Infrastructure distribuée permettant la détection d'attaques logicielles

Deneault, Sébastien

January 2013

Le nombre de systèmes informatiques augmente de jour en jour et beaucoup d'entités malveillantes tentent d'abuser de leurs vulnérabilités. Il existe un fléau qui fait rage depuis quelques années et qui cause beaucoup de difficultés aux experts en sécurité informatique : les armées de robots (botnets). Des armées d'ordinateurs infectés sont constituées pour ensuite être louées et utilisées à des fins peu enviables. La société fait face à un problème : il est très difficile d'arrêter ces armées et encore plus de trouver leurs coordonnateurs. L'objectif de ce travail de recherche est de développer des outils destinés à identifier ces entités et aider à démanteler ces réseaux. Plus précisément, ce projet porte sur la conception d'une plateforme distribuée permettant de faire un pré-traitement des données collectées sur divers réseaux et de les distribuer dans un système d'analyse. Cette plateforme sera en libre source, facilement adaptable et flexible. De plus, elle devra être en mesure de traiter une grande quantité de données dans un court laps de temps. Ce système se distinguera étant donné qu'il sera distribué sur plusieurs réseaux sous un modèle client-serveur et collaborera dans le but de trouver les coordonnateurs de ces armées de robots.

Système distribué

Sécurité informatique

Détection de botnets

Enforcing security policies with runtime monitors

Khoury, Raphaël

17 April 2018

Le monitorage (monitoring) est une approche pour la sécurisation du code qui permet l'exécution d’un code potentiellement malicieux en observant son exécution, et en intervenant au besoin pour éviter une violation d’une politique de sécurité. Cette méthode a plusieurs applications prometteuses, notamment en ce qui a trait à la sécurisation du code mobile. Les recherches académiques sur le monitorage se sont généralement concentrées sur deux questions. La première est celle de délimiter le champ des politiques de sécurité applicables par des moniteurs opérant sous différentes contraintes. La seconde question est de construire des méthodes permettant d’insérer un moniteur dans un programme, ce qui produit un nouveau programme instrumenté qui respecte la politique de sécurité appliquée par ce moniteur. Mais malgré le fait qu’une vaste gamme de moniteurs a été étudiée dans la littérature, les travaux sur l’insertion des moniteurs dans les programmes se sont limités à une classe particulière de moniteurs, qui sont parmi les plus simples et les plus restreint quant à leur champ de politiques applicables. Cette thèse étend les deux avenues de recherches mentionnées précédemment et apporte un éclairage nouveau à ces questions. Elle s’attarde en premier lieu à étendre le champ des politiques applicables par monitorage en développabt une nouvelle approche pour l’insertion d’un moniteur dans un programme. En donnant au moniteur accès à un modèle du comportement du programme, l’étude montre que le moniteur acquiert la capacité d’appliquer une plus vaste gamme de politiques de sécurité. De plus, les recherches ont aussi d´emontré qu’un moniteur capable de transformer l’exécution qu’il surveille est plus puissant qu’un moniteur qui ne possède pas cette capacité. Naturellement, des contraintes doivent être imposées sur cette capacité pour que l’application de la politique soit cohérente. Autrement, si aucune restriction n’est imposée au moniteur, n’importe quelle politique devient applicable, mais non d’une manière utile ou désirable. Dans cette étude, nous proposons deux nouveaux paradigmes d’application des politiques de sécurité qui permettent d’incorporer des restrictions raisonnables imposées sur la capacité des moniteurs de transformer les exécutions sous leur contrôle. Nous étudions le champ des politiques applicables avec ces paradigmes et donnons des exemples de politiques réelles qui peuvent être appliquées à l’aide de notre approche. / Execution monitoring is an approach that seeks to allow an untrusted code to run safely by observing its execution and reacting if need be to prevent a potential violation of a user-supplied security policy. This method has many promising applications, particularly with respect to the safe execution of mobile code. Academic research on monitoring has generally focused on two questions. The first, relates to the set of policies that can be enforced by monitors under various constraints and the conditions under which this set can be extended. The second question deals with the way to inline a monitor into an untrusted or potentially malicious program in order to produce a new instrumented program that provably respects the desired security policy. This study builds on the two strands of research mentioned above and brings new insights to this study. It seeks, in the first place, to increase the scope of monitorable properties by suggesting a new approach of monitor inlining. By drawing on an a priori model of the program’s possible behavior, we develop a monitor that can enforce a strictly larger set of security properties. Furthermore, longstanding research has showed that a monitor that is allowed to transform its input is more powerful than one lacking this ability. Naturally, this ability must be constrained for the enforcement to be meaningful. Otherwise, if the monitor is given too broad a leeway to transform valid and invalid sequences, any property can be enforced, but not in a way that is useful or desirable. In this study, we propose two new enforcement paradigms which capture reasonable restrictions on a monitor’s ability to alter its input. We study the set of properties enforceable if these enforcement paradigms are used and give examples of real-life security policies that can be enforced using our approach.

