Back to Search Start Over

Protection of an information system using artificial intelligence: a three-phase approach based on behaviour analysis to detect a hostile scenario

Authors :
FAUVELLE, Jean-Philippe
Dey, Alexandre
Navers, Sylvain
Airbus Defence & Space [Elancourt] (Airbus group)
Airbus [France]
Airbus Defence and Space
Airbus Group
Airbus Defence and Space CyberSecurity
Ministère français des armées
Source :
European Cyber Week-CESAR Conference-Artificial Intelligence and Cybersecurity, European Cyber Week-CESAR Conference-Artificial Intelligence and Cybersecurity, Ministère français des armées, Nov 2018, Rennes, France, www.cesar-conference.org
Publication Year :
2018
Publisher :
HAL CCSD, 2018.

Abstract

International audience; The analysis of the behaviour of individuals and entities (UEBA) is an area of artificial intelligence that detects hostile actions (e.g. attacks, fraud, influence, poisoning) due to the unusual nature of observed events, by affixing to a signature-based operation. A UEBA process usually involves two phases, learning and inference. Intrusion detection systems (IDS) available still suffer from bias, including over-simplification of problems, underexploitation of the AI potential, insufficient consideration of the temporality of events, and perfectible management of the memory cycle of behaviours. In addition, while an alert generated by a signature-based IDS can refer to the signature on which the detection is based, the IDS in the UEBA domain produce results, often associated with a score, whose explainable character is less obvious. Our unsupervised approach is to enrich this process by adding a third phase to correlate events (incongruities, weak signals) that are presumed to be linked together, with the benefit of a reduction of false positives and negatives. We also seek to avoid a so-called "boiled frog" bias inherent in continuous learning. Our first results are interesting and have an explainable character, both on synthetic and real data.; L’analyse des comportements des personnes et des entités (UEBA, en anglais) est un domaine de l’intelligence artificielle qui permet de détecter des actions hostiles (ex. : attaques, fraudes, influence, empoisonnement) grâce au caractère inhabituel des évènements observés, par apposition à un fonctionnement basé sur des signatures. Un procédé UEBA comprend habituellement deux phases, d’apprentissage et d’inférence. Les systèmes de détection d’intrusion (IDS, en anglais) du marché souffrent encore de biais notamment d’une sur-simplification des problématiques, d’une sous-exploitation du potentiel de l’IA, d’une prise en compte insuffisante de la temporalité des évènements, et d’une gestion perfectible du cycle de la mémoire des comportements. En outre, alors qu’une alerte générée par un IDS à base de signatures peut se référer à l’identifiant de la signature sur laquelle se fonde la détection, les IDS du domaine UEBA produisent des résultats, souvent associés à un score, dont le caractère explicable est moins évident. Notre approche, non supervisée, consiste à enrichir ce procédé en lui adjoignant une troisième phase permettant de corréler des évènements (incongruités, signaux faibles) présumés liés entre eux, avec pour bénéfice une réduction des faux positifs et négatifs. Nous cherchons également à éviter un biais dit « de la grenouille ébouillantée » inhérent à l’apprentissage continu. Nos premiers résultats sont intéressants et revêtent un caractère explicable, autant sur des données synthétiques que réelles.

Details

Language :
French
Database :
OpenAIRE
Journal :
European Cyber Week-CESAR Conference-Artificial Intelligence and Cybersecurity, European Cyber Week-CESAR Conference-Artificial Intelligence and Cybersecurity, Ministère français des armées, Nov 2018, Rennes, France, www.cesar-conference.org
Accession number :
edsair.od.......212..6d3500fe8be159306fb4eacbd98cfe53