C&ESAR 2018 - J3

Enhancing network slice security via Artificial Intelligence: challenges and solutions

La base de la sécurisation d’un réseau, c’est sa compartimentation par fonctions logiques afin de réduire les capacités de mouvement d’un attaquant. Dans le cadre des réseaux 5G, il faut pouvoir assurer les inter-dépendances entre les services tout en maximisant ce découpage. La complexité inhérente aux architectures de service 5G complexifie grandement cette tâche. L’intelligence artificielle offre des oportunités de solutions pour la gestion de ces découpages réseau et leur monitoring.

Détection d’anomalies pour l’aide au hunting

L’activité de hunting consiste à rechercher des traces d’intrusion dans les logs d’un système pour déclencher des investigations complémentaires sur les systèmes. L’objectif des orateur est d’aider l’analyste à prioriser ses investigations en mettant en lumière les éléments les plus anormaux. Les orateurs ont utilisé des forêts d’isolation et des auto-encodeurs sur une trentaine de métriques extraite de logs de proxy web.

Les auto-encodeur sont des réseaux de neurones utilisés pour la compression d’images dans les moteurs de recherche, dont le fonctionnement peut être appliqué à la détection d’anomalies. Bien que no-supervisé, l’auto-encodeur nécessite une phase d’apprentissage ou il va compresser et décompresser le vecteur de propriétés en entrée et fournir

La forêt d’isolation partitionne l’espace des valeurs possible pour l’ensemble des propriétés observés, et va définir des hyper-plans permettant de découper en divers ensembles ces propriétés. Les anomalies se retrouvent très rapidement isolés par ces hyper-plans.

Les implémentations se sont faite sur un cluster Spark, et les donnés sont extraite du collecteur de logs Splunk. Côté performance, il faut 15min pour digérer 6h de logs.

Aide à la classification des événements remontés à un SOC.

Un SoC travaille en deux temps, un temps à chaud de détection et de confinement de la menace, et un temps à froid d’amélioration de la sécurité. Les activités d’un SoC sont très répétitives, et offrent la part belle à l’automatisation d’un très grand nombre de tâches. L’IA permet d’automatiser l’aide à la décision et de concentrer l’attention de l’expert en l’assistant dans le tri entre événements malveillants et bénins.

Pour l’automatisation, on essaye de faire mieux que pile ou face. Du random forest donne un taux de détection de 62%, mais on aimerais pouvoir injecter des savoir-faires dans l’algorithme. En jouant sur les hyper-paramètres de l’algo on pousse le taux de détection à 69%. à force d’itérations, on améliore le modèle de détection et la qualité des donnés analysés. Cette démarche se fait en associant les experts du SoC et les data-scientists.

SCA par apprentissage machine

L’objectif d’une attaque par SCA est d’extraire la clef cryptographique d’un composant electronique par l’observation de divers canaux auxiliaires tels que la consommation électrique, le champ magnétique local, etc…  Lors des phases de chiffrement et de déchiffrement, le composant émet un rayonnement électromagnétique porteur d’informations liés aux valeurs de la clef.

Lorsque l’attaquant à l’équipement à disposition, il va pouvoir maîtriser les donnés de chiffrement fournies au composant. Il est donc envisageable d’employer un réseau de neurones pour l’entrainer sur ces donnés et lui apprendre à extraire la clef du composant.

Pour ce faire, les expérimentation se sont basés sur le jeu de donnés ASCAD fourni par l’ANSSI. L’attaque porte sur un micro-controleur avr atmega 8515 embarquant une implémentation durcie d’AES. L’IA requiert souvent des gros jeux de donnés pour bien fonctionner. Du coup les orateurs ont généré un second jeu de données.