QA 76.05 UL 2011

Sécurité informatique

Logiciels

Renforcement formel et automatique de politiques de sécurité dans la composition des services Web

Boumlik, Laila

28 July 2021

L'orchestration des services Web décrite par le Web Service-Business Process Execution Language (WS-BPEL), fait désormais partie intégrante du Web moderne, comme le cloud computing, le Big Data, l'Internet des objets (IoT) et les réseaux sociaux. En effet, elle est au centre de nombreux systèmes d'information liés à une variété de domaines tels que le commerce électronique, les institutions financières et les systèmes de santé, etc. où des données sensibles sont partagées, ce qui pose d'importants problèmes de sécurité. WS- BPEL appelé aussi BPEL, est le langage standard pour construire des services Web complexes d'une manière pratique. Cependant, BPEL n'est pas rigoureusement défini comme un langage formel entrainant ainsi des problèmes d'ambiguïté et de confusion lors de sa compréhension. Par ailleurs, sans fondement formel, il ne serait pas possible de fournir des preuves garantissant le bon fonctionnement de services. Cette thèse adresse la formalisation de BPEL et présente une approche formelle basée sur la réécriture de programmes permettant d'appliquer des politiques de sécurité au niveau de ce langage. Plus précisément, étant donné une composition de services Web spécifiée en BPEL et une politique de sécurité décrite dans une logique temporelle comme LTL, notre approche vise à générer une nouvelle version de service Web qui respecte cette politique de sécurité. La nouvelle version du service se comporte exactement comme l'originale excepté quand la politique est sur le point d'être violée. Dans ce cas le processus pourrait accomplir d'autres actions ou tout simplement être arrêté. La formalisation de BPEL a été aussi traduite dans l'environnement K-Framework, ce qui ouvre la porte à l'utilisation de ses nombreux outils formels incluant un évaluateur de modèles pour l'analyse de services Web. / The Web services orchestration approach described by the Web Service-Business Process Execution Language (WS-BPEL), is now an integral part of the modern Web, such as cloud computing, Big Data, the Internet of Things (IoT) and social networks. Indeed, it is at the center of many information systems related to a variety of domains such as e-commerce, financial institutions and healthcare systems, etc. where sensitive data is shared, which creates significant security issues. WS-BPEL, also called BPEL, is the standard language for building complex Web services in a practical way. However, BPEL is not rigorously defined as a formal language thus leading to problems of ambiguity and confusion when understanding it. Moreover, without a formal basis, it would not be possible to provide any proof guaranteeing the proper functioning of services. This thesis addresses the formalization of BPEL and presents a formal approach based on the rewriting of programs allowing the enforcement of security policies on this language. More precisely, given a composition of Web services specified in BPEL and a security policy described in a temporal logic like LTL, our approach aims to generate a new version of the Web service which respects the given security policy. The new version of the service behaves exactly like the original one except when the policy is about to be violated. In this case the process could take other actions or simply be stopped. The formalization of BPEL has also been translated into the K-Framework environment, which opens the door to the use of its many formal tools including a model checker for the analysis of Web services.

BPEL (Langage de programmation)

Services Web.

Sécurité informatique.

