ProvAgent: Threat Detection Based on Identity-Behavior Binding and Multi-Agent Collaborative Attack Investigation

Le papier présente ProvAgent, un cadre innovant qui remplace la collaboration humain-modèle par une coopération multi-agents pour détecter les menaces avancées grâce à un couplage identité-comportement et à une enquête autonome, surpassant ainsi les méthodes actuelles tout en réduisant considérablement les coûts d'investigation.

L'essentiel

🕵️‍♂️ ProvAgent : Le Détective Numérique qui ne dort jamais

Imaginez que votre entreprise est une immense ville remplie de millions de personnes (les ordinateurs, les fichiers, les programmes) qui bougent, parlent et travaillent chaque seconde. Le problème, c'est qu'un voleur très intelligent (le pirate informatique) se cache parmi eux. Il ne vole pas tout de suite ; il se faufile, change de déguisement et attend le bon moment. C'est ce qu'on appelle une Menace Persistante Avancée (APT).

Traditionnellement, les systèmes de sécurité sont comme des caméras de surveillance qui hurlent à chaque fois qu'une personne traverse une rue. Résultat ? Les gardes de sécurité (les analystes humains) sont submergés par des milliers de fausses alertes et finissent par ne plus rien voir. C'est la fatigue d'alerte.

ProvAgent est une nouvelle solution qui change la donne. Au lieu de simplement crier "Attention !", il agit comme une équipe de détectives super-intelligents qui travaillent ensemble.

Voici comment ça marche, en trois étapes simples :

1. Le Filtre Intelligent (EPD) : "Qui fait quoi ?"

Imaginez que vous connaissez parfaitement vos voisins. Vous savez que le boulanger fait du pain le matin et que le plombier répare des tuyaux l'après-midi.

• Le problème actuel : Les vieux systèmes disent "Alerte ! Un boulanger a ouvert un tuyau !" et crient au voleur, alors que c'est peut-être juste une réparation urgente. Ou pire, ils ne remarquent pas si un voleur se déguise en boulanger mais agit bizarrement.
• La solution ProvAgent : Il utilise une technique appelée "Liaison Identité-Comportement". Il ne regarde pas seulement qui est là (le nom du fichier), mais ce qu'il fait par rapport à son rôle habituel.
  • Analogie : Si le boulanger commence soudainement à voler des bijoux dans le coffre-fort de la banque voisine, ProvAgent dit : "Attends, un boulanger ne fait pas ça ! C'est suspect !"
  • Cela permet de repérer les vrais voleurs et de filtrer les fausses alarmes (comme un boulanger qui change juste de fournil).

2. L'Équipe de Détectives (MAI) : "Enquêtez, ne vous contentez pas de regarder"

Une fois qu'une alerte sérieuse est levée, ProvAgent ne se contente pas de la noter. Il envoie une équipe de 4 agents IA (des intelligences artificielles spécialisées) pour enquêter, comme dans un film de police.

• L'Analyste (Le Gardien) : Il vérifie si l'alerte est vraie. Il compare le comportement suspect avec des exemples de comportements normaux. "Est-ce que c'est vraiment un crime ou juste une erreur humaine ?"
• L'Enquêteur (Le Fouilleur) : Si c'est suspect, il fouille les alentours. "Ce voleur a touché ce fichier. Qui a créé ce fichier ? Où est-il allé ensuite ?" Il cherche les indices cachés.
• Le Chef (Le Stratège) : Il regarde le tableau d'ensemble. "Nous avons un vol de bijoux et une fuite de données. Est-ce que ça fait partie d'un seul grand coup monté ?" Il essaie de reconstituer toute l'histoire du crime.
• Le Rapporteur (Le Rédacteur) : Il écrit un rapport clair et simple pour les humains, en expliquant exactement ce qui s'est passé, sans jargon compliqué.

Ces agents travaillent en boucle : le Chef propose une hypothèse ("Le voleur a dû voler un mot de passe avant"), l'Enquêteur va chercher la preuve, et l'Analyste valide. S'ils ne trouvent rien, ils abandonnent cette piste.

