Caractérisation de systèmes d'exploitation en présence de pilotes défaillants

Albinet, Arnaud

30 March 2005

Les pilotes de périphériques composent désormais une part essentielle des systèmes d'exploitation. Plusieurs études montrent qu'ils sont fréquemment à l'origine des dysfonctionnements des systèmes opératoires. Dans ce mémoire, nous présentons une méthode pour l'évaluation de la robustesse des noyaux face aux comportements anormaux des pilotes de périphériques. Pour cela, après avoir analysé et précisé les caractéristiques des échanges entre les pilotes et le noyau (DPI - Driver Programming Interface), nous proposons une technique originale d'injection de fautes basée sur la corruption des paramètres des fonctions manipulées au niveau de cette interface. Nous définissons différentes approches pour l'analyse et l'interprétation des résultats observés pour obtenir des mesures objectives de sûreté de fonctionnement. Ces mesures permettent la prise en compte de différents points de vue afin de répondre aux besoins réels de l'utilisateur. Enfin, nous illustrons et validons l'applicabilité de cette méthode par sa mise en Suvre dans le cadre d'un environnement expérimental sous Linux. La méthode proposée contribue à la caractérisation de la sûreté de fonctionnement des noyaux vis-à-vis des défaillances des pilotes du système. L'impact des résultats est double : a) permettre au développeur de tels logiciels d'identifier les faiblesses potentielles affectant la sûreté de fonctionnement du système, b) aider un intégrateur dans le choix du composant le mieux adapté à ses besoins.

Système d'exploitation

Sûreté de fonctionnement

Pilotes de périphériques

Expériences contrôlées

Injection de fautes

Caractérisation de la sûreté de fonctionnement de systèmes à base d'intergiciel

Marsden, Eric

27 February 2004

Nous proposons une méthodologie pour l'analyse de la sûreté de fonctionnement d'un middleware, ou intergiciel, et caractériser son comportement en présence de fautes. Notre méthode est basée sur une analyse structurelle des intergiciels de communication, sur l'élaboration d'un modèle de fautes, une classification des modes de défaillance, et le développement d'un ensemble de techniques d'injection de faute adaptées à l'intergiciel. Nous avons validé notre approche en menant des campagnes d'injection de faute ciblant plusieurs implantations de la norme CORBA, et obtenu des mesures quantitatives de la robustesse des différents candidats testés. Nos travaux permettent à des intégrateurs de systèmes répartis critiques d'obtenir des assurances sur la robustesse des composants intergiciels qu'ils placent au coeur de leurs systèmes, et aux développeurs d'intergiciel d'obtenir des informations sur des points faibles de leurs produits.

Intergiciel / logiciel intermédiaire

Corba

Injection de fautes

Robustesse

Conception et réalisation d'une architecture tolérant les intrusions pour des serveurs internet

Saidane, Ayda

28 January 2005

La connexion de systèmes critiques à Internet pose de sérieux problèmes de sécurité. En effet, les techniques classiques de protection sont souvent inefficaces, dans ce nouveau contexte. Dans cette thèse, nous proposons une architecture générique tolérant les intrusions pour serveurs Internet. Cette architecture est basée sur les principes de redondance avec diversification afin de renforcer les capacités du système à faire face aux attaques. En effet, une attaque vise généralement une application particulière sur une plateforme particulière et s'avère très souvent inefficace sur les autres. L'architecture comprend plusieurs serveurs Web (COTS) redondants et diversifiés, et un ou plusieurs mandataires mettant en Suvre la politique de tolérance aux intrusions. L'originalité de cette architecture réside dans son adaptabilité. En effet, elle utilise un niveau de redondance variable qui s'adapte au niveau d'alerte. Nous présentons deux variantes de cette architecture destinées à différents systèmes cibles. La première architecture est destinée à des systèmes complètement statiques où les mises à jours sont effectuées hors-ligne. La deuxième architecture est plus générique, elle considère les systèmes complètement dynamiques où les mises à jours sont effectuées en temps réel. Elle propose une solution basée sur un mandataire particulier chargé de gérer les accès à la base de données. Nous avons montré la faisabilité de notre architecture, en implémentant un prototype dans le cadre d'un exemple d'une agence de voyages sur Internet. Les premiers tests de performances ont été satisfaisants, les temps de traitements des requêtes sont acceptables ainsi que le temps de réponse aux incidents.