Encoding the program correctness proofs as programs in PCC technology

Pirzadeh Tabari, Seyed Heidar

20 April 2018

L'une des difficultés de l'application pratique du code incorporant une preuve (Proof-Carrying Code (PCC)) est la difficulté de communiquer les preuves car celles-ci sont généralement d'une taille importante. Les approches proposées pour atténuer ce problème engendrent de nouveaux problèmes, notamment celui de l'élargissement de la base de confiance (Trusted Computing Base): un bogue peut alors provoquer l'acceptation d'un programme malicieux. Au lieu de transmettre une preuve avec le code, nous proposons de transmettre un générateur de preuve dans un cadre générique et étendu de PCC (EPCC) (Extended Proof-Carrying Code). Un générateur est un programme dont la seule fonction est de produire une preuve; c'est-à-dire la preuve que le code qu'elle accompagne est correct. Le générateur a pour but principal d'être une représentation plus compacte de la preuve qu'il sert à générer. Le cadre de EPCC permet l'exécution du générateur de preuve du côté client d'une manière sécurisée. / One of the key issues with the practical applicability of Proof-Carrying Code (PCC) and its related methods is the difficulty in communicating the proofs which are inherently large. The approaches proposed to alleviate this, suffer with drawbacks of their own especially the enlargement of the Trusted Computing Base, in which any bug may cause an unsafe program to be accepted. We propose to transmit, instead, a proof generator for the program in question in a generic extended PCC framework (EPCC). A proof generator aims to be a more compact representation of its resulting proof. The EPCC framework enables the execution of the proof generator at the consumer side in a secure manner.

QA 76.05 UL 2008

Sécurité informatique

Détection d'intrusions paramétrée par la politique de sécurité grâce au contrôle collaboratif des flux d'informations au sein du système d'exploitation et des applications : mise en œuvre sous Linux pour les programmes Java

Hiet, Guillaume

19 December 2008

La sécurité informatique est un enjeu crucial. Elle consiste en premier lieu à définir une politique de sécurité puis à mettre en œuvre cette politique. Les approches préventives comme le contrôle d'accès sont essentielles mais insuffisantes. Il est donc nécessaire de recourir à la détection d'intrusions. En particulier, l'approche de détection d'intrusions paramétrée par la politique de sécurité nous paraît prometteuse. Une telle approche s'appuie uniquement sur un modèle de l'évolution de l'état du système et sur un modèle de la politique de sécurité. Nous nous intéressons dans cette thèse aux politiques de flux d'informations permettant d'assurer la confidentialité et l'intégrité des données. Nous souhaitons utiliser une approche de détection d'intrusions paramétrée par la politique de sécurité pour surveiller un système comprenant un OS et des logiciels COTS comprenant des applications web. Nous proposons un modèle de détection permettant de suivre les flux d'informations entre les conteneurs d'informations. Nous définissons une architecture générique de système de détection d'intrusions (IDS) permettant d'implémenter le modèle proposé. Cette architecture repose sur la collaboration entre plusieurs IDS effectuant le suivi des flux d'informations à différents niveaux de granularité. Nous présentons une implémentation de cette architecture reposant sur Blare, un IDS existant permettant de gérer les conteneurs d'informations de l'OS, et JBlare, une implémentation que nous avons réalisée pour suivre les flux d'informations au niveau des applications Java. Nous présentons également les résultats des expérimentations que nous avons menées en instrumentant des applications Java « réalistes ».

[INFO:INFO_OH] Computer Science/Other

sécurité informatique

détection d'intrusions

politique de sécurité

Vers un regroupement multicritères comme outil d'aide à l'attribution d'attaque dans le cyber-espace

Thonnard, Olivier

31 March 2010

Récemment, les experts en sécurité ont reconnu le fait que le phénomène global de cybercriminalité est devenu mieux organisé et plus consolidé. Même s'il existe des indices probables indiquant les origines, les causes et les conséquences de ces nouvelles activités malveillantes sur Internet, peu d'affirmations peuvent être réellement soutenues par des preuves scientifiques. En particulier, un certain nombre de questions subsiste concernant l'attribution des attaques et l'organisation des activités cybercriminelles. La contribution principale de ce travail est le développement d'une méthode analytique permettant d'aborder de manière systématique le problème de l'attribution d'attaque dans le cyber-espace. Le caractère innovant de l'approche choisie consiste à combiner une technique de regroupement basée sur les graphes, avec une méthode de fusion de données inspirée par le domaine de l'analyse décisionnelle multicritères (MCDA). Plus spécifiquement, nous démontrons qu'il est possible d'analyser des phénomènes d'attaque distribués à partir de différents points de vue qui peuvent être combinés systématiquement, tout en modélisant de manière adéquate les propriétés comportementales des phénomènes étudiés. Cette méthode d'analyse globale de menaces permet non seulement d'attribuer différents événements à une même cause d'origine ou à un même phénomène, mais l'aspect sans doute le plus intéressant est qu'elle facilite aussi l'analyse des modes opératoires des attaquants, offrant ainsi à l'analyste une meilleure compréhension des stratégies réellement utilisées par les cybercriminels.

