About this Event
Atelier animé par Corentin Laroche, Telecom Paris.
Les journaux d’événements constituent un historique des activités menées sur l’ensemble des machines d’un parc informatique. Ils présentent ainsi deux caractéristiques principales : d’une part, ils offrent une grande visibilité sur l’état présent et passé du réseau, ce qui est particulièrement intéressant dans le cadre de la détection d’intrusion. D’autre part, leur volume est considérable, ce qui rend leur exploitation ardue. Dans cet atelier, nous étudierons l’utilisation d’algorithmes de détection d’anomalies dans le but de faciliter la détection d’activité malveillante dans des journaux d’événements. Nous nous focaliserons sur la nature particulière de ces journaux et ce qu’elle implique en termes de modélisation : en effet, les événements n’étant pas des données numériques ou vectorielles, leur analyse repose sur des concepts de statistique discrète et combinatoire.
Au programme:
Introduction : journaux d’événements, intrusions, détection
Formalisation du problème et lien avec la détection d’anomalies
– Première approche : agrégation et conversion en données vectorielles
– Deuxième approche : agrégation et représentation par des graphes
– Troisième approche : graphe utilisateur-hôte global
– Quatrième approche : modèle combinatoire d’ordre supérieur
Conclusion : de l’importance de la représentation des données
Jeux de données : journaux d'événements de 12000 utilisateurs sur 13 jours soit 27 millions d'événements dont environ 500 correspondent à des attaques
Recherche liée : Multi-Dimensional Anomalous Entity Detection via Poisson Tensor Factorization, par Eren, Moore et Alexandrov
https://mdsoar.org/handle/11603/20287
Event Venue & Nearby Stays
datacraft, 4 place Jussieu, Paris, France
GBP 0.00