Détection de comportements suspects par la fouille graduelle de données
Workplace: Sophia-Antipolis
Job category: Post-doctoral Fellow
Research theme: Cognitive systems
Research project-team: AXIS
Environment: Le contexte actuel de production massive de
données soulève le problème de la définition
de méthodes permettant de détecter les comportements
suspects et de suivre leur constante évolution. La détection
de comportement suspects (fraudes, intrusions, attaques de serveurs)
est un sujet de recherche très actif dans le domaine de la
fouille de données. Le challenge est alors d'être
capable de décider, pour chaque comportement et sans
connaissances préalables, s'il est suspect ou non. Plusieurs
méthodes peuvent être étudiées pour
répondre à ce problème. En particulier, la
détection de motifs et de règles est un axe prometteur.
Le jeune chercheur travaillera dans le cadre d'une collaboration
que nous voulons initialiser sur ce thème avec l'équipe
Tatoo du LIRMM (Montpellier, http://www.lirmm.fr/ ).
Le projet
AxIS a pour objectif la conception et l'amélioration des
systèmes d'information à partir de l'analyse des usages
(e.g. par la fouille des données d'usages). AxIS possède
déjà une expérience dans le domaine de la
détection de comportement atypiques (comme les intrusions). Le
passage à la production d'alarmes demande encore, cependant,
de répondre à des questions indispensables sur le
caractère dangereux d'un comportement (questions auxquelles
les techniques de fouille graduelle de données, issues de
l'équipe Tatoo, devraient répondre).
Mission: Dans le cadre de ce sujet, nous nous proposons d'étudier les méthodes de production de règles et motifs graduels, regroupés sous la dénomination "fouille graduelle de données". Cela permettra, par exemple, d'extraire des connaissances de la forme : "le nombre de mails ayant le même sujet et avec un poids très élevé, est en forte augmentation sur une période courte" (comportement typique d'une attaque DDoS sur un serveur mail) ou encore "Plus le nombre de mails ayant le même sujet augmente fortement, plus le risque de chute des serveurs augmente quelque temps plus tard". L'aspect graduel de la fouille intervient alors sur les notions de "poids très élevé", de "forte augmentation" ou encore de "période courte". Cette caractéristique graduelle se trouve dans de nombreux types de comportements suspects comme les attaques sur un serveur Web par exemple.
Dans un premier temps, le jeune chercheur devra analyser les
algorithmes de fouille graduelle de données à des fins
sécuritaires (détection de fraudes, détection
d'intrusion, ...).
Dans un deuxième temps, il s'agira de
proposer des solutions nouvelles, se basant sur la fouille de données
temporelles (motifs séquentiels) et la fouille graduelle de
données.
Enfin, dans un troisième temps (selon
l'avancement des travaux), il s'agira d'adapter les travaux
développés au contexte des flots de données. En
effet, les flots de données constituent un domaine pour lequel
les aspects sécuritaires sont un enjeu capital.
Contacts: Florent Masseglia
(Florent.Masseglia@sophia.inria.fr) et Brigitte Trousse
(Brigitte.Trousse@sophia.inria.fr)
Skills and profile: Le candidat devra avoir des connaissances solides en fouille de données et/ou une expérience dans le domaine de la sécurité informatique.
Durée du contrat : 1 an