3. Le Résultat : Une histoire complète pour quelques centimes

Grâce à cette méthode, ProvAgent fait deux choses incroyables :

1. Il trouve ce que les autres ont manqué : En creusant plus profondément, il découvre des étapes du vol que les systèmes classiques ignoraient.
2. Il coûte très peu cher : Au lieu de payer des centaines d'analystes humains pour trier des milliers de fausses alertes, ProvAgent fait le travail pour environ 0,06 $ par jour (moins d'un café !).

🌟 En résumé

ProvAgent, c'est comme passer d'une équipe de gardes qui crient à chaque fois qu'un oiseau passe, à une équipe de Sherlock Holmes numériques.

• Ils savent distinguer un oiseau d'un espion déguisé en oiseau.
• Ils ne se contentent pas de voir l'espion ; ils reconstituent tout son parcours, ses complices et ses intentions.
• Et tout cela, ils le font en travaillant ensemble, sans jamais se fatiguer, pour un coût dérisoire.

C'est une révolution pour la sécurité informatique : moins de bruit, plus de vérité, et une enquête complète automatisée.

Résumé technique

Voici un résumé technique détaillé du papier de recherche ProvAgent, rédigé en français.

Titre : ProvAgent : Détection des menaces basée sur la liaison Identité-Comportement et enquête collaborative multi-agents

1. Problématique

Les Menaces Persistantes Avancées (APT) représentent un défi majeur pour la cybersécurité moderne en raison de leur nature multi-étapes et furtive. Les approches actuelles de détection basées sur la provenance (P-EDR) souffrent de deux paradoxes critiques :

• Le scepticisme des experts : Les analystes humains doutent de la capacité des modèles traditionnels à identifier des attaques complexes, ce qui les pousse à vérifier manuellement chaque alerte.
• La dépendance aux experts : Les analystes ne peuvent pas traiter manuellement les volumes massifs de logs bruts sans l'aide de modèles, mais ces modèles génèrent souvent trop de faux positifs.

Le paradigme actuel de collaboration "Humain-Modèle" conduit à une fatigue d'alerte et à une qualité d'enquête dépendante de l'expertise humaine. De plus, les méthodes existantes négligent souvent la cohérence entre l'identité d'une entité (ex: nom du processus, chemin de fichier) et son comportement, générant des faux positifs élevés (ex: confondre un processus cat légitime avec un processus nginx malveillant si les deux effectuent des lectures de fichiers).

2. Méthodologie : L'Architecture ProvAgent

ProvAgent propose un nouveau paradigme passant d'une collaboration Humain-Modèle à une collaboration Système Multi-Agents - Modèles Traditionnels. Le framework se compose de deux modules principaux :

A. Module de Détection basé sur le Profil d'Entité (EPD - Entity-Profile-based Detection)

• Objectif : Filtrer les logs bruts pour générer des alertes de haute fidélité avec un minimum de faux positifs.
• Approche : Utilisation de l'apprentissage par contraste sur graphes (Graph Contrastive Learning).
• Mécanisme clé : Au lieu de se fier uniquement à la topologie du graphe, EPD apprend des profils comportementaux fins liés à l'identité spécifique de chaque entité (ex: un processus nommé nginx doit avoir un comportement cohérent avec un serveur web).
• Détection : Une anomalie est détectée lorsqu'il y a une incohérence entre l'identité déclarée d'une entité et son comportement observé (ex: un processus nginx qui se comporte comme un outil de recherche de fichiers find).
• Résultat : Génération d'alertes de haute qualité servant de points d'entrée pour l'enquête.

