Évènements

Soutenance de thèse de Alexandre Lung-Yut-Fong Mardi 6 décembre à 14H00, Amphi B310 Télécom ParisTech -- 46, rue Barrault -- 75013 Paris

Détection robuste de ruptures pour les signaux multidimensionnels :
application à la détection d'anomalies dans les réseaux

Auteur

Alexandre Lung-Yut-Fong.

Date

Mardi 6 décembre 2011 à 14H00.

Lieu

Télécom ParisTech -- Site Barrault -- Amphi B310.

Directeur(s) de thèse

• Olivier Cappé (CNRS, Télécom ParisTech),
• Céline Lévy-Leduc (CNRS, Télécom ParisTech).

Membres du jury

Rapporteurs

• Michèle Basseville (CNRS, IRISA),
• Fabrice Rossi (Université Paris I).

Examinateurs

• Igor Nikiforov (Université de Technologie de Troyes),
• Dario Rossi (Télécom ParisTech),
• Jean-Philippe Vert (Mines ParisTech / Institut Curie).

résumé

L'objectif de cette thèse est de proposer des méthodes non-paramétriques de détection rétrospective de ruptures. L'application principale de cette étude est la détection d'attaques dans les réseaux informatiques à partir de données recueillies par plusieurs sondes disséminées dans le réseau.

Nous proposons dans un premier temps une méthode en trois étapes de détection décentralisée d'anomalies en faisant coopérer des sondes n'ayant accès qu'à une partie du trafic réseau. Un des avantages de cette approche est la possibilité de traiter un flux massif de données, ce qui est permis par une étape de filtrage par records. Un traitement local est effectué dans chaque sonde, et une synthèse est réalisée dans un centre de fusion. La détection est effectuée à l'aide d'un test de rang qui est inspiré par le test de rang de Wilcoxon et étendu aux données censurées.

Dans une seconde partie, nous proposons d'exploiter les relations de dépendance entre les données recueillies par les différents capteurs afin d'améliorer les performances de détection. Nous proposons ainsi une méthode non-paramétrique de détection d'une ou plusieurs ruptures dans un signal multidimensionnel. Cette méthode s'appuie sur un test d'homogénéité utilisant un test de rang multivarié ; ce dernier test est appliqué sur toutes les partitions possibles des données en plusieurs sous-échantillons, et la statistique pour le test de détection de changement est tout simplement la valeur maximale obtenue. Nous décrivons les propriétés asymptotiques de ce test ainsi que ses performances sur divers jeux de données (bio-informatiques, économétriques ou réseau). La méthode proposée obtient de très bons résultats, en particulier lorsque la distribution des données est atypique (par exemple en présence de valeurs aberrantes).