Détection d'intrusions paramétrée par la politique de sécurité grâce au contrôle collaboratif des flux d'informations au sein du système d'exploitation et des applications : mise en œuvre sous Linux pour les programmes Java

Hiet, Guillaume

19 December 2008

La sécurité informatique est un enjeu crucial. Elle consiste en premier lieu à définir une politique de sécurité puis à mettre en œuvre cette politique. Les approches préventives comme le contrôle d'accès sont essentielles mais insuffisantes. Il est donc nécessaire de recourir à la détection d'intrusions. En particulier, l'approche de détection d'intrusions paramétrée par la politique de sécurité nous paraît prometteuse. Une telle approche s'appuie uniquement sur un modèle de l'évolution de l'état du système et sur un modèle de la politique de sécurité. Nous nous intéressons dans cette thèse aux politiques de flux d'informations permettant d'assurer la confidentialité et l'intégrité des données. Nous souhaitons utiliser une approche de détection d'intrusions paramétrée par la politique de sécurité pour surveiller un système comprenant un OS et des logiciels COTS comprenant des applications web. Nous proposons un modèle de détection permettant de suivre les flux d'informations entre les conteneurs d'informations. Nous définissons une architecture générique de système de détection d'intrusions (IDS) permettant d'implémenter le modèle proposé. Cette architecture repose sur la collaboration entre plusieurs IDS effectuant le suivi des flux d'informations à différents niveaux de granularité. Nous présentons une implémentation de cette architecture reposant sur Blare, un IDS existant permettant de gérer les conteneurs d'informations de l'OS, et JBlare, une implémentation que nous avons réalisée pour suivre les flux d'informations au niveau des applications Java. Nous présentons également les résultats des expérimentations que nous avons menées en instrumentant des applications Java « réalistes ».

[INFO:INFO_OH] Computer Science/Other

sécurité informatique

détection d'intrusions

politique de sécurité

Détection des intrusions dans les systèmes d'information : la nécessaire prise en compte des caractéristiques du système surveillé

Mé, Ludovic

16 June 2003

Ce mémoire résume 10 ans de travail autour de l'étude des concepts à la base des systèmes de détection d'intrusions. Nous présentons en premier lieu les grandes caractéristiques des systèmes de détection d'intrusions : la source des données à analyser, l'approche de détection retenue, l'architecture de l'outil de détection d'intrusions, la granularité de l'analyse et le comportement en cas de détection. Nous positionnons alors nos travaux relativement à ces caractéristiques. Nous mettons ensuite en en avant parmi nos travaux en cours, ceux qui nous paraissent les plus à même d'apporter des réponses aux problèmes actuels de la détection d'intrusions. Ces travaux présentent une caractéristique commune : ils prennent en compte les caractéristiques du système surveillé : topologie, types de machine, logiciels installés, failles connues, politique de sécurité en vigueur. Nous présentons le travail fait dans le cadre de la thèse de Benjamin Morin autour de la corrélation des alertes issues des outils de détection d'intrusions, puis les travaux réalisés dans le cadre de la thèse de Jacob Zimmermann autour du contrôle d'accès tolérant aux intrusions. Comme il se doit, ce mémoire se conclu par la présentation de quelques perspectives de recherche.

[INFO] Computer Science

[SPI] Engineering Sciences

détection d'intrusions

systèmes d'information

Détection d'intrusions pour les systèmes de contrôle industriels / Intrusion detection for industrial control systems

