Vous effectuerez un travail de thèse sur l’Utilisation de la provenance pour la cybersécurité en environnement opérationnel.
La provenance, dans le contexte des systèmes informatiques et de la sécurité, fait référence à l’ensemble des informations qui documentent l’histoire et l’origine des données et des processus au sein d’un système informatique. Elle permet de retracer le cheminement et les transformations subies par les données, ainsi que les interactions entre les différents composants du système pour analyser les causes et les conséquences des opérations effectuées sur le système. Son utilisation en sécurité couvre notamment les domaines de la détection des menaces, de l’investigation d’intrusions et de l’analyse forensique.
La problématique centrale de la provenance est la recherche d’un équilibre entre la granularité des données de provenance (détails fins) et leur complétude (vue d’ensemble), tout en gérant le volume de données généré, pour optimiser leur analyse et interprétation [1].
L’objectif de la thèse est de proposer des mécanismes et méthodes (semi) automatiques avec passage à l’échelle, de découverte et analyse des liens de causalité fine entre évènements affectant les objets système à des fins de cybersécurité en investigation et interprétation d’historiques d’attaque. Le point de départ de la thèse pour lever les verrous scientifiques et techniques connus de la provenance est de revisiter fondamentalement ses pratiques actuelles en matière de collecte des logs système, en considérant l’apport de la technologie eBPF [2] qui permet d’injecter à chaud et d’exécuter des programmes sur évènement au niveau noyau Linux pour collecter ces logs système.
Trois apports combinables d’une collecte des logs basée eBPF méritent d’être examinés lors de cette thèse pour améliorer les approches actuelles de la provenance : une collecte à grain fin programmable, un accès au contexte en temps réel incluant l’état du système au moment de l’exécution supervisée et une injection à chaud des sondes permettant leurs activations, désactivations et mises à jour dynamiques. La thèse pourra utilement s’appuyer sur les outils open source eAudit [3], SysFlow [4] et CamFlow [5].

• Connaissances en informatique avec notamment une compréhension approfondie des systèmes d’exploitation (Linux)
  - Connaissances en sécurité informatique : comprendre les principes fondamentaux de la sécurité des systèmes d’exploitation, les mécanismes de défense et les méthodes d’attaque
  - Compétences en mathématiques : connaissance des graphes et des algorithmes pour traiter les grands graphes
  - Compétences en programmation : être capable de développer des outils et des scripts pour collecter, analyser et traiter les données de provenance système. La maîtrise des langages de programmation C et Python est requise.
  - Aptitudes de la recherche : formulation de problèmes, conception et implémentation d’expériences, analyse de résultats et rédaction d’articles scientifiques (un excellent niveau en anglais est requis).
  
  Le candidat devra être diplômé d’une école d’ingénieur ou titulaire d’un Master Recherche dans le domaine de l’informatique avec une spécialisation en sécurité et/ou une pratique personnelle significative en sécurité.
  
  [1] Sok: History is a vast early warning system: Auditing the provenance of system intrusions, INAM, Muhammad Adil, CHEN, Yinfang, GOYAL, Akul, et al. In : 2023 IEEE Symposium on Security and Privacy (SP). IEEE, 2023. p. 2620-2638
  [2] eBPF-introduction, tutorials & community resources. https://ebpf.io />[3] eAudit: A Fast, Scalable and Deployable Audit Data Collection System, R Sekar, H Kimm, R Aich - 2024 IEEE Symposium on Security and Privacy (SP)
  [4] https://research.ibm.com/projects/sysflow#overview />[5] M. Pasquier, J. Singh, D. Eyers and J. Bacon, “Camflow: Managed Data-Sharing for Cloud Services,” in IEEE Transactions on Cloud Computing, vol. 5, no. 3, pp. 472-484, 1 July-Sept. 2017