Proposition d'approche pour la détection de menace interne

La menace interne est devenue récemment un sujet très abordé en cybersécurité suite aux différents incidents survenus dans de nombreuses entreprises. Les conséquences de cette menace pèsent aussi lourd que tout autre danger informatique. C'est pourquoi les industriels et les académiques s'y sont intéressés. Plusieurs solutions ont vu le jour sur le marché pour atténuer le risque et de multiples travaux de recherche ont été conduits pour répondre à cette problématique. Dans ce mémoire de maitrise, nous proposons une approche pour aider une grande entreprise à automatiser la détection de comportements malveillants dans un contexte de menace interne tout en réduisant le taux de faux positifs. La première étape consistait à comprendre le programme de gestion des incidents de menace interne chez l'entreprise afin d'apporter des améliorations compatibles avec l'existant. Par la suite, nous avons fait appel aux graphes de convolution - GCN - afin de proposer un modèle qui évolue sur les attributs et le contexte des utilisateurs dans le réseau. Pour inclure le contexte de travail des usagers dans le graphe qu'on passe à notre GCN, nous avons eu à explorer plusieurs modélisations possibles basées sur les relations hiérarchiques et d'affaires qui relient les employés de l'entreprise. Chaque relation choisie impliquait un graphe différent. En plus, les relations étaient équivalentes et ne démontraient pas le niveau de voisinage entre les employés dans l'entreprise. Finalement, nous avons réussi à transformer l'ensemble des relations en une seule par le biais de Node2vec, qui à partir du graphe de l'oganisation associe un vecteur à chaque noeud. Nous avons obtenu des résultats divers que nous avons comparés aux modèles supervisés d'apprentissage machine. La dernière phase de nos travaux de recherche consistait en la création d'une ontologie ou une base de connaissances suite aux défis rencontrés lors de la collection des évènements produits par un usager en particulier sur les différents systèmes déployés dans le réseau de l'entreprise. Dans l'objectif d'améliorer nos résultats, nous proposons de construire un nouveau jeu de données pour entrainer les différents modèles. Ce jeu de données se base sur l'activité des analystes lors de l'investigation d'un incident. L'activité sera extraite à travers un assistant virtuel qui permet de communiquer avec l'ontologie pour répondre aux différentes requêtes émises par les analystes.

Abstract

The insider threat has recently become a very hot topic in cybersecurity following the various incidents that have occurred in many companies. The consequences of this threat are as heavy as any other computer danger. This is why industrialists and academics are interested in it. Several solutions have emerged on the market to mitigate the risk and multiple research studies have been carried out to address this problem. In this master's thesis, we propose an approach to help a large company automate the detection of malicious behavior in an insider threat context while reducing the rate of false positives. The first step was to understand the internal threat incident management program at the company in order to make improvements compatible with the existing one. Subsequently, we used convolution graphs - GCN - in order to propose a model which evolves on the attributes and the context of users in the network. To include the work context of users in the graph that we pass to our GCN, we had to explore several possible models based on the hierarchical and business relationships that link the employees of the company. Each relation chosen involved a different graph. In addition, the relations were equivalent and did not demonstrate the level of proximity between the employees in the company. Finally, we succeeded in transforming the set of relations into a single one by means of Node2vec, which from the graph of the ogranization associates a vector with each node. We obtained various results which we compared to supervised machine learning models. The last phase of our research consisted in the creation of an ontology or a knowledge base following the challenges encountered during the collection of events produced by a user in particular on the different systems deployed in the company's network. In order to improve our results, we propose to build a new dataset to train the different models. This dataset is based on the activity of analysts during the investigation of an incident. The activity will be extracted through a virtual assistant which makes it possible to communicate with the ontology to respond to the various requests made by the analysts.