Tolérance aux fautes

Tolérance aux intrusions

Sécurité informatique

Internet

Contributions à la fiabilisation du transport de la vidéo

Bouabdallah, Amine

03 December 2010

Les applications vidéo rencontrent un franc succes dans les nouveaux réseaux de communication. Leur utilisation dans des contextes de plus en plus difficiles : réseaux de paquets non fiables (internet), diffusion vers des récepteurs mobiles via des canaux sans fil, ont requis le développement de nouvelles solutions plus efficaces et mieux adaptées. Les travaux de cette thèse sont une tentative de réponse à ces besoins. Les solutions qui ont été développées peuvent être regroupées en deux ensembles : des solutions issues de travaux nouveaux développés dans un contexte d'utilisation ordinaire et des solutions issues de l'amélioration et l'optimisation de travaux existants développés pour des contextes extrêmes.Le canal de Bernoulli a représenté pour nous le cadre de travail pour le développement des nouvelles solutions. Ainsi pour les applications de diffusion vidéo, nous avons ciblé la protection inégale et avons développé un mécanisme à protection inégale des données vidéo (DA-UEP). Ce mécanisme se situe à proximité de la source vidéo et adapte le niveau de protection des données à leur degré d'importance. Son originalité réside dans sa manière d'intégrer la particularité d'interdépendances des données vidéo dans le générateur de la protection inégale. Dans un travail d'approfondissement et d'exploration, nous avons combiné la protection inégale des couches hautes produite par DA-UEP avec de la protection inégale de la couche physique produite par de la modulation hiérarchique. L'optimisation de ce système a permis d'obtenir des gains significatifs et a validé le bien fondé de cette piste de recherche. Pour les communications vidéo interactives, nous avons évalué les performances du mécanisme Tetrys pour les communications vidéo. Ce mécanisme de codage à la volée avec intégration des acquittements a permis d'obtenir des résultats à la hauteur de ceux obtenus par la protection inégale dans un cadre de diffusion. Ces résultats ont aussi permis de mettre en avant tout le potentiel de ce mécanisme.Pour les canaux satellites mobiles, nous nous sommes intéressés à la diffusion vidéo vers des récepteurs mobiles. Dans ce cadre, nous avons évalué des mécanismes tels que les codes correcteurs d'erreurs, les entrelaceurs de la couche physique et de la couche liaison et les codes à effacement de niveau intermédiaire. Nous avons travaillé sur un canal réaliste en prenant en compte les contraintes pratiques telles que les temps de zapping et la vitesse de déplacement des récepteurs. Nous avons révélé les relations qui existent entre vitesse de déplacement, étalement spatial et qualité de réception. Ainsi, nous avons pu mettre en évidence les combinaisons de mécanismes qui permettent d'obtenir les meilleurs résultats en termes de fiabilité et de temps de zapping dans ce contexte particulier.

Vidéo

Protection inégale

Interdépendance de données

Diffusion satellite

Détection d'intrusions dans les systèmes distribués par propagation de teinte au niveau noyau

Hauser, Christophe

19 June 2013

Modern organisations rely intensively on information and communication technology infrastruc- tures. Such infrastructures offer a range of services from simple mail transport agents or blogs to complex e-commerce platforms, banking systems or service hosting, and all of these depend on distributed systems. The security of these systems, with their increasing complexity, is a chal- lenge. Cloud services are replacing traditional infrastructures by providing lower cost alternatives for storage and computational power, but at the risk of relying on third party companies. This risk becomes particularly critical when such services are used to host privileged company information and applications, or customers' private information. Even in the case where companies host their own information and applications, the advent of BYOD (Bring Your Own Device) leads to new security related issues. In response, our research investigated the characterization and detection of malicious activities at the operating system level and in distributed systems composed of multiple hosts and services. We have shown that intrusions in an operating system spawn abnormal information flows, and we developed a model of dynamic information flow tracking, based on taint marking techniques, in order to detect such abnormal behavior. We track information flows between objects of the operating system (such as files, sockets, shared memory, processes, etc.) and network packets flowing between hosts. This approach follows the anomaly detection paradigm. We specify the legal behavior of the system with respect to an information flow policy, by stating how users and programs from groups of hosts are allowed to access or alter each other's information. Illegal information flows are considered as intrusion symptoms. We have implemented this model in the Linux kernel4 , as a Linux Security Module (LSM), and we used it as the basis for practical demonstrations. The experimental results validated the feasibility of our new intrusion detection principles. This research is part of a joint research project between Supélec (École supérieure d'éléctricité) and QUT (Queensland University of Technology).

