Programme de Doctorat en informatique
Département d’informatique et de génie logiciel
Faculté des sciences et de génie
Présentation orale de la proposition de projet de recherche
(IFT-8003)
De
Simon Bertrand
Le mercredi 23 avril 2025 à 13h30
Local 3904, Pavillon Adrien Pouliot
Unsupervised Insider Threat Detection and
Explanation Based on Audit Logs Analysis
Membres du comité d’évaluation
Nadia Tawbi, Ph.D. (Directrice de recherche)
Département d’informatique et de génie logiciel
Pascal Germain, Ph.D. (Co-directeur)
Département d’informatique et de génie logiciel
Josée Desharnais, Ph.D. (Examinatrice)
Département d’informatique et de génie logiciel
Cem Subakan, Ph.D. (Examinateur)
Département d’informatique et de génie logiciel
Résumé
Les menaces internes, surviennent lorsqu’un individu ayant des accès privilégiés au sein d’une organisation les utilise afin de réaliser des actions dangereuses pour cette dernière de façon intentionnelle, ou non. Ce type de menaces est très large, allant du vol d’informations aux actions de sabotage.
Il est plus qu’intéressant pour les organisations de trouver des solutions afin de détecter voire prévenir ces menaces. Dans cette optique, plusieurs chercheurs se sont intéressés à la problématique de détection automatique de menaces internes. Une approche très répandue est l’analyse des différents journaux d’audit produits par les systèmes informatiques dans une organisation, et décrivant les activités des utilisateurs. Ces journaux sont notamment utilisés afin de dresser des schémas comportementaux des utilisateurs dans l’objectif d’identifier toute divergence comportementale significative comme étant des menaces internes potentielles.
Ainsi, nous nous intéressons dans le cadre de ce projet à la détection automatique de menaces internes à l’aide de l’analyse de journaux d’audit. Un aspect essentiel de cette initiative est de construire une solution flexible pouvant s’implémenter facilement dans de vraies organisations. Dans ce travail, nous proposons trois systèmes de détection de menaces internes qui exploitent les données d’audit pour apprendre les comportements des utilisateurs et détecter les comportements divergents de manière non supervisée. Deux de ces solutions ont déjà fait l’objet de deux publications, où nous nous sommes principalement concentrés sur le traitement automatique des données d’audit et l’apprentissage des dépendances d’événements utilisant notamment les mécanismes d’attention. Pour notre troisième solution, nous nous appuyons sur nos travaux précédents pour permettre la détection de séquences d’attaques complètes en modélisant des dépendances connues entre les évènements sous forme de graphes.
Abstract
Insider threats occur when a privileged member of an organization wrongfully uses his access in a way that causes harm to his organization. Those damaging actions can be intentional, as in the case of theft or sabotage. However, unintentional dangerous actions must also be considered, adding to the complexity of the insider threat. Consequently, the insider threat is a broad type of cyber menace, making its detection particularly difficult.
Insider threat detection is, therefore, a relevant problem that attracted many researchers to deploy their efforts in the last decades. One common strategy to detect malicious insiders is to model the users’ behaviors and identify any significant divergence as a potential threat. In that matter, audit data, describing the activity of every member of an organization in the network, are regularly chosen to learn user behaviors using statistical or machine learning models. In the present work, we propose three insider threat detection systems that leverage audit data to learn user behaviors and detect divergent conduct in an unsupervised fashion. Two of these are already the subject of two published papers, where we mainly focused on automatic audit data processing and event dependencies learning. For our third solution, we build upon our previous work to enable whole attack sequence detection based on a novel graph framework.
Note: La présentation sera donnée en français.
Bienvenue à toute et tous !
