Une approche contextuelle pour la corrélation d'alertes et détection d'intrusions à base d'ontologie.

Abstract

La détection d'intrusions vise à identifier les actions et les tentatives qui essaient de contourner la politique de sécurité pour compromettre la confidentialité, l'intégrité ou la disponibilité d'une ressource, et à lever des alertes en cas de détection. Les outils de détection d'intrusions (IDS) actuellement en opération produisent de trop nombreuses alertes. Les informations qu'elles contiennent manquent de précision et sont, de plus, parcellaires et de très bas niveau. Ces alertes sont par conséquent d'un intérêt limité pour un opérateur humain. La recherche sur la corrélation d'alertes est très prometteuse. Par la corrélation d'alertes nous pouvons espérer réduire le volume d'informations à traiter, améliorer la qualité du diagnostic proposé et dégager une meilleure vision globale de l'état de sécurité du système en cas d'intrusion. Cet état de l'art présente un mélange prometteur : les systèmes de détection d'intrusion basés sur l'ontologie. Mots clés : système de détection d'intrusions IDS, Sécurité, Intrusion, Corrélation d'alerte, Ontologie