Koucham, Oualid

12 November 2018

L’objectif de ce travail de thèse est le développement de techniques de détection d’intrusions et de corrélation d’alertes spécifiques aux systèmes de contrôle industriels (ICS). Cet intérêt est justifié par l’émergence de menaces informatiques visant les ICS, et la nécessité de détecter des attaques ciblées dont le but est de violer les spécifications sur le comportement correct du processus physique.Dans la première partie de nos travaux, nous nous sommes intéressés à l’inférence automatique de spécifications pour les systèmes de contrôle séquentiels et ce à des fins de détection d’intrusions. La particularité des systèmes séquentiels réside dans leur logique de contrôle opérant par étapes discrètes. La détection d’intrusions au sein de ces systèmes a été peu étudiée malgré leur omniprésence dans plusieurs domaines d’application. Dans notre approche, nous avons adopté le formalisme de la logique temporelle linéaire (LTL) et métrique (MTL) permettant de représenter des propriétés temporelles d’ordre qualitatif et quantitatif sur l’état des actionneurs et des capteurs. Un algorithme d’inférence de propriétés a été développé afin d’automatiser la génération des propriétés à partir de motifs de spécifications couvrant les contraintes les plus communes. Cette approche vise à pallier le nombre conséquent de propriétés redondantes inférées par les approches actuelles.Dans la deuxième partie de nos travaux, nous cherchons à combiner l’approche de détection d’intrusions développée dans le premier axe avec des approches de détection d’intrusions classiques. Pour ce faire, nous explorons une approche de corrélation tenant compte des spécificités des systèmes industriels en deux points: (i) l’enrichissement et le prétraitement d’alertes venant de domaines différents (cyber et physique), et (ii) la mise au point d’une politique de sélection d’alertes tenant compte du contexte d’exécution du processus physique. Le premier point part du constat que, dans un système industriel, les alertes qui sont remontées au corrélateur sont caractérisées par des attributs hétérogènes (attributs propres aux domaines cyber et physique). Cependant, les approches de corrélation classiques présupposent une certaine homogénéité entre les alertes. Afin d’y remédier, nous développons une approche d’enrichissement des alertes du domaine physique par des attributs du domaine cyber sur la base d’informations relatives aux protocoles supportés par les contrôleurs et à la distribution des variables du processus au sein des contrôleurs. Le deuxième point concerne le développement d’une politique de sélection d’alertes qui adapte dynamiquement les fenêtres de sélection des alertes selon l’évolution des sous-processus.Les résultats de l’évaluation de nos approches de détection et de corrélation montrent des performances améliorées sur la base de métriques telles que le nombre de propriétés inférées, le taux de réduction des alertes et la complétude des corrélations. / The objective of this thesis is to develop intrusion detection and alert correlation techniques geared towards industrial control systems (ICS). Our interest is driven by the recent surge in cybersecurity incidents targeting ICS, and the necessity to detect targeted attacks which induce incorrect behavior at the level of the physical process.In the first part of this work, we develop an approach to automatically infer specifications over the sequential behavior of ICS. In particular, we rely on specification language formalisms such as linear temporal logic (LTL) and metric temporal logic (MTL) to express temporal properties over the state of the actuators and sensors. We develop an algorithm to automatically infer specifications from a set of specification patterns covering the most recurring properties. In particular, our approach aims at reducing the number of redundant and unfalsifiable properties generated by the existing approaches. To do so, we add a pre-selection stage which allows to restrict the search for valid properties over non redundant portions of the execution traces. We evaluate our approach on a complex physical process steered by several controllers under process oriented attacks. Our results show that a significant reduction in the number of inferred properties is possible while achieving high detection rates.In the second part of this work, we attempt to combine the physical domain intrusion detection approach developed in the first part with more classical cyber domain intrusion detection approaches. In particular, we develop an alert correlation approach which takes into account some specificities of ICS. First, we explore an alert enrichment approach that allows to map physical domain alerts into the cyber domain. This is motivated by the observation that alertscoming from different domains are characterized by heterogeneous attributes which makes any direct comparison of the alerts difficult. Instead, we enrich the physical domain alerts with cyber domain attributes given knowledge about the protocols supported by the controllers and the memory mapping of process variables within the controllers.In this work, we also explore ICS-specific alert selection policies. An alert selection policy defines which alerts will be selected for comparison by the correlator. Classical approaches often rely on sliding, fixed size, temporal windows as a basis for their selection policy. Instead, we argue that given the complex interdependencies between physical subprocesses, agreeing on analert window size is challenging. Instead, we adopt selection policies that adapt to the state of the physical process by dynamically adjusting the size of the alert windows given the state of the subprocesses within the physical process. Our evaluation results show that our correlator achieves better correlation metrics in comparison with classical temporal based approaches.