Sécurité informatique

Attribution d'attaque

Étude du métamorphisme viral : modélisation, conception et détection

Borello, Jean-Marie

01 April 2011

La protection contre les codes malveillants représente un enjeu majeur. Il suffit de considérer les exemples récents des vers Conficker et Stuxnet pour constater que tout système d'information peut aujourd'hui être la cible de ce type d'attaques. C'est pourquoi, nous abordons dans cette thèse la menace représentée par les codes malveillants et plus particulièrement le cas du métamorphisme. Ce dernier constitue en effet l'aboutissement des techniques d'évolution de codes (" obfuscation ") permettant à un programme d'éviter sa détection. Pour aborder le métamorphisme nous adoptons une double problématique : dans une première partie, nous nous attachons à l'élaboration d'un moteur de métamorphisme afin d'en estimer le potentiel offensif. Pour cela, nous proposons une technique d'obscurcissement de code dont la transformation inverse est démontrée NP-complète dans le cadre de l'analyse statique. Ensuite, nous appliquons ce moteur sur une souche malveillante préalablement détectée afin d'évaluer les capacités des outils de détection actuels. Après cette première partie, nous cherchons ensuite à détecter, outre les variantes engendrées par notre moteur de métamorphisme, celles issues de codes malveillants connus. Pour cela, nous proposons une approche de détection dynamique s'appuyant sur la similarité comportementale entre programmes. Nous employons alors la complexité de Kolmogorov afin de définir une nouvelle mesure de similarité obtenue par compression sans perte. Finalement, un prototype de détection de code malveillant est proposé et évalué.

sécurité informatique

virologie

métamorphisme

détection

Integrating a usable security protocol for user authentication into the requirements and design process

Braz, Christina

09 1900

L'utilisabilité et la sécurité sont des éléments cruciaux dans le processus d'authentification des utilisateurs. L'un des défis majeurs auquel font face les organisations aujourd'hui est d'offrir des systèmes d'accès aux ressources logiques (par exemple, une application informatique) et physiques (par exemple, un bâtiment) qui soient à la fois sécurisées et utilisables. Afin d'atteindre ces objectifs, il faut d'abord mettre en œuvre les trois composantes indispensables que sont l'identification (c.-à-d., définir l'identité d'un utilisateur), l'authentification (c.-à-d., vérifier l'identité d'un utilisateur) et l'autorisation (c.-à-d., accorder des droits d'accès à un utilisateur). Plus particulièrement, la recherche en authentification de l'utilisateur est essentielle. Sans authentification, par exemple, des systèmes informatiques ne sont pas capables de vérifier si un utilisateur demandant l'accès à une ressource possède les droits de le faire. Bien que plusieurs travaux de recherche aient porté sur divers mécanismes de sécurité, très peu de recherches jusqu'à présent ont porté sur l'utilisabilité et la sécurité des méthodes d'authentification des utilisateurs. Pour cette raison, il nous paraît nécessaire de développer un protocole d'utilisabilité et de sécurité pour concevoir les méthodes d'authentification des utilisateurs. La thèse centrale de ce travail de recherche soutient qu'il y a un conflit intrinsèque entre la création de systèmes qui soient sécurisés et celle de systèmes qui soient facile d'utilisation. Cependant, l'utilisabilité et la sécurité peuvent être construites de manière synergique en utilisant des outils d'analyse et de conception qui incluent des principes d'utilisabilité et de sécurité dès l'étape d'Analyse et de Conception de la méthode d'authentification. Dans certaines situations il est possible d'améliorer simultanément l'utilisabilité et la sécurité en revisitant les décisions de conception prises dans le passé. Dans d'autres cas, il est plus avantageux d'aligner l'utilisabilité et la sécurité en changeant l'environnement régulateur dans lequel les ordinateurs opèrent. Pour cette raison, cette thèse a comme objectif principal non pas d'adresser l'utilisabilité et la sécurité postérieurement à la fabrication du produit final, mais de faire de la sécurité un résultat naturel de l'étape d'Analyse et de Conception du cycle de vie de la méthode d'authentification. ______________________________________________________________________________ MOTS-CLÉS DE L’AUTEUR : authentification de l'utilisateur, utilisabilité, sécurité informatique, contrôle d'accès.

