Time: 14:00 – 16:00, Feb. 10, 2020
Place: 31.1.19, 2 rue Conté, 75003, Paris
ROC PhD students will deliver the following seminars on cybersecurity:
Agathe Blaise
co-advised by Stefano Secci, Mathieu Bouet (Thales), Vania Conan (Thales)
Biographie : Agathe Blaise is currently a Ph.D. student at Thales Communications & Security (Gennevilliers, France) and LIP6, Sorbonne University (Paris, France). She received her Engineering degree in Computer Science from ISEN (Lille, France) in 2017. Her research interests are in the field of data analysis applied to network security, and regards more specifically the detection of botnets.
Title : BotFP: Detecting unknown botnets
Abstract : Efficient bot detection is a crucial security matter and has been widely explored in the past years. Recent approaches supplant flow-based detection techniques and exploit graph-based features, incurring however in scalability issues in terms of time and space complexity. Bots exhibit specific communication patterns: they use particular protocols, contact specific domains, hence can be identified by analyzing their communication with the outside. A way we follow to simplify the communication graph and avoid scalability issues is looking at frequency distributions of protocol attributes capturing the specificity of botnets behaviour. We propose a bot detection technique named BotFP for BotFingerPrinting, which acts by (i) characterizing hosts behaviour with attribute frequency distribution signatures, (ii) learning behaviour of benign hosts and bots through clustering or a technique of supervised Machine Learning (ML), and (iii) classifying new hosts either as bots or benign ones based on distances to labelled clusters or relying on the given ML algorithm. We validate our solution on the CTU-13 dataset, which contains 13 scenarios of bot infections, connecting to a Command-and-Control (C&C) channel and launching malicious actions such as port scanning or Denial-of-Service (DDoS) attacks. Our approach is lightweight, can handle large amounts of data, and shows better accuracy than state-of-the-art techniques.
Wassim Berriche
co-encadré par Françoise Sailhan, Stefano Secci, Bruno Billaud (SQUAD), Eric Guillerm (SQUAD)
Biographie : Wassim Berriche est diplômé du Master Informatique mention réseau de Sorbonne Université. Ses activités de recherche ont commencé lors d’un stage effectué au LIP6 en première année de Master sur la radio logicielle. Celui-ci s’est exprimé d’avantage lors de la seconde année effectuée en apprentissage en tant qu’apprenti Ingénieur R&D chez Orange Labs sur la plateforme ONAP. Afin de continuer sur cette lancée il s’est engagé a poursuivre une thèse CIFRE au sein du CNAM et de l’entreprise SQUAD sur ces aspects pour les systèmes SIEM et SDN/NFV/5G.
Sujet de thèse : Détection d’anomalies sur des données multi-modales pour les SIEM
Résumé : La montée en puissance de nouvelles technologies/architectures SDN/NFV et la 5G conduisent à une croissance exponentielle des informations remontées aux systèmes de surveillance et de détection des attaques. De nouvelles menaces apparaissent de jours en jours. Dans ce cadre, il est devenu crucial de traiter ces informations de manière automatisée en utilisant des algorithmes de détection d’anomalies capables de gérer des informations hétérogènes tout en portant à l’échelle, et cela afin de détecter de potentielles attaques menaçant l’infrastructure. C’est dans ce cadre que s’inscrit la thèse avec en perspective l’intégration dans des systèmes SIEM (Security Information and Event Management)
Julien Depaillat
Biographie : Julien DEPAILLAT est un jeune diplômé du master de l’ESIEA, parcours système d’information, spécialisation cyber-sécurité.
Au cours de ses études il a pu effectuer différents stages dans le domaine des systèmes embarqués dont un au sein du CERT (Computer Emergency Response Team) de Naval Group à Toulon afin de réfléchir à la mise au place de méthodesde forensic pour leurs systèmes industrielles. Il travail depuis 1 an chez Akheros en tant qu’ingénieur cyber-sécurité et s’occupe notamment des recherches liées au projet d’Airbus.
Sujet : Le SDI (système de détection d’intrusion) hybride semi-supervisé dans la détection de compromission de systèmes embarqués.
Résumé : Avec le nombre grandissant d’appareils issus de l’IoT (Internet of Things) et l’évolution des techniques d’attaques il devient plus qu’urgent de développer des moyens efficaces pour protéger les systèmes embarqués de groupes malveillants. Le principal problème est qu’il s’agit d’un monde très spécialisé et donc peu connu. La diversité des systèmes fait qu’il est très difficile de développer une méthode générale de détection. La plupart des méthodes actuelles ont recours à l’utilisation de SDI (système de détection). Les SDI les plus utilisés sont les SDIR (système de détection réseau) qui surveillent l’ensemble des communications des systèmes embarqués d’un réseau. Ils permettent de surveiller le système dans sa globalité et de détecter une intrusion venant de l’extérieur. L’autre catégorie de SDI est le SDIH (système de détection hôte) qui à l’inverse ne surveille que le module sur lequel il est déployé. Il a l’avantage de pouvoir détecter les éventuelles intrusions internes qui pourraient avoir lieu sur ledit module. Cependant, il est presque impossible de créer un SDIH spécifique à chaque système embarqué ce pourquoi il est intéressant de se pencher sur l’utilisation de SDIH hybride semi-supervisé. Un SDIH hybride semi-supervisé repose d’une part sur les connaissances métier (apportées par l’homme) et d’autre part sur des modèles créés par un apprentissage machine. Au cours de la phase d’apprentissage le SDI va apprendre ce qui sera le comportement normal du module grâce aux données collectées. Durant la phase de vie du module, le SDIH va à nouveau créer des modèles en fonction des données remontées et comparer ces derniers aux comportements normaux afin de déterminer s’il y a un problème. L’objectif de cette thèse est donc de mesurer la capacité d’évaluation et la mise en place d’un SDIH hybride semi-supervisé dans la détection de backdoor sur des systèmes embarqués.