Détection d'intrusion

suivi de flux d'information

politique de sécurité

systèmes distribués

Evaluation des systèmes de détection d'intrusion

Gad El Rab, Mohammed

15 December 2008

Cette thèse vise à contribuer à l'amélioration des méthodes d'évaluation des systèmes de détection d'intrusion (en anglais, Intrusion Detection Systems ou IDS). Ce travail est motivé par deux problèmes actuels : tout d'abord, l'augmentation du nombre et de la complexité des attaques que l'on observe aujourd'hui nécessite de faire évoluer les IDS pour leur permettre de les détecter. Deuxièmement, les IDS actuels génèrent de trop fréquentes fausses alertes, ce qui les rend inefficaces voir inutiles. Des moyens de test et d'évaluation sont nécessaires pour déterminer la qualité de détection des IDS et de leurs algorithmes de détection. Malheureusement, il n'existe pas actuellement de méthode d'évaluation satisfaisante. En effet, les méthodes employées jusqu'ici présentent trois défauts majeurs : 1) une absence de méthodologie rigoureuse, 2) l'utilisation de données de test non représentatives, et 3) l'utilisation de métriques incorrectes. Partant de ce constat, nous proposons une démarche rigoureuse couvrant l'ensemble de l'évaluation des IDS. Premièrement, nous proposons une méthodologie d'évaluation qui permet d'organiser l'ensemble du processus d'évaluation. Deuxièmement, afin d'obtenir des données de test représentatives, nous avons défini une classification des types d'attaques en fonction des moyens de détection utilisés par les IDS. Cela permet non seulement de choisir les attaques à inclure dans les données de test mais aussi d'analyser les résultats de l'évaluation selon les types d'attaques plutôt que sur chaque attaque individuellement. Troisièmement, nous avons analysé un grand nombre d'attaques réelles et de " maliciels " connus, tels que les virus et les vers. Grâce à cette analyse, nous avons pu construire un modèle générique de processus d'attaques qui met en évidence la dynamique des activités d'attaque. Ce modèle permet de générer un nombre important de scénarios d'attaques à la fois réalistes et variés. Les méthodes proposées ont été expérimentées su r deux systèmes de détection d'intrusion très différents, pour montrer la généralité de notre démarche. Les résultats montrent que l'approche proposée permet de surmonter les deux défauts principaux des évaluations existantes, à savoir l'absence de méthodologie et l'utilisation de données non représentatives. Elle permet en particulier de mieux gérer le processus d'évaluation et de choisir les cas de test pertinents pour les types d'IDS et les objectifs de l'évaluation, tout en couvrant une large partie de l'espace d'attaques.

Sécurité

Système de détection d'intrusion (IDS)

Evaluation

Test

Attaques

Maliciel

Gestion Dynamique de Service de Bout en Bout dans un Contexte de Mobilité et d'Ubiquité : du Déploiement au Delivery des services

Kessal Ouanouche, Soumia

22 September 2011

L'intensification de la concurrence et les exigences des clients pour des services toujours plus innovants et fiables conduisent l'opérateur à accélérer le renouvellement de son portefeuille de services et à vouloir devancer ses concurrents dans leur mise sur le marché. Mais dans le nouveau contexte NGN/NGS où l'utilisateur est nomade, change de terminal, change d'environnement et désire une continuité de service en tout lieu et selon ses préférences, la fourniture de services depuis la stratégie jusqu'à l'exploitation devient de plus en plus complexe et longue à maîtriser. Ainsi, avoir une gestion dynamique qui permet d'améliorer le TTM et le ROI devient un challenge pour les opérateurs. Dans cette thèse, nous nous intéressons à la résolution de problèmes de gestion du cycle de vie des services depuis le Déploiement jusqu'au Delivery dans un environnement ubiquitaire et mobile. Pour ce faire, dans un premier temps, nous commençons par analyser les travaux existants en termes de gestion du cycle de vie des services, puis nous identifions plus précisément les besoins du nouveau contexte NGN/NGS du point de vue de l'utilisateur et de l'opérateur. Les verrous à lever concernent les différentes phases du cycle de vie des services. Comment les repenser afin d'avoir une continuité de service et un maintien de la QoS dans ce contexte de mobilité et d'ubiquité. Nos contributions sont au nombre de quatre et concerne le Déploiement, le Provisioning, le Delivery et l'Assurance des services. Deux champs d'application sont directement impactés par nos propositions et permettent de valoriser nos travaux. Le premier se déduit de la gestion de la mobilité de la session de l'utilisateur par la QoS. Le deuxième est les standards télécom et plus particulièrement les processus business.