Authentification

Contrôle d'accès

Convivialité

Protocole de sécurité

Sécurité informatique

User-centred security event visualisation / Visualisation d'événements de sécurité centrée autour de l'utilisateur

Humphries, Christopher

08 December 2015

Il est aujourd'hui de plus en plus difficile de gérer les énormes quantités de données générées dans le cadre de la sécurité des systèmes. Les outils de visualisation sont une piste pour faire face à ce défi. Ils représentent de manière synthétique et souvent esthétique de grandes quantités de données et d'événements de sécurité pour en faciliter la compréhension et la manipulation. Dans ce document, nous présentons tout d'abord une classification des outils de visualisation pour la sécurité en fonction de leurs objectifs respectifs. Ceux-ci peuvent être de trois ordres : monitoring (c'est à dire suivi en temps réel des événements pour identifier au plus tôt les attaques alors qu'elles se déroulent), exploration (parcours et manipulation a posteriori d'une quantité importante de données pour découvrir les événements importants) ou reporting (représentation a posteriori d'informations déjà connues de manière claire et synthétique pour en faciliter la communication et la transmission). Ensuite, nous présentons ELVis, un outil capable de représenter de manière cohérente des évènements de sécurité issus de sources variées. ELVis propose automatiquement des représentations appropriées en fonction du type des données (temps, adresse IP, port, volume de données, etc.). De plus, ELVis peut être étendu pour accepter de nouvelles sources de données. Enfin, nous présentons CORGI, une extension d'ELVIs permettant de manipuler simultanément plusieurs sources de données pour les corréler. A l'aide de CORGI, il est possible de filtrer les évènements de sécurité provenant d'une source de données en fonction de critères résultant de l'analyse des évènements de sécurité d'une autre source de données, facilitant ainsi le suivi des évènements sur le système d'information en cours d'analyse. / Managing the vast quantities of data generated in the context of information system security becomes more difficult every day. Visualisation tools are a solution to help face this challenge. They represent large quantities of data in a synthetic and often aesthetic way to help understand and manipulate them. In this document, we first present a classification of security visualisation tools according to each of their objectives. These can be one of three: monitoring (following events in real time to identify attacks as early as possible), analysis (the exploration and manipulation a posteriori of a an important quantity of data to discover important events) or reporting (representation a posteriori of known information in a clear and synthetic fashion to help communication and transmission). We then present ELVis, a tool capable of representing security events from various sources coherently. ELVis automatically proposes appropriate representations in function of the type of information (time, IP address, port, data volume, etc.). In addition, ELVis can be extended to accept new sources of data. Lastly, we present CORGI, an successor to ELVIS which allows the simultaneous manipulation of multiple sources of data to correlate them. With the help of CORGI, it is possible to filter security events from a datasource by multiple criteria, which facilitates following events on the currently analysed information systems.

Sécurité informatique

Visualisation sécurité

Information system security

005.8

Automated fault identification : kernel trace analysis

Waly, Hashem

January 2011

L'évolution des systèmes informatiques ayant des programmes parallèles, des processeurs multi-cores et des réseaux fortement interconnectés rend la détection des activités malicieuses plus difficile. Dans un tel contexte, le traçage du noyau s:est révélé être une solution appropriée. Ce travail présente un framework complet pour les analyses des traces du noyau. On a proposé un langage scripte déclaratif et simple à utiliser pour la spécification des patrons. Les patrons compilés sont insérés dans le moteur de détection qui par la suite analyse les traces et progressivement communique avec le module d'affichage. Le module d1 affichage est responsable d'avertir l'administrateur sur les problèmes qui exécutent en arrière plan sur le système. On considère que notre approche est suffisamment générale pour être utiliser avec n'importe quel types de trace (réseaux ou systèmes) ou même des traces combinés. Le langage proposé peut efficacement décrire des patrons reliés aux différents types de domaines : sécurité, performance, débogage et abstraction.

QA 76.05 UL 2011 W242