Détection d'intrusions

Système de contrôle industriels

Cybersécurité

Intrusion detection

Industrial control systems

Cybersecurity

004

620

Développement de modèles graphiques et logiques non classiques pour le traitement des alertes et la gestion des préférences / Development of graphical models and non-classical logics for preferences handling and alerts treatment

Boudjelida, Abdelhamid

07 April 2013

Face aux problèmes quotidiens, on se retrouve souvent confrontés à des situations où la prise de décision est nécessaire. Prendre une décision c'est agir en fonction des choix, préférences et connaissances des agents sur le monde. L'intelligence artificielle a donné naissance à de nombreux outils de représentation permettant d'exprimer les préférences et les connaissances des agents. Malheureusement, les approches existantes ne sont pas totalement satisfaisantes. Ainsi le but de la première partie de cette thèse est de proposer une approche permettant l'intégration des connaissances des experts aux modèles graphiques probabilistes utilisées pour des tâches de classification tels que les réseaux Bayésiens. Les performances des modèles développés sont évaluées concrètement sur des problèmes de détection d'intrusions et de corrélation d'alertes dans le domaine de la sécurité informatique. La deuxième partie concerne la gestion des préférences complexes en présence des contraintes fonctionnelles dans des environnements incertains et la proposition d'une nouvelle logique non classique pour la représentation et le raisonnement sur les préférences en présence des contraintes dans de tels environnements. Les travaux menés dans cette deuxième partie sont testés sur un système de réservation électronique utilisé par le CNRS. / In real life, we often find our self confronted to situations where decision making is necessary. Make a decision is to act according to the choices and preferences of agents as well as their knowledge on the world. Artificial Intelligence gave rise to many tools of representation and expression of agents' preferences and knowledge. Unfortunately, existing approaches are not completely satisfactory. Thus, the goal of the first part of this thesis is to propose an approach allowing the integration of experts' knowledge to the probabilistic graphical models used for classification tasks such as Bayesian networks. The performances of the developed models are concretely evaluated on problems of intrusions detection and alerts correlation in the field of computer security. The second part of this thesis relates to complex preferences handling in presence of functional constraints in uncertain environments and proposes a new non-classical logic for representing and reasoning with preferences in such environments. The works leaded in this second part, are tested on an electronic travel-agency system used by CNRS.

Classification

Modèles graphiques probabilistes

Réseaux bayésiens

Arbres de décision

Détection d'intrusions

Corrélation d'alertes

Logiques non-classiques

Préférences complexes

Incertitude

Systèmes de réservation électronique

A basis for intrusion detection in distributed systems using kernel-level data tainting. / Détection d'intrusions dans les systèmes distribués par propagation de teinte au niveau noyau

