cyberattack. This is mainly explicable by the privileged accesses and great domain knowledge that the insider possesses over an outsider. The insider has then a better opportunity to use his access and domain knowledge to carry out efficiently and quietly the attack. Moreover, over the last few years, some reports suggest that most institutions yearly suffer from that kind of cyber threat [2]. Insider threat detection is therefore a relevant problem that attracted many researchers to deploy their efforts in the last decades. One common strategy to detect malicious insiders is by modeling the behaviors of the users and identifying any significant divergence as a potential threat. In that matter, audit data, describing the activity of every member of an organization in the network, are regularly chosen to learn user behaviors using statistical or machine learning models. In the present work, we propose two insider threat detection systems that leverage audit data to learn user behaviors and detect divergent conduct in an unsupervised fashion. Both solutions are competitive with state-of-the-art techniques, and were developed considering many challenges in the field, like being easy to implement in a real-world scenario and considering events dependencies.

Surveillance des menaces informatiques.

Sécurité informatique -- Audit.

Apprentissage automatique.

Traitement d'événements (Informatique)