L’Ecole doctorale : Sciences et Technologies de l’Information et de la Communication et le Laboratoire de recherche SAMOVAR – Services répartis, Architectures, MOdélisation, Validation, Administration des Réseaux
présentent
l’AVIS DE SOUTENANCE de Madame Pamela CARVALLO
Autorisée à présenter ses travaux en vue de l’obtention du Doctorat de l’Université Paris-Saclay, préparé à Télécom SudParis en Informatique
« Sécurité dans le cloud : Framework de détection de menaces internes basé sur l’analyse d’anomalies »
LUNDI 17 decembre 2018 à 10h30
à Télécom SudParis Salle C004
9 Rue Charles Fourier, 91000 Évry
Membres du jury :
M. Stéphane MAAG, Professeur, Télécom SudParis, FRANCE | Directeur de thèse |
Mme Natalia KUSHIK, Maître de Conférences, Télécom SudParis, FRANCE | Examinatrice |
Mme Ana CAVALLI, Professeure Emérite, Télécom SudParis, FRANCE | Examinatrice |
M. Wissam MALLOULI, Ingénieur de Recherche, Montimage, FRANCE | Examinateur |
M. Pascal POIZAT, Professeur, LIP6, FRANCE | Examinateur |
M. Abdelhamid MELLOUK, Professeur, Université de Créteil, FRANCE | Examinateur |
Mme Hélène WAESELYNCK, Directrice de Recherche, LAAS, FRANCE | Rapporteur |
Mme Norah CUPPENS, Directrice de Recherche, IMT Atlantique, FRANCE | Rapporteur |
Résumé :
Le Cloud Computing (CC) ouvre de nouvelles possibilités pour des services plus flexibles et efficaces pour les clients de services en nuage (CSC). Cependant, la migration vers le cloud suscite aussi une série de problèmes, notamment le fait que, ce qui autrefois était un domaine privé pour les CSC, est désormais géré par un tiers, et donc soumis à ses politiques de sécurité. Par conséquent, la disponibilité, la confidentialité et l’intégrité des CSC doivent être assurées. Malgré l’existence de mécanismes de protection, tels que le cryptage, la surveillance de ces propriétés devient nécessaire. De plus, de nouvelles menaces apparaissent chaque jour, ce qui exige de nouvelles techniques de détection plus efficaces. Les travaux présentés dans ce document vont au-delà du simple l’état de l’art, en traitant la menace interne malveillante, une des menaces les moins étudiées du CC. Ceci s’explique principalement par les obstacles organisationnels et juridiques de l’industrie, et donc au manque de jeux de données appropriés pour la détecter. Nous abordons cette question en présentant deux contributions principales. Premièrement, nous proposons la dérivation d’une méthodologie extensible pour modéliser le comportement d’un utilisateur dans une entreprise. Cette abstraction d’un employé inclut des facteurs intra-psychologiques ainsi que des informations contextuelles, et s’inspire d’une approche basée sur les rôles. Les comportements suivent une procédure probabiliste, où les motivations malveillantes devraient se produire selon une probabilité donnée dans la durée. La contribution principale de ce travail consiste à concevoir et à mettre en œuvre un cadre de détection basé sur les anomalies pour la menace susmentionnée. Cette implémentation s’enrichit en comparant deux points différents de capture de données : une vue basée sur le profil du réseau local de la entreprise, et une point de vue du cloud qui analyse les données des services avec lesquels les clients interagissent. Cela permet au processus d’apprentissage des anomalies de bénéficier de deux perspectives: (1) l’étude du trafic réel et du trafic simulé en ce qui concerne l’interaction du service de cloud computing, de manière de caractériser les anomalies; et (2) l’analyse du service cloud afin d’ajouter des statistiques prenant en compte la caractérisation globale du comportement. La conception de ce cadre a permis de détecter de manière empirique un ensemble plus large d’anomalies de l’interaction d’une entreprise donnée avec le cloud. Cela est possible en raison de la nature reproductible et extensible du modèle. En outre, le modèle de détection proposé profite d’une technique d’apprentissage automatique en mode cluster, en suivant un algorithme adaptatif non supervisé capable de caractériser les comportements en évolution des utilisateurs envers les actifs du cloud. La solution s’attaque efficacement à la détection des anomalies en affichant des niveaux élevés de performances de clustering, tout en conservant un FPR (Low Positive Rate) faible, garantissant ainsi les performances de détection pour les scénarios de menace lorsque celle-ci provient de la entreprise elle-même.
Abstract :
Cloud Computing (CC) opens new possibilities for more flexible and efficient services for Cloud Service Clients (CSCs). However, one of the main issues while migrating to the cloud is that what once was a private domain for CSCs, now is handled by a third-party, hence subject to their security policies. Therefore, CSCs’ confidentiality, integrity, and availability (CIA) should be ensured. In spite of the existence of protection mechanisms, such as encryption, the monitoring of the CIA properties becomes necessary. Additionally, new threats emerge every day, requiring more efficient detection techniques. The work presented in this document goes beyond the state of the art by treating the malicious insider threat, one of the least studied threats in CC. This is mainly due to the organizational and legal barriers from the industry, and therefore the lack of appropriate datasets for detecting it. We tackle this matter by addressing two challenges. First, the derivation of an extensible methodology for modeling the behavior of a user in a company. This abstraction of an employee includes intra psychological factors, contextual information and is based on a role-based approach. The behaviors follow a probabilistic procedure, where the malevolent motivations are considered to occur with a given probability in time. The main contribution, a design and implementation of an anomaly-based detection framework for the aforementioned threat. This implementation enriches itself by comparing two different observation points: a profile-based view from the local network of the company, and a cloud-end view that analyses data from the services with whom the clients interact. This allows the learning process of anomalies to benefit from two perspectives: (1) the study of both real and simulated traffic with respect to the cloud service’s interaction, in favor of the characterization of anomalies; and (2) the analysis of the cloud service in order to aggregate data statistics that support the overall behavior characterization. The design of this framework empirically shows to detect a broader set of anomalies of the company’s interaction with the cloud. This is possible due to the replicable and extensible nature of the mentioned insider model. Also, the proposed detection model takes advantage of the autonomic nature of a clustering machine learning technique, following an unsupervised, adaptive algorithm capable of characterizing the evolving behaviors of the users towards cloud assets. The solution efficiently tackles the detection of anomalies by showing high levels of clustering performance, while keeping a low False Positive Rate (FPR), ensuring the detection performance for threat scenarios where the threat comes from inside the enterprise.