Labélisation automatisée de datasets de traces d’attaque sur un SI.
Contexte
AMOSSYS développe M&NTIS Platform, qui est une solution d’émulation d’adversaire au sein d’un simulateur de SI (Cyber Range). Cette solution permet de tester des produits de sécurité en défense, et sert à entrainer des équipes SOC et CERT face à des attaques réalistes.
M&NTIS Platform permet notamment de générer et mettre à disposition des datasets de traces (logs systèmes et PCAP réseau) suite à des activités légitimes et malveillantes sur un système d’information simulé.
La capacité d’émulation d’adversaire permet de jouer des scénarios d’attaque réalistes et de produire un rapport contenant les métadonnées de chaque étape d’attaque (machine compromise, type de compromission effectuée, commande d’attaque exécutée, timestamps, etc.). Ce rapport d’attaque est généré au format JSON, ce qui permet d’automatiser son traitement par la suite.
Challenge
L’objectif est de concevoir un algorithme de labélisation permettant d’identifier les traces malveillantes (log système et paquet réseau) au sein des datasets collectés, en s’appuyant sur la connaissance des métadonnées des étapes d’attaques réalisées.
L’intérêt d’un tel algorithme est de pouvoir produire un jeu de données labélisé, utilisable ensuite pour entrainer et tester des méthodes d’apprentissage au sein de produits de supervision de sécurité (SIEM, XDR, sondes réseau, etc.).