OMMA: open architecture for Operator-guided Monitoring of Multi-step Attacks

Julio Navarro, Véronique Legrand (), Aline Deruyver and Pierre Parrend ()
Additional contact information
Julio Navarro: ICube - Laboratoire des sciences de l'ingénieur, de l'informatique et de l'imagerie - ENGEES - École Nationale du Génie de l'Eau et de l'Environnement de Strasbourg - UNISTRA - Université de Strasbourg - HUS - Les Hôpitaux Universitaires de Strasbourg - INSA Strasbourg - Institut National des Sciences Appliquées - Strasbourg - INSA - Institut National des Sciences Appliquées - CNRS - Centre National de la Recherche Scientifique - MNGE - Matériaux et Nanosciences Grand-Est - UNISTRA - Université de Strasbourg - Université de Haute-Alsace (UHA) - Université de Haute-Alsace (UHA) Mulhouse - Colmar - INSERM - Institut National de la Santé et de la Recherche Médicale - INC-CNRS - Institut de Chimie - CNRS Chimie - CNRS - Centre National de la Recherche Scientifique - Réseau nanophotonique et optique - UNISTRA - Université de Strasbourg - Université de Haute-Alsace (UHA) - Université de Haute-Alsace (UHA) Mulhouse - Colmar - CNRS - Centre National de la Recherche Scientifique
Véronique Legrand: CEDRIC - Centre d'études et de recherche en informatique et communications - ENSIIE - Ecole Nationale Supérieure d'Informatique pour l'Industrie et l'Entreprise - CNAM - Conservatoire National des Arts et Métiers [CNAM]
Aline Deruyver: ICube - Laboratoire des sciences de l'ingénieur, de l'informatique et de l'imagerie - ENGEES - École Nationale du Génie de l'Eau et de l'Environnement de Strasbourg - UNISTRA - Université de Strasbourg - HUS - Les Hôpitaux Universitaires de Strasbourg - INSA Strasbourg - Institut National des Sciences Appliquées - Strasbourg - INSA - Institut National des Sciences Appliquées - CNRS - Centre National de la Recherche Scientifique - MNGE - Matériaux et Nanosciences Grand-Est - UNISTRA - Université de Strasbourg - Université de Haute-Alsace (UHA) - Université de Haute-Alsace (UHA) Mulhouse - Colmar - INSERM - Institut National de la Santé et de la Recherche Médicale - INC-CNRS - Institut de Chimie - CNRS Chimie - CNRS - Centre National de la Recherche Scientifique - Réseau nanophotonique et optique - UNISTRA - Université de Strasbourg - Université de Haute-Alsace (UHA) - Université de Haute-Alsace (UHA) Mulhouse - Colmar - CNRS - Centre National de la Recherche Scientifique
Pierre Parrend: ICube - Laboratoire des sciences de l'ingénieur, de l'informatique et de l'imagerie - ENGEES - École Nationale du Génie de l'Eau et de l'Environnement de Strasbourg - UNISTRA - Université de Strasbourg - HUS - Les Hôpitaux Universitaires de Strasbourg - INSA Strasbourg - Institut National des Sciences Appliquées - Strasbourg - INSA - Institut National des Sciences Appliquées - CNRS - Centre National de la Recherche Scientifique - MNGE - Matériaux et Nanosciences Grand-Est - UNISTRA - Université de Strasbourg - Université de Haute-Alsace (UHA) - Université de Haute-Alsace (UHA) Mulhouse - Colmar - INSERM - Institut National de la Santé et de la Recherche Médicale - INC-CNRS - Institut de Chimie - CNRS Chimie - CNRS - Centre National de la Recherche Scientifique - Réseau nanophotonique et optique - UNISTRA - Université de Strasbourg - Université de Haute-Alsace (UHA) - Université de Haute-Alsace (UHA) Mulhouse - Colmar - CNRS - Centre National de la Recherche Scientifique

Post-Print from HAL

Abstract: Current attacks are complex and stealthy. The recent WannaCry malware campaign demonstrates that this is true notonly for targeted operations, but also for massive attacks. Complex attacks can only be described as a set ofindividual actions composing a global strategy. Most of the time, different devices are involved in the same attackscenario. Information about the events recorded in these devices can be collected in the shape of logs in a centralsystem, where an automatic search of threat traces can be implemented. Much has been written about automaticevent correlation to detect multi-step attacks but the proposed methods are rarely brought together in the sameplatform. In this paper, we propose OMMA (Operator-guided Monitoring of Multi-step Attacks), an open andcollaborative engineering system which offers a platform to integrate the methods developed by the multi-stepattack detection research community. Inspired by a HuMa access (Navarro et al., HuMa: A multi-layer framework forthreat analysis in a heterogeneous log environment, 2017) and Knowledge and Information Logs-based System(Legrand et al., Vers une architecture «big-data» bio-inspirée pour la détection d'anomalie des SIEM, 2014) systems,OMMA incorporates real-time feedback from human experts, so the integrated methods can improve theirperformance through a learning process. This feedback loop is used by Morwilog, an Ant Colony Optimization-basedanalysis engine that we show as one of the first methods to be integrated in OMMA.

Keywords: Advanced persistent threats; Event correlation; Intrusion detection systems; Multi-stage attacks; Networksecurity (search for similar items in EconPapers)
Date: 2018-12
Note: View the original document on HAL open archive server: https://hal.science/hal-03218219v1
References: View complete reference list from CitEc
Citations: View citations in EconPapers (1)

Published in EURASIP Journal on Information Security, 2018, 2018 (1), pp.144-159. ⟨10.1186/s13635-018-0075-x⟩

Downloads: (external link)
https://hal.science/hal-03218219v1/document (application/pdf)

Related works:
This item may be available elsewhere in EconPapers: Search for items with the same title.

Export reference: BibTeX RIS (EndNote, ProCite, RefMan) HTML/Text

Persistent link: https://EconPapers.repec.org/RePEc:hal:journl:hal-03218219

DOI: 10.1186/s13635-018-0075-x

Access Statistics for this paper

More papers in Post-Print from HAL
Bibliographic data for series maintained by CCSD ().