Gestion

Service

QoS

Mobilité

Ubiquité

NGN/NGS

Déploiement

Provisioning

Delivery

Les communications anonymes à faible latence

Aguilar Melchior, Carlos

04 July 2006

Dans ce mémoire nous proposons des systèmes de communication anonyme à faible latence. Pour cela nous étudions les performances des systèmes basés sur les primitives classiques : envoi superposé ou bourrage chiffré pour l'émission, et diffusion avec adressage implicite pour la réception, quand les groupes d'utilisateurs potentiels sont contraints à être de petite taille, peu changeants, ou localisés. Nous proposons l'utilisation des protocoles de récupération d'informations privée (ou protocoles PIR pour Private Information Retrieval) comme alternative à la diffusion avec adressage implicite, et nous étudions les systèmes en résultant. Ces systèmes permettent de réduire significativement le coût des communications, au prix d'un coût calculatoire important. Au moyen d'exemples, nous montrons que ces nouvelles solutions offrent un meilleur choix dans certaines situations, notamment pour les utilisateurs connectés au service par Internet. Dans un deuxième temps, nous mettons en avant les relations entre les différentes techniques et montrons que les systèmes basés sur les primitives classiques ne sont en fait que des instances d'une famille qui, par l'utilisation de la récupération d'informations privée, devient nombreuse et polyvalente. Ainsi, on dispose de beaucoup plus de degrés de liberté pour l'implémentation de solutions fournissant des communications anonymes dans le cadre des groupes d'utilisateurs sous contraintes.

Protection de la vie privée

Communications anonymes

Récupération d'informations privée

Modélisation et évaluation de la sûreté de fonctionnement - De AADL vers les réseaux de Pétri stochastiques

Rugina, Ana-Elena

19 November 2007

Conduire des analyses de sûreté de fonctionnement conjointement avec d'autres analyses au niveau architectural permet à la fois d'estimer les effets des décisions architecturales sur la sûreté de fonctionnement du système et de faire des compromis. Par conséquent, les industriels et les universitaires se concentrent sur la définition d'approches d'ingénierie guidées par des modèles (MDE) et sur l'intégration de diverses analyses dans le processus de développement. AADL (Architecture Analysis and Design Language) a prouvé son aptitude pour la modélisation d'architectures et ce langage est actuellement jugé efficace par les industriels dans de telles approches. Notre contribution est un cadre de modélisation permettant la génération de modèles analytiques de sûreté de fonctionnement à partir de modèles AADL dans lobjectif de faciliter l'obtention de mesures de sûreté de fonctionnement comme la fiabilité et la disponibilité. Nous proposons une approche itérative de modélisation. Dans ce contexte, nous fournissons un ensemble de sous-modèles génériques réutilisables pour des mécanismes de tolérance aux fautes. Le modèle AADL de sûreté de fonctionnement est transformé en un RdPSG (Réseau de Petri Stochastique Généralisé) en appliquant des règles de transformation de modèle. Nous avons mis en Suvre un outil de transformation automatique. Le RdPSG résultant peut être traité par des outils existants pour obtenir des mesures de sûreté defonctionnement. L'approche est illustrée sur un ensemble du SystèmeInformatique Français de Contrôle de Trafic Aérien.

Evaluation

AADL

RdPSG

Transformation de modèles

Observation, caractérisation et modélisation de processus d'attaques sur Internet

Alata, Eric

07 December 2007

Le développement de méthodes permettant l'observation et la caractérisation d'attaques sur Internet est important pour améliorer notre connaissance sur le comportement des attaquants. En particulier, les informations issues de ces analyses sont utiles pour établir des hypothèses réalistes et mettre en oeuvre des mécanismes de protection pour y faire face. Les travaux présentés dans cette thèse s'inscrivent dans cette optique en utilisant des pots de miel comme moyen pour collecter des données caractérisant des activités malveillantes sur Internet. Les pots de miel sont des systèmes informatiques volontairement vulnérables et visant à attirer les attaquants afin d'étudier leur comportement. Nos travaux et contributions portent sur deux volets complémentaires. Le premier concerne le développement d'une méthodologie et de modèles stochastiques permettant de caractériser la distribution des intervalles de temps entre attaques, la propagation et les corrélations entre les processus d'attaques observés sur plusieurs environnements, en utilisant comme support les données issues de pots de miel basse interaction d'eployés dans le cadre du projet Leurré.com. Le deuxième volet de nos travaux porte sur le développement et le déploiement d'un pot de miel haute interac- tion permettant d'étudier aussi la progression d'une attaque au sein d'un système, en considérant comme exemple des attaques visant le service ssh. L'analyse des données collectées nous a permis d'observer différentes étapes du processus d'intrusion et de montrer la pertinence de notre d'approche.

Sécurité

Internet

Pot de miel

Evaluation quantitative

Intrusion