XM-Guards: A Blockchain-Based Collaborative Intrusion Detection Argumentation Framework For Decision-Making

Au cours des dernières années, les attaques de cybercriminels ont connu une augmentation significative, touchant des millions de personnes dans le monde entier. La pandémie de COVID-19 a aggravé le problème, conduisant à des attaques plus sophistiquées se propageant rapidement et affectant des organisations à l’échelle mondiale. Les systèmes de détection d’intrusion collaboratifs (CIDS) sont devenus essentiels dans la lutte contre les attaques cybernétiques. Cependant, avec la nature en constante évolution et la gravité croissante des attaques, des solutions de détection d’intrusion collaboratives plus avancées sont nécessaires. Ces nouvelles solutions introduisent des propriétés innovantes, telles que la prise en considération du niveau de confiance associé à chaque participant dans le processus de détection pour faire face au risque d’intrusion interne. Cette thèse propose une solution déployable de détection d’intrusion collaborative pour les réseaux de surveillance et de détection d’attaques dans les grandes entreprises. La solution se concentre sur l’incorporation de la confiance et de la logique d’argumentation pour lutter contre l’intrusion interne. La recherche commence par une étude approfondie des systèmes de détection existants dans les entreprises et un examen plus large des systèmes de détection d’intrusion collaboratifs. Sur la base de cette recherche, la topologie la plus appropriée pour la communication et la distribution des noeuds est déterminée et le réseau de détection d’intrusion est déployé en conséquence. Pour répondre à l’aspect « zéro confiance », un environnement répondant à cette exigence est identifié. La technologie de la blockchain, avec son architecture distribuée et ses fonctionnalités de traçabilité et de validation d’interaction, émerge comme une solution potentielle pour créer l’environnement nécessaire. En plus de l’infrastructure réseau, une procédure de partage de données et de prise de décision est conceptualisée et implémentée en utilisant la logique d’argumentation. Cette approche capture la complexité et la dynamique des événements multiples et de leurs relations, permettant une meilleure détection et réponse aux menaces cybernétiques. Grâce au cadre de détection d’intrusion collaborative mis en oeuvre, nous avons été en mesure de générer des arguments à partir de détections réelles, d’échanger ces arguments pour le processus d’argumentation, et de construire un graphe d’argumentation qui capture le processus de décision. À titre de travail future, nous proposons l’enrichissement des arguments avec des indicateurs d’attaque à plusieurs étapes. En incorporant des indicateurs supplémentaires et en utilisant des algorithmes d’apprentissage automatique, le système de détection peut améliorer encore sa capacité à identifier et à répondre à des attaques complexes et à plusieurs étapes, améliorant la posture globale de sécurité des grandes entreprises. Avec l’évolution continue des menaces cybernétiques, il est crucial de développer des solutions de détection d’intrusion collaboratives avancées qui tirent parti de la confiance, de la logique d’argumentation et des indicateurs enrichis pour faire face à la sophistication croissante des attaques. Cette recherche pose les bases d’une telle solution et présente des pistes prometteuses pour un développement et une amélioration ultérieurs dans le domaine de la détection d’intrusion collaborative.

Abstract

In recent years, cybercriminal attacks have significantly increased, affecting millions of individuals worldwide. Unfortunately, the COVID-19 pandemic has made the problem worse, spreading more sophisticated attacks and impacting organizations everywhere. To counteract these attacks, Collaborative Intrusion Detection Systems (CIDS) have become essential. However, with the evolving nature and increasing severity of attacks, more advanced collaborative intrusion detection solutions are necessary. These newer solutions introduce innovative features, such as taking into account the trust level associated with each participant in the detection process, to tackle the risk of internal intrusion. This thesis proposes a solution for detecting and preventing internal intrusions in large enterprises’ surveillance and attack detection networks. The solution is collaborative and deployable and incorporates trust and logic of argumentation aspects. The research includes a comprehensive study of existing company detection systems and a broader examination of collaborative intrusion detection systems. Based on this research, the most suitable topology for communication and distribution of nodes is determined, and the intrusion detection network is deployed accordingly. To address the aspect of zero trust, an environment that meets this requirement is identified. Blockchain technology emerges as a potential solution for creating such an environment with its distributed architecture and functionalities for traceability and interaction validation. Apart from the network infrastructure, we have also developed and implemented a datasharing and decision-making process that utilizes argumentative logic. By adopting this approach, we can capture the complexity and dynamism of multiple events and their relationships, leading to better detection and response to cyber threats. Our collaborative intrusion detection framework allows us to generate arguments from real-world detection alerts and use them in the argumentation process. This helps us to build an argumentation graph that captures the decision-making process, enabling us to respond more effectively to cyber threats. In future work, we propose to enrich arguments with multi-stage attack indicators. By incorporating additional indicators and utilizing machine learning algorithms, the detection system can further enhance its ability to identify and respond to complex and multi-stage attacks, improving the overall security posture of large enterprises. Given the continuous evolution of cyber threats, it is crucial to develop advanced collaborative intrusion detection solutions that leverage trust, argumentation logic, and enriched indicators to counter the growing sophistication of attacks effectively. This research lays the foundation for such a solution and presents promising avenues for further development and improvement in collaborative intrusion detection.