Hauser, Christophe

19 June 2013

Les systèmes d'information actuels, qu'il s'agisse de réseaux d'entreprises, deservices en ligne ou encore d'organisations gouvernementales, reposent trèssouvent sur des systèmes distribués, impliquant un ensemble de machinesfournissant des services internes ou externes. La sécurité de tels systèmesd'information est construite à plusieurs niveaux (défense en profondeur). Lors de l'établissementde tels systèmes, des politiques de contrôle d'accès, d'authentification, defiltrage (firewalls, etc.) sont mises en place afin de garantir lasécurité des informations. Cependant, ces systèmes sont très souventcomplexes, et évoluent en permanence. Il devient alors difficile de maintenirune politique de sécurité sans faille sur l'ensemble du système (quand bienmême cela serait possible), et de résister aux attaques auxquelles ces servicessont quotidiennement exposés. C'est ainsi que les systèmes de détectiond'intrusions sont devenus nécessaires, et font partie du jeu d'outils desécurité indispensables à tous les administrateurs de systèmes exposés enpermanence à des attaques potentielles.Les systèmes de détection d'intrusions se classifient en deux grandes familles,qui diffèrent par leur méthode d'analyse: l'approche par scénarios et l'approchecomportementale. L'approche par scénarios est la plus courante, et elle estutilisée par des systèmes de détection d'intrusions bien connus tels queSnort, Prélude et d'autres. Cette approche consiste à reconnaître des signaturesd'attaques connues dans le trafic réseau (pour les IDS réseau) et des séquencesd'appels systèmes (pour les IDS hôtes). Il s'agit donc de détecter descomportements anormaux du système liés à la présence d'attaques. Bien que l'onpuisse ainsi détecter un grand nombre d'attaques, cette approche ne permet pasde détecter de nouvelles attaques, pour lesquelles aucune signature n'estconnue. Par ailleurs, les malwares modernes emploient souvent des techniquesdites de morphisme binaire, afin d'échapper à la détection parsignatures.L'approche comportementale, à l'inverse de l'approche par signature, se basesur la modélisation du fonctionnement normal du système. Cette approche permetainsi de détecter de nouvelles attaques tout comme des attaques plus anciennes,n'ayant recours à aucune base de données de connaissance d'attaques existantes.Il existe plusieurs types d'approches comportementales, certains modèles sontstatistiques, d'autres modèles s'appuient sur une politique de sécurité.Dans cette thèse, on s'intéresse à la détection d'intrusions dans des systèmesdistribués, en adoptant une approche comportementale basée sur une politique desécurité. Elle est exprimée sous la forme d'une politique de flux d'information. Les fluxd'informations sont suivis via une technique de propagation de marques (appeléeen anglais « taint marking ») appliquées sur les objets du systèmed'exploitation, directement au niveau du noyau. De telles approchesexistent également au niveau langage (par exemple par instrumentation de lamachine virtuelle Java, ou bien en modifiant le code des applications), ou encoreau niveau de l'architecture (en émulant le microprocesseur afin de tracer lesflux d'information entre les registres, pages mémoire etc.), etpermettent ainsi une analyse fine des flux d'informations. Cependant, nous avons choisi de nous placer au niveau du système d'exploitation, afin de satisfaire les objectifs suivants:• Détecter les intrusions à tous les niveaux du système, pas spécifiquement au sein d'une ou plusieurs applications.• Déployer notre système en présence d'applications natives, dont le code source n'est pas nécessairement disponible (ce qui rend leur instrumentation très difficile voire impossible).• Utiliser du matériel standard présent sur le marché. Il est très difficile de modifier physiquement les microprocesseurs, et leur émulation a un impact très important sur les performances du système. / Modern organisations rely intensively on information and communicationtechnology infrastructures. Such infrastructures offer a range of servicesfrom simple mail transport agents or blogs to complex e-commerce platforms,banking systems or service hosting, and all of these depend on distributedsystems. The security of these systems, with their increasing complexity, isa challenge. Cloud services are replacing traditional infrastructures byproviding lower cost alternatives for storage and computational power, butat the risk of relying on third party companies. This risk becomesparticularly critical when such services are used to host privileged companyinformation and applications, or customers' private information. Even in thecase where companies host their own information and applications, the adventof BYOD (Bring Your Own Device) leads to new security relatedissues.In response, our research investigated the characterization and detection ofmalicious activities at the operating system level and in distributedsystems composed of multiple hosts and services. We have shown thatintrusions in an operating system spawn abnormal information flows, and wedeveloped a model of dynamic information flow tracking, based on taintmarking techniques, in order to detect such abnormal behavior. We trackinformation flows between objects of the operating system (such as files,sockets, shared memory, processes, etc.) and network packetsflowing between hosts. This approach follows the anomaly detection paradigm.We specify the legal behavior of the system with respect to an informationflow policy, by stating how users and programs from groups of hosts areallowed to access or alter each other's information. Illegal informationflows are considered as intrusion symptoms. We have implemented this modelin the Linux kernel (the source code is availableat http://www.blare-ids.org), as a Linux Security Module (LSM), andwe used it as the basis for practical demonstrations. The experimentalresults validated the feasibility of our new intrusion detection principles.

Détection d'intrusions

Sécurité

Systèmes distribués

Noyau Linux

Approche comportementale

Intrusion detection

Security

Distributed systems

Linux kernel

Anomaly detection

378.242

Sécurité des réseaux et infrastructures critiques

Abou El Kalam, Anas

03 December 2009

Les infrastructures et réseaux critiques commencent à s'ouvrir vers des architectures, protocoles et applications vulnérables. Ainsi, non seulement il est question de sécuriser ces applications (e.g., contre les attaques potentielles), mais il faut également justifier notre confiance dans les mécanismes de sécurité déployés. Pour cela, nous présentons PolyOrBAC, un cadriciel basé sur le modèle de contrôle d'accès OrBAC, les mécanismes de services Web ainsi que les contrats électroniques. Ensuite, nous préconisons l'utilisation de la Programmation Logique par Contraintes (PLC) pour détecter et résoudre les conflits éventuels dans la politique de sécurité. Au niveau de la mise en œuvre, nous proposons le protocole Q-ESP, notre amélioration d'IPSec qui assure à la fois des besoins de sécurité et de QoS. Enfin, nous présentons nos modèles et résultats de test et d'évaluation d'outils de sécurité notamment les Systèmes de Détection d'Intrusions (IDS).

