Détection d'anomalies à travers la journalisation d'applications

Le présent mémoire regroupe deux articles scientifiques reposant sur la détection d'anomalies dans des journalisations d'applications. Plus particulièrement, ce travail est fait sur la journalisation Microsoft 365, qui regroupe la suite Office, Azure, Outlook, CRM et d'autres applications Microsoft en ligne. Ces applications peuvent être des vecteurs attaques (ex: campagnes d'hameçonnage, détournement bancaire, etc.) pour les compagnies qui les utilisent. La surveillance à l'aide de leur journalisation reste primordiale pour atténuer les attaques produites par le biais de ces applications. Les besoins de l'industrie TI pointent vers des solutions axées sur les statistiques et l'apprentissage machine. Le premier article porte sur l'utilisation d'une technique statistique non paramétrique pour estimer une densité de probabilité: l'estimation de densité par noyau (KDE). On se sert ensuite de cette estimation pour définir les moments d'une journée où il est probable qu'un événement survienne et les moments improbables. Les contributions principales sont l'implémentation d'un KDE adapté aux données circulaires et une méthode de détection d'anomalies basée sur ce KDE. L'article conclut, à l'aide de validation par des experts, qu'il est possible de détecter des anomalies pertinentes. Celles-ci restent à être investiguer dans le cadre du travail d'analyste TI. Le deuxième article compare la technique du KDE à trois autres techniques non supervisées connues pour la détection d'anomalies: k-moyennes (K-means), k-plus proches voisins (KNN) et le facteur d'anomalie local (LOF). La contribution principale de cet article est cette comparaison entre ces quatre techniques. L'article conclut qu'il existe des intersections entre les anomalies détectées par chaque technique, mais aussi qu'il existe des anomalies détectées uniquement par chacune des techniques.