Des chercheurs de l’École de génie et d’informatique Gina-Cody améliorent la détection des cybermenaces persistantes
Amr Youssef: « Le principal inconvénient des systèmes de détection actuels est qu’ils utilisent beaucoup de mémoire informatique ou que le traitement des données prend trop de temps. Nous avons donc mis au point une solution mieux pensée. »
À l’heure où les menaces à la cybersécurité deviennent de plus en plus sophistiquées et difficiles à détecter, des chercheurs de l’École de génie et d’informatique Gina-Cody de l’Université Concordia proposent un nouveau système pour déceler les cybermenaces cachées appelées menaces persistantes avancées (MPA), qui peuvent se dissimuler dans les systèmes informatiques pendant des mois, voire des années, sans être détectées.
Repérer ces menaces revient à chercher une aiguille dans une botte de foin, car elles se fondent dans les activités normales des systèmes informatiques.
Pour détecter plus efficacement ces menaces insidieuses, le doctorant Ahmed Aly et les professeurs Essam Mansour et Amr Youssef, en collaboration avec Shahrear Iqbal du Conseil national de recherches Canada, ont mis au point un nouveau système appelé MEGR-APT : Memory-Efficient Graph Representation of Advanced Persistent Threats (« représentation graphique à faible consommation de mémoire des menaces persistantes avancées »).
« Le système MEGR-APT a le potentiel de transformer la façon dont nous décelons les cybermenaces », affirme Essam Mansour, professeur au Département d’informatique et de génie logiciel. « En rendant la détection plus rapide et plus efficace sur le plan de l’utilisation de la mémoire, nous pourrons mieux protéger les données sensibles et les infrastructures essentielles contre les attaques. »
« Le principal inconvénient des systèmes de détection actuels est qu’ils utilisent beaucoup de mémoire informatique ou que le traitement des données prend trop de temps », explique Amr Youssef, professeur à l’Institut d’ingénierie des systèmes d’information de l’Université Concordia. « Nous avons donc mis au point une solution mieux pensée. »
La technologie MEGR-APT analyse le relevé des opérations informatiques d’un ordinateur – appelé journal d’exploitation – et transpose ces renseignements sous forme de graphiques. Imaginez un graphique dans lequel chaque nœud représente un fichier ou un programme s’exécutant sur un ordinateur, et où des lignes relient ces nœuds pour montrer comment ils sont liés. Cette représentation facilite le repérage de schémas signalant une éventuelle menace.
Mais la particularité de la technologie MEGR-APT réside dans son utilisation de l’intelligence artificielle, et plus précisément d’un outil appelé « réseau de neurones graphiques ». Ces réseaux apprennent à partir des données et peuvent reconnaître les schémas suspects. Le système extrait de petites portions de ces graphiques et les compare à des schémas d’attaque connus, ce qui permet de cerner rapidement les menaces sans mobiliser une grande quantité de mémoire.
Les chercheurs ont testé cette technologie avec des données réelles et l’ont trouvée très efficace. En effet, elle est tout aussi précise et rapide que d’autres systèmes, mais nécessite beaucoup moins de mémoire. Cela signifie qu’elle peut traiter de grandes quantités de données tout en détectant rapidement les menaces, ce qui en fait un outil pratique pour assurer la sécurité de notre monde numérique.
Lisez l’intégralité de la recherche publiée dans la revue IEEE Transactions on Information Forensics and Security (en anglais).
Apprenez-en plus sur le Département d’informatique et de génie logiciel et l’Institut d’ingénierie des systèmes d’information de l’Université Concordia.