Sécurité des réseaux

sécurité des infrastructures critiques

politiques de sécurité

modèles de sécurité

Analyse de vulnérabilités et évaluation de systèmes de détection d'intrusions pour les applications Web

Akrout, Rim

18 October 2012

Avec le développement croissant d'Internet, les applications Web sont devenues de plus en plus vulnérables et exposées à des attaques malveillantes pouvant porter atteinte à des propriétés essentielles telles que la confidentialité, l'intégrité ou la disponibilité des systèmes d'information. Pour faire face à ces malveillances, il est nécessaire de développer des mécanismes de protection et de test (pare feu, système de détection d'intrusion, scanner Web, etc.) qui soient efficaces. La question qui se pose est comment évaluer l'efficacité de tels mécanismes et quels moyens peut-on mettre en oeuvre pour analyser leur capacité à détecter correctement des attaques contre les applications web. Dans cette thèse nous proposons une nouvelle méthode, basée sur des techniques de clustering de pages Web, qui permet d'identifier les vulnérabilités à partir de l'analyse selon une approche boîte noire de l'application cible. Chaque vulnérabilité identifiée est réellement exploitée ce qui permet de s'assurer que la vulnérabilité identifiée ne correspond pas à un faux positif. L'approche proposée permet également de mettre en évidence différents scénarios d'attaque potentiels incluant l'exploitation de plusieurs vulnérabilités successives en tenant compte explicitement des dépendances entre les vulnérabilités. Nous nous sommes intéressés plus particulièrement aux vulnérabilités de type injection de code, par exemple les injections SQL. Cette méthode s'est concrétisée par la mise en oeuvre d'un nouveau scanner de vulnérabilités et a été validée expérimentalement sur plusieurs exemples d'applications vulnérables. Nous avons aussi développé une plateforme expérimentale intégrant le nouveau scanner de vulnérabilités, qui est destinée à évaluer l'efficacité de systèmes de détection d'intrusions pour des applicationsWeb dans un contexte qui soit représentatif des menaces auxquelles ces applications seront confrontées en opération. Cette plateforme intègre plusieurs outils qui ont été conçus pour automatiser le plus possible les campagnes d'évaluation. Cette plateforme a été utilisée en particulier pour évaluer deux techniques de détection d'intrusions développées par nos partenaires dans le cadre d'un projet de coopération financé par l'ANR, le projet DALI.

Application Web

Attaque et vulnérabilités

Evaluation

Système de détection d'intrusions

Scanner Web

Raisonnement en présence d'incohérence : de la compilation de bases de croyances stratifiées à l'inférence à partir de bases de croyances partiellement pré-ordonnées / Reasoning under inconsistency : from the compilation of stratified belief bases to reasoningfrom partially preordered belief bases

