L’Ecole doctorale : Ecole Doctorale de l’Institut Polytechnique de Paris

et le Laboratoire de recherche SAMOVAR – Services répartis, Architectures, Modélisation, Validation, Administration des Réseaux

présentent

l’AVIS DE SOUTENANCE de Monsieur Hamdi FRIJI

Autorisé à présenter ses travaux en vue de l’obtention du Doctorat de l’Institut Polytechnique de Paris, préparé à Télécom SudParis en :

Informatique

« Détection d’intrusion basée sur les Graph Neural Networks pour la sécurisation des réseaux en périphérie »

le MARDI 10 DéCEMBRE 2024 à 14h00

à

Amphithéâtre 03
19 place Marguerite Perey – 91120 PALAISEAU
et sur le lien zoom:
https://telecom-paris.zoom.us/j/93441814530?pwd=Mqb8aFD3v1X2B9a1VA5tqITxntj0tu.1
ID de réunion: 934 4181 4530
Code secret: 361629

Membres du jury :

M. Frédéric LEHMANN, Full professor, Institut Polytechnique de Paris , FRANCE – Directeur de these
M. Erol GELENBE, Full professor, Institute of Theoretical and Applied Informatics, Polish Academy of Sciences, POLOGNE – Rapporteur
M. Imed ROMDHANI, Associate Professor, Edinburgh Napier University, ROYAUME-UNI – Rapporteur
M. Fabrice ROSSI, Full professor, Université Paris Dauphine, FRANCE – Rapporteur
M. Pierre-Francois GIMENEZ, Docteur, INRIA, FRANCE – Examinateur
M. Maxime LABONNE, Docteur, Liquid AI, ETATS-UNIS – Examinateur
Mme Mireille SARKISS, Maître de conférences, Institut Polytechnique de Paris, FRANCE – Co-encadrant de these
M. Rida KHATOUN, Full professor, Institut Polytechnique de Paris, FRANCE – Examinateur

Invité :

M. Alexis OLIVEREAU, Ingénieur de Recherche, CEA-LIST, Encadrant de thèse

« Détection d’intrusion basée sur les Graph Neural Networks pour la sécurisation des réseaux en périphérie »

présenté par Monsieur Hamdi FRIJI

Résumé :

Face à l’escalade de la complexité et à la fréquence des cyberattaques, cette thèse propose des approches innovantes pour la détection d’intrusion dans les réseaux, en exploitant les capacités avancées des réseaux de neurones en graphe (Graph Neural Networks, GNNs) et de nouvelles représentations sous forme de graphes. Nous commençons par une analyse critique des jeux de données et des représentations de réseaux actuels, en abordant des questions clés sur leur efficacité. Nous introduisons une nouvelle représentation des flux de communication sous forme de graphes, offrant une plus grande robustesse face aux manipulations de type attaques adversariales (adversarial attacks). Nous présentons ensuite l’un des premiers systèmes de détection d’intrusion utilisant notre représentation en graphe basée sur les GNNs. Ce système permet d’évaluer les comportements malveillants en capturant des motifs complexes souvent ignorés par les méthodes traditionnelles. Les résultats montrent que notre approche surpasse largement les solutions existantes basées sur l’apprentissage automatique et les GNNs en termes de précision et de robustesse. Pour relever les défis de la scalabilité et de l’efficacité dans les environnements à grande échelle, nous introduisons G-DEMIS (« Graph-based DEcentralized Multi-agent Intrusion detection System »), un système multi-agent décentralisé exploitant les GNNs pour une détection rapide des activités malveillantes. En agrégeant les informations locales à travers le réseau, G-DEMIS améliore la détection en temps réel tout en réduisant la consommation d’énergie de 58 % et le temps de réponse de 17,13 % par rapport aux approches centralisées. Enfin, nous proposons un algorithme innovant pour tracer les chemins de propagation des attaques, aidant à identifier les machines compromises dans le contexte des menaces persistantes avancées. Les travaux de cette thèse permettent non seulement de faire progresser l’état de l’art en matière de détection d’intrusions, mais ouvrent également la voie à de nouvelles avancées en cybersécurité.

Abstract :

In light of the escalating complexity and frequency of cyberattacks, this thesis presents innovative approachs to network intrusion detection that leverages the advanced capabilities of Graph Neural Networks (GNNs) and novel graph-based representations. To lay the foundation for our research, we first conduct a critical review of existing intrusion detection datasets and network representations, focusing on their effectiveness in addressing key research challenges. This thesis presents our insights and analysis of two widely used datasets: ToN IoT and CICIDS 2017, highlighting their strengths and limitations. Our approach introduces a new flow-based graph representation of communication flows, which enhances existing solutions by increasing robustness against adversarial attacks. First, we present one of the pioneering GNN-based intrusion detection systems, which utilizes our graph representation and GNN algorithms to compute maliciousness scores. This system captures complex relational patterns that traditional methods often overlook. Our findings demonstrate that this framework significantly outperforms the current state-of-the-art machine learning and GNN-based solutions in terms of both accuracy and robustness. Additionally, we propose a three-stage intrusion detection system inspired by the Lockheed Martin cyber kill chain, designed to detect advanced multi-step attacks. This system achieved an average F1-score of 94% on the ToN IoT dataset, surpassing traditional random forest models and demonstrating its effectiveness for real-world applications. To address scalability and efficiency challenges in large-scale environments, we introduce G-DEMIS, a Graph-based DEcentralized Multi-agent Intrusion detection System that enhances the use of GNNs for a fast detection of malicious activities. G-DEMIS employs a collaborative approach in which multiple agents monitor different network segments, aggregating local graph information to form a comprehensive view of the network. This framework not only enhances real-time detection capabilities but also reduces energy consumption by 58.08% and detection time by 17.13% compared to centralized models. Finally, we tackle the challenge of defending against Advanced Persistent Threats (APTs) by proposing a novel algorithm for reconstructing attack propagation paths. This algorithm assists engineers in identifying compromised machines following an APT attack by detecting and analyzing anomalous behaviors in the network, tracing the progression of the attack, and providing a detailed understanding of the attack paths. This thesis not only advances the current state of intrusion detection but also lays the foundation for future innovations in cybersecurity.