La vitrine de diffusion des mémoires et thèses de l'ÉTS
RECHERCHER

Détection efficace des intrusions sous contraintes de réseaux d’entreprise modernes

Statistiques de téléchargement

Téléchargements

Téléchargements par mois depuis la dernière année

Nikulshin, Viktor (2025). Détection efficace des intrusions sous contraintes de réseaux d’entreprise modernes. Mémoire de maîtrise électronique, Montréal, École de technologie supérieure.

[thumbnail of Nikulshin_Viktor.pdf]
Prévisualisation
 PDF
Télécharger (4MB) | Prévisualisation

Résumé

Cette recherche porte sur la détection d’intrusion efficace dans le contexte des cyberattaques mo- dernes et problèmes ouverts de recherche. Elle montre comment les caractéristiques importantes des réseaux réels peuvent significativement impacter la performance des systèmes de détection d’intrusion et empêcher le déploiement industriel des solutions proposées dans les articles académiques. Les expériences de cette recherche sont fondées sur le jeu de données OpTC, le plus grand et le plus représentatif de tous les jeux de données disponibles. La discussion porte sur l’importance de ce jeu de données et les raisons de son obscurité. Pour qu’il soit utilisé d’avantage, une analyse approfondie est faite pour révéler la présence de certaines caractéristiques importantes des réseaux réels dans les données. Cela permet de conclure qu’OpTC peut aider à concevoir et à évaluer des systèmes de détection d’intrusion pratiques.

Les contributions incluent une description détaillée du jeu de données, une évaluation de référence et un algorithme déterministe pour convertir la description de la réalité du terrain en un ensemble d’étiquettes pour une utilisation avec les techniques d’apprentissage machine. La publication des étiquettes évite aux recherches futures de répéter ce processus difficile et chronophage. De plus, les résultats montrent qu’il est possible de détecter les attaques dans ce jeu de données avec des méthodes de détection d’anomalie relativement simples. Cela signale le besoin de développer de meilleurs indicateurs pour évaluer la performance d’IDS.

Ces résultats ont servi de base à l’élaboration d’une méthode novatrice de détection qui repose sur une réflexion critique sur la structure des opérations dans un SOC moderne. L’architecture résultante de l’IDS à deux phases est une preuve de concept qu’il est possible d’intégrer les exigences des équipes de sécurité et les contraintes des réseaux dans une architecture IDS efficace. La discussion porte sur la possibilité de réduire l’écart entre les besoins de l’industrie et la recherche académique en travaillant sur les bons problèmes et les bonnes exigences. Néanmoins, même si cette recherche présente des résultats très prometteurs, elle soulève encore plusieurs problèmes ouverts pour la recherche future, incluant la dépendance sur nature confinée des données d’entrainement et la performance de système de bout en bout.

Titre traduit

Effective intrusion detection under constraints of modern enterprise networks

Résumé traduit

In this work, we explore what constitutes an effective intrusion detection of cyberattacks in the context of modern cyberthreats and open research problems. We discuss the important properties of real-world networks and show that they have a significant impact on the performance of intrusion detection systems and prevent the industrial adoption of solutions proposed in academic literature. This research is centred around the OpTC dataset, which is the largest and most realistic among the existing IDS datasets. We discuss the importance of this dataset and the reasons why it remains relatively obscure. In order to make it more accessible to future research, we perform an in-depth analysis and demonstrate how this dataset accurately reflects some of the constraints of real-world networks. We conclude that it can help design and evaluate practical intrusion detection systems.

Our contributions include a description of the dataset, a baseline evaluation, and a deterministic labelling algorithm that converts the ground truth document into a set of labels suitable for conventional machine learning applications. The released labels can be used in future research, saving the need to repeat this difficult and time-consuming process. Additionally, we show that the attacks in this dataset can be detected using relatively simple anomaly detection methods, which highlights the need for better metrics for evaluating IDS.

Using these results, we propose a detection method based on a critical insight into the structure of operations in a modern SOC. The resulting two-stage IDS framework serves as a proof-of-concept that the requirements of the security teams and important constraints of the real-world enterprise networks can be effectively integrated into the IDS design. This work shows that by focusing on the correct problems and requirements, it is possible to reduce the gap between academic goals and the needs of the industry. However, although the results of this research are very promising, several problems remain open for future research, including reducing dependency on the closed-world assumption of the training data and scaling up end-to-end pipeline performance.

Type de document: Mémoire ou thèse (Mémoire de maîtrise électronique)
Renseignements supplémentaires: "Mémoire présenté à l’École de technologie supérieure comme exigence partielle à l’obtention de la maîtrise avec mémoire en génie logiciel". Comprend des références bibliographiques (pages 199-219).
Mots-clés libres: détection d’intrusion, détection d’anomalie, IDS, APT, équipe rouge, SOC, OpTC
Directeur de mémoire/thèse:
Directeur de mémoire/thèse
Talhi, Chamseddine
Programme: Maîtrise en ingénierie > Génie
Date de dépôt: 30 juin 2025 14:56
Dernière modification: 30 juin 2025 14:56
URI: https://espace.etsmtl.ca/id/eprint/3646

Gestion Actions (Identification requise)

Dernière vérification avant le dépôt Dernière vérification avant le dépôt
Espace ETS Bibliothèque de l'École de technologie supérieure.