Yahi-mechouche, Safa

04 December 2009

Nous nous intéressons dans cette thèse aux approches basées sur la restauration de la cohérence à partir de bases de croyances stratifiées ainsi qu'à partir de bases de croyances partiellement préordonnées (BCPP). Dans le premier cas, nous nous attaquons aux problèmes de complexité en proposant trois nouvelles approches de compilation que nous qualifions de flexibles en étant paramétrées par n'importe quel langage cible de compilation. La première concerne l'inférence possibiliste et s'adapte facilement à l'inférence linéaire. La seconde approche se rapporte à l'inférence lexicographique et se base sur la notion de contraintes de cardinalité Booléennes. Nous introduisons aussi une nouvelle compilation pour l'inférence MSP (pour Minimum de Specificity Principle). En ce qui concerne le raisonnement à partir de BCPPs qui offrent plus de flexibilité dans de nombreuses situations, notre première contribution consiste en l'introduction d'une extension de l'inférence lexicographique classique qui revêt un vif intérêt. La seconde contribution dans ce même cadre, est l'étude comparative des différentes relations d'inférence à partir de BCPPs relativement à la complexité, les propriétés logiques et la prudence. Une dernière contribution est l'application du raisonnement en présence d'incohérence dans le cadre de la détection d'intrusions coopérative. En effet, nous proposons une nouvelle approche de corrélation d'alertes. Cette approche se base sur le raisonnement à partir de BCPPs exprimées en logiques de description qui sont bien adaptées à la représentation des informations structurées tout en garantissant la décidabilité du raisonnement. / In this thesis, we are interested in coherence based approaches from both stratified belief bases and partially preordered belief bases (PPBB). In the first case, we tackle the complexity problems by proposing three new compilation approaches. The first one is about the possibilistic inference and applies easily to linear inference. The second approach is relative to lexicographic inference and is based on Boolean cardinality constraints. We also introduce a novel compilation approach for MSP entailment (MSP for Minimum Specificity Principle). As to reasoning from PPBBs which offer much more flexibility in many situations, our first contribution consists in extending the lexicographic inference which has interesting properties. The second contribution is a comparative study of the different inference relations from PPBBs with respect to three key dimensions, namely the complexity, the logical properties and the cautiousness. The last contribution is the application of reasoning under inconsistency in the case of intrusion detection. More precisely, we propose a new correlation approach. This latter is based on reasoning from PPBBs expressed in description logics, which are suitable to represent structured informations by ensuring the decidability of reasoning.

Raisonnement en présence d'incohérence

Compilation

Logiques de description

Détection d'intrusions

Logique possibiliste

Inférence lexicographique

Inférence linéaire

Complexité

Prudence

Propriétés logiques

Risk monitoring with intrusion detection for industrial control systems / Surveillance des risques avec détection d'intrusion pour les systèmes de contrôle industriels

Muller, Steve

26 June 2018

Les cyberattaques contre les infrastructures critiques telles que la distribution d'électricité, de gaz et d'eau ou les centrales électriques sont de plus en plus considérées comme une menace pertinente et réaliste pour la société européenne. Alors que des solutions éprouvées comme les applications antimalware, les systèmes de détection d'intrusion (IDS) et même les systèmes de prévention d'intrusion ou d'auto-cicatrisation ont été conçus pour des systèmes informatiques classiques, ces techniques n'ont été que partiellement adaptées au monde des systèmes de contrôle industriel. En conséquence, les organisations et les pays font recours à la gestion des risques pour comprendre les risques auxquels ils sont confrontés. La tendance actuelle est de combiner la gestion des risques avec la surveillance en temps réel pour permettre des réactions rapides en cas d'attaques. Cette thèse vise à fournir des techniques qui aident les responsables de la sécurité à passer d'une analyse de risque statique à une plateforme de surveillance des risques dynamique et en temps réel. La surveillance des risques comprend trois étapes, chacune étant traitée en détail dans cette thèse : la collecte d'informations sur les risques, la notification des événements de sécurité et, enfin, l'inclusion de ces informations en temps réel dans une analyse des risques. La première étape consiste à concevoir des agents qui détectent les incidents dans le système. Dans cette thèse, un système de détection d'intrusion est développé à cette fin, qui se concentre sur une menace persistante avancée (APT) qui cible particulièrement les infrastructures critiques. La deuxième étape consiste à traduire les informations techniques en notions de risque plus abstraites, qui peuvent ensuite être utilisées dans le cadre d'une analyse des risques. Dans la dernière étape, les informations collectées auprès des différentes sources sont corrélées de manière à obtenir le risque auquel l'ensemble du système est confronté. Les environnements industriels étant caractérisés par de nombreuses interdépendances, un modèle de dépendance est élaboré qui prend en compte les dépendances lors de l'estimation du risque. / Cyber-attacks on critical infrastructure such as electricity, gas, and water distribution, or power plants, are more and more considered to be a relevant and realistic threat to the European society. Whereas mature solutions like anti-malwareapplications, intrusion detection systems (IDS) and even intrusion prevention or self-healing systems have been designed for classic computer systems, these techniques have only been partially adapted to the world of Industrial ControlSystems (ICS). As a consequence, organisations and nations fall back upon risk management to understand the risks that they are facing. Today's trend is to combine risk management with real-time monitoring to enable prompt reactions in case of attacks. This thesis aims at providing techniques that assist security managers in migrating from a static risk analysis to areal-time and dynamic risk monitoring platform. Risk monitoring encompasses three steps, each being addressed in detail in this thesis: the collection of risk-related information, the reporting of security events, and finally the inclusion of this real time information into a risk analysis. The first step consists in designing agents that detect incidents in the system. In this thesis, an intrusion detection system is developed to this end, which focuses on an advanced persistent threat (APT) that particularly targets critical infrastructures. The second step copes with the translation of the obtained technical information in more abstract notions of risk, which can then be used in the context of a risk analysis. In the final step, the information collected from the various sources is correlated so as to obtain the risk faced by the entire system. Since industrial environments are characterised by many interdependencies, a dependency model is elaborated which takes dependencies into account when the risk is estimated.

