Détection d’intrusions et de man-in-the middle dans les réseaux OT et IoT
From Wiki Campus Cyber
Détection d’intrusions et de man-in-the middle dans les réseaux OT et IoT | |
---|---|
For the "ShortDescription" annotation, the parser was unable to determine a language code (i.e. "foo@en"). | |
Statut | Listé |
Catégorie : Cas d'usage |
Descriptif du use case[edit | edit source]
Entity Behavior Analysis pour détection de comportements anormaux dans des réseaux OT : le système analyse le graphe de communications du réseau sur l’ensemble des couches des matrices OSI / Purdue et détecte des anomalies comportementales liées à un attaquant qui réalise des opérations malveillantes dans le réseau contribuant à perturber son fonctionnement normal
Approche[edit | edit source]
- Collecte de données d’environnements réels OT dans différents secteurs d’activité pour apprentissage des comportements normaux
- Simulation d’attaques en laboratoire avec des pentesters spécialisés en OT
- Construction de graphes de communication traduisant les comportements
- Apprentissage des comportements normaux des graphes de communication avec des modèles de machine learning
- Validation des détections sur les scénarios simulés en laboratoire
Statut[edit | edit source]
Déployé/ POC / Recherche /Idéation/Prospective
Données[edit | edit source]
- Historiques de communications réelles dans des réseaux OT :
- - 2 datasets dans une entreprise de secteur logistique : plusieurs minutes et plusieurs heures
- - 2 datasets dans une entreprise secteur énergie : plusieurs heures et plusieurs jours
- - 1 dataset dans une entreprise secteur mobilité : plusieurs heures
- - 1 dataset dans un contexte IoT simulé : plusieurs heures
- - Collecte en cours
- Scénarios d’attaques dans des réseaux OT, en laboratoire et via un réseau physique
Catégories d'algorithmes utilisés[edit | edit source]
- Stochastic Block Models (SBM), dynamic SBM, Théorie des graphes
Besoins en temps de calcul[edit | edit source]
- Plusieurs heures / jours pour les gros datasets
Cloud ou On Premise[edit | edit source]
- On premise
Autres logiciels nécessaires : ETL, qualité, sécurité, crypto, anonymisation[edit | edit source]
- ETL, anonymisation
Mitre Att@ck[edit | edit source]
- T1557 (Man in the middle) / TA0007 (Discovery) / TA0008 (Lateral Movement) / TA 0040 (Impact)
Mitre Defend[edit | edit source]
Cyber Kill Chain[edit | edit source]