Back to Search
Start Over
Protection of an information system using artificial intelligence: a three-phase approach based on behaviour analysis to detect a hostile scenario
- Source :
- European Cyber Week-CESAR Conference-Artificial Intelligence and Cybersecurity, European Cyber Week-CESAR Conference-Artificial Intelligence and Cybersecurity, Ministère français des armées, Nov 2018, Rennes, France, www.cesar-conference.org
- Publication Year :
- 2018
- Publisher :
- HAL CCSD, 2018.
-
Abstract
- International audience; The analysis of the behaviour of individuals and entities (UEBA) is an area of artificial intelligence that detects hostile actions (e.g. attacks, fraud, influence, poisoning) due to the unusual nature of observed events, by affixing to a signature-based operation. A UEBA process usually involves two phases, learning and inference. Intrusion detection systems (IDS) available still suffer from bias, including over-simplification of problems, underexploitation of the AI potential, insufficient consideration of the temporality of events, and perfectible management of the memory cycle of behaviours. In addition, while an alert generated by a signature-based IDS can refer to the signature on which the detection is based, the IDS in the UEBA domain produce results, often associated with a score, whose explainable character is less obvious. Our unsupervised approach is to enrich this process by adding a third phase to correlate events (incongruities, weak signals) that are presumed to be linked together, with the benefit of a reduction of false positives and negatives. We also seek to avoid a so-called "boiled frog" bias inherent in continuous learning. Our first results are interesting and have an explainable character, both on synthetic and real data.; L’analyse des comportements des personnes et des entités (UEBA, en anglais) est un domaine de l’intelligence artificielle qui permet de détecter des actions hostiles (ex. : attaques, fraudes, influence, empoisonnement) grâce au caractère inhabituel des évènements observés, par apposition à un fonctionnement basé sur des signatures. Un procédé UEBA comprend habituellement deux phases, d’apprentissage et d’inférence. Les systèmes de détection d’intrusion (IDS, en anglais) du marché souffrent encore de biais notamment d’une sur-simplification des problématiques, d’une sous-exploitation du potentiel de l’IA, d’une prise en compte insuffisante de la temporalité des évènements, et d’une gestion perfectible du cycle de la mémoire des comportements. En outre, alors qu’une alerte générée par un IDS à base de signatures peut se référer à l’identifiant de la signature sur laquelle se fonde la détection, les IDS du domaine UEBA produisent des résultats, souvent associés à un score, dont le caractère explicable est moins évident. Notre approche, non supervisée, consiste à enrichir ce procédé en lui adjoignant une troisième phase permettant de corréler des évènements (incongruités, signaux faibles) présumés liés entre eux, avec pour bénéfice une réduction des faux positifs et négatifs. Nous cherchons également à éviter un biais dit « de la grenouille ébouillantée » inhérent à l’apprentissage continu. Nos premiers résultats sont intéressants et revêtent un caractère explicable, autant sur des données synthétiques que réelles.
- Subjects :
- UEBA
prévention des biais d’apprentissage
apprentissage profond
User and Entity Behaviour Analytics
réseaux de neurones
analyse des comportements des personnes et des entités
deep learning
[INFO.INFO-NE]Computer Science [cs]/Neural and Evolutionary Computing [cs.NE]
neural networks
artificial intelligence
[INFO.INFO-AI]Computer Science [cs]/Artificial Intelligence [cs.AI]
ACM: I.: Computing Methodologies/I.2: ARTIFICIAL INTELLIGENCE
[INFO.INFO-CR]Computer Science [cs]/Cryptography and Security [cs.CR]
continuous learning
cyber-security
intelligence artificielle
[INFO.INFO-LG]Computer Science [cs]/Machine Learning [cs.LG]
cyber-sécurité
correlation
ACM: K.: Computing Milieux/K.6: MANAGEMENT OF COMPUTING AND INFORMATION SYSTEMS/K.6.5: Security and Protection
ACM: C.: Computer Systems Organization/C.2: COMPUTER-COMMUNICATION NETWORKS/C.2.0: General/C.2.0.2: Security and protection (e.g., firewalls)
prevention of learning bias
apprentissage continu
Subjects
Details
- Language :
- French
- Database :
- OpenAIRE
- Journal :
- European Cyber Week-CESAR Conference-Artificial Intelligence and Cybersecurity, European Cyber Week-CESAR Conference-Artificial Intelligence and Cybersecurity, Ministère français des armées, Nov 2018, Rennes, France, www.cesar-conference.org
- Accession number :
- edsair.od.......212..6d3500fe8be159306fb4eacbd98cfe53