Recherche et détection des patterns d'attaques dans les réseaux IP à hauts débits

Zaidi, Abdelhalim

14 January 2011

Avec leur rôle important dans la protection des réseaux, les Systèmes de Détection d'Intrusion (IDS) doivent être capables d'adapter leurs modes de fonctionnement à toutes les innovations technologiques. L'IDS doit gérer une grande masse d'information et traiter un trafic réseau à une cadence très élevée à cause des vitesses de transfert et de la diversité des services offerts. Il doit aussi traiter un grand nombre d'attaques qui ne cesse d'augmenter. Par conséquent, améliorer les performances des IDS devient une tâche critique pour les concepteurs des mécanismes de protection. Dans notre thèse, nous nous focalisons sur les problèmes liés aux paramètres quantitatifs de l'utilisation des l'IDS. Nous proposons une approche pour la classification des signatures d'attaques en fonction de leurs sous-chaînes communes. Cette approche permet de réduire le nombre des signatures traitées et par conséquent réduire le temps d'exécution. Nous traitons aussi le problème de la masse de données analysée par l'IDS, nous proposons une architecture de détection basée sur la classification des connexions réseau. L'architecture proposée permet de décider de la nature d'une connexion : suspecte ou non. Dans le premier cas, la connexion doit être analysée par le système de détection d'intrusion. Sinon, si elle n'est pas suspecte nous pouvons décider de ne pas l'analyser par l'IDS.

Sécurité informatique

détection d'intrusion

pattern matching

sous-chaînes communes

classification par apprentissage

réseau Bayesien naïf

système multi-agents

ontologie

seuils de détection stochastique