Symposium sur la sécurité des technologies de l'information et des communications

Conférence francophone sur le thème de la sécurité de l'information.
Elle a eu lieu à Rennes du 1 au 3 juin 2022.

AnoMark - Détection d’Anomalies dans des lignes de commande à l’aide de Chaînes de MarkovAlexandre Junius


Date : 03 June 2022 à 10:15 — 15 min.

AnoMark est un algorithme de Machine Learning utilisant des méthodes de NLP (ou TAL : Traitement Automatique des Langues) pour analyser les lignes de commandes remontées à chaque création de processus dans les journaux d’événements d’un système d’information. En s’appuyant sur une décomposition en n-grams (sur les lettres composant la ligne de commandes), AnoMark entraîne un modèle statistique basé sur une chaîne de Markov. Ce dernier permet ensuite de calculer un score de vraisemblance de nouvelles lignes de commande, et d’en extraire les plus anormales vis-à-vis de l’activité passée.

L'application de cet algorithme a déjà permis à plusieurs reprises de détecter des comportements malveillants dans les journaux d'événements de créations de processus. Cela permet d'être optimiste quant à l'utilisation de méthodes de détection d'anomalies automatisées en cybersécurité, en complément des méthodes habituelles de détection de comportements connus.