Gestion de risque en temps réel

Surveillance des risques

Modélisation de dépendances

Systèmes industriels

Détection d'intrusions

Real-Time risk management

Risk monitoring

Dependency modelling

Industrial control systems

Intrusion detection

004

Alert correlation towards an efficient response decision support / Corrélation d’alertes : un outil plus efficace d’aide à la décision pour répondre aux intrusions

Ben Mustapha, Yosra

30 April 2015

Les SIEMs (systèmes pour la Sécurité de l’Information et la Gestion des Événements) sont les cœurs des centres opérationnels de la sécurité. Ils corrèlent un nombre important d’événements en provenance de différents capteurs (anti-virus, pare-feux, systèmes de détection d’intrusion, etc), et offrent des vues synthétiques pour la gestion des menaces ainsi que des rapports de sécurité. La gestion et l’analyse de ce grand nombre d’alertes est une tâche difficile pour l’administrateur de sécurité. La corrélation d’alertes a été conçue afin de remédier à ce problème. Des solutions de corrélation ont été développées pour obtenir une vue plus concise des alertes générées et une meilleure description de l’attaque détectée. Elles permettent de réduire considérablement le volume des alertes remontées afin de soutenir l’administrateur dans le traitement de ce grand nombre d’alertes. Malheureusement, ces techniques ne prennent pas en compte les connaissances sur le comportement de l’attaquant, les fonctionnalités de l’application et le périmètre de défense du réseau supervisé (pare-feu, serveurs mandataires, Systèmes de détection d’intrusions, etc). Dans cette thèse, nous proposons deux nouvelles approches de corrélation d’alertes. La première approche que nous appelons corrélation d’alertes basée sur les pots de miel utilise des connaissances sur les attaquants recueillies par le biais des pots de miel. La deuxième approche de corrélation est basée sur une modélisation des points d’application de politique de sécurité / Security Information and Event Management (SIEM) systems provide the security analysts with a huge amount of alerts. Managing and analyzing such tremendous number of alerts is a challenging task for the security administrator. Alert correlation has been designed in order to alleviate this problem. Current alert correlation techniques provide the security administrator with a better description of the detected attack and a more concise view of the generated alerts. That way, it usually reduces the volume of alerts in order to support the administrator in tackling the amount of generated alerts. Unfortunately, none of these techniques consider neither the knowledge about the attacker’s behavior nor the enforcement functionalities and the defense perimeter of the protected network (Firewalls, Proxies, Intrusion Detection Systems, etc). It is still challenging to first improve the knowledge about the attacker and second to identify the policy enforcement mechanisms that are capable to process generated alerts. Several authors have proposed different alert correlation methods and techniques. Although these approaches support the administrator in processing the huge number of generated alerts, they remain limited since these solutions do not provide us with more information about the attackers’ behavior and the defender’s capability in reacting to detected attacks. In this dissertation, we propose two novel alert correlation approaches. The first approach, which we call honeypot-based alert correlation, is based on the use of knowledge about attackers collected through honeypots. The second approach, which we call enforcement-based alert correlation, is based on a policy enforcement and defender capabilities’ model

Corrélation d'alertes

Aide à la décision

Pots de miels

Renforcement de politique de sécurité

Systèmes de détection d'intrusions

Réponses aux intrusions

Alert correlation

Decision support

Honeypots

Security policy enforcement

Detection systems

Responses to intrusions