B. Module d'Investigation Multi-Agents (MAI - Multi-Agent Investigation)

• Objectif : Automatiser l'enquête profonde et la reconstruction de l'attaque sans intervention humaine constante.
• Architecture : Un système collaboratif de quatre agents spécialisés orchestrés autour d'un référentiel d'enquête partagé :
  1. L'Analyste (Analyst) : Gatekeeper qui valide les alertes en comparant les comportements suspects avec une base de connaissances de comportements bénins (recherche de similarité et d'identité).
  2. L'Enquêteur (Investigator) : Explore le voisinage des événements validés pour reconstruire les opérations atomiques (ex: élévation de privilèges) et découvrir de nouvelles pistes.
  3. Le Leader (Leader) : Effectue un raisonnement stratégique de haut niveau. Il formule des hypothèses sur les étapes manquantes de la chaîne de kill ou les faux positifs, et orchestre la vérification par les autres agents.
  4. Le Rapporteur (Reporter) : Synthétise les résultats en un rapport lisible pour l'analyste humain.
• Fonctionnement : Le système opère dans une boucle fermée "Hypothèse-Vérification". Il ne se contente pas de classer, mais active des agents pour prouver ou infirmer des hypothèses d'attaque, réduisant ainsi les hallucinations des LLMs grâce à la validation croisée.

3. Contributions Clés

1. Cadre Synergique : Combinaison de l'efficacité des modèles traditionnels (EPD) pour le tri initial et des capacités de raisonnement des LLMs multi-agents (MAI) pour l'enquête profonde.
2. Détection EPD : Introduction d'une liaison fine Identité-Comportement via l'apprentissage par contraste pour générer des alertes à faible taux de faux positifs.
3. Investigation MAI : Un framework multi-agents autonome capable d'itérer, de valider des preuves et de reconstruire des narratifs d'attaque complets, éliminant les faux positifs et découvrant des attaques manquées.
4. Évaluation Complète : Validation sur des jeux de données réels (DARPA E3, E5, OpTC) démontrant une supériorité par rapport aux méthodes de l'état de l'art (SOTA).

4. Résultats Expérimentaux

Les évaluations ont été menées sur les datasets DARPA E3, E5 et OpTC en comparant ProvAgent à six méthodes SOTA (Threatrace, Kairos, Flash, MAGIC, Orthrus, OCR-APT).

• Détection d'anomalies : ProvAgent surpasse les autres méthodes en termes de précision et de rappel. Contrairement à Orthrus (qui a un taux de détection très faible) ou à Threatrace/Flash (qui génèrent des milliers de faux positifs), ProvAgent identifie les points pivots critiques avec un coût de faux positifs nettement inférieur.
• Investigation et Reconstruction :
  • ProvAgent réussit à reconstruire des processus d'attaque quasi-complets.
  • Sur le dataset CADETS-E3, l'investigation autonome a permis d'augmenter le nombre d'IOC (Indicateurs de Compromission) détectés de 160,7 % par rapport aux alertes initiales, tandis que la méthode concurrente OCR-APT a vu son nombre d'IOC diminuer.
  • Le système couvre la majorité des étapes de la chaîne de kill (Initial Compromise, C&C, Lateral Movement, etc.).
• Coût et Efficacité :
  • L'enquête automatisée est extrêmement rentable, avec un coût minimum de 0,06 $ par jour pour le traitement des logs.
  • Le temps de traitement moyen est d'environ 0,25 heure par jour de logs.
• Robustesse : ProvAgent démontre une forte résistance aux attaques par mimétisme (mimicry attacks), car la liaison identité-comportement rend difficile la dissimulation d'activités malveillantes sous couvert de structures bénignes.

5. Signification et Impact

ProvAgent marque une avancée significative en transformant la réponse aux incidents de sécurité :

• Réduction de la charge humaine : Il libère les analystes de la vérification manuelle fastidieuse des faux positifs et de la reconstruction manuelle des chaînes d'attaque.
• Passage du passif à l'actif : Contrairement aux systèmes qui se contentent de signaler, ProvAgent agit comme un analyste actif, formulant des hypothèses et cherchant activement des preuves.
• Faisabilité économique : Le faible coût opérationnel rend possible une investigation approfondie et automatisée même pour des organisations aux ressources limitées.
• Nouveau Paradigme : Il établit un nouveau standard où les LLMs ne sont pas de simples classificateurs ou conseillers, mais des agents dotés d'autorité d'enquête au sein d'un système collaboratif structuré.

En résumé, ProvAgent résout le dilemme entre la détection à grande échelle et la profondeur de l'analyse, offrant une solution autonome, précise et économiquement viable pour la détection et l'investigation des APT.