Détection d'intrusions comportementale par diversification de COTS : application au cas des serveurs web

Majorczyk, Frédéric

03 December 2008

L'informatique et en particulier l'Internet jouent un rôle grandissant dans notre société. Un grand nombre d'applications critiques d'un point de vue de leur sécurité sont déployées dans divers domaines comme le domaine militaire, la santé, le commerce électronique, etc. La sécurité des systèmes informatiques devient alors une problématique essentielle tant pour les individus que pour les entreprises ou les états. Il est donc important de définir une politique de sécurité pour ces systèmes et de veiller à son respect. Néanmoins les mécanismes de sécurité préventifs mis en place ne sont pas incontournables. Il est nécessaire de mettre en œuvre des outils permettant de détecter toute violation de la politique de sécurité, c'est-à-dire toute intrusion. Ces outils sont appelés des systèmes de détection d'intrusions ou IDS. Souvent en collaboration avec les IDS, il est possible de mettre en place des outils et techniques de tolérance aux intrusions. Ces outils et techniques ont pour objectif que les intrusions affectant un composant du système n'entrainent pas de violations de la politique de sécurité du système global.<br />Notre travail s'inscrit dans le domaine de la détection d'intrusions, de manière essentielle, et permet une certaine tolérance aux intrusions. Contrairement aux méthodes de détection classiques en détection comportementale pour lesquelles il est nécessaire de définir et construire un modèle de référence du comportement de l'entité surveillée, nous avons suivi une méthode issue de la sureté de fonctionnement fondée sur la programmation N-versions pour laquelle le modèle de référence est implicite et est constitué par les autres logiciels constituant l'architecture. Nous proposons l'utilisation de COTS en remplacement des versions spécifiquement développées car développer N-versions est couteux et est réservé à des systèmes critiques du point de vue de la sécurité-innocuité. D'autres travaux et projets ont proposé des architectures fondées sur ces idées. Nos contributions se situent à différents niveaux. Nous avons pris en compte dans notre modèle général de détection d'intrusions les spécificités liées à l'utilisation de COTS en lieu et place de versions spécifiquement développées et proposé deux solutions pour parer aux problèmes induits par ces spécificités. Nous avons proposé deux approches de détection d'intrusions fondées sur cette architecture : l'une suivant une approche de type boite noire et l'autre suivant une approche de type boite grise. Notre méthode de type boite grise peut, en outre, aider l'administrateur de sécurité à effectuer un premier diagnostic des alertes. Nous avons réalisé une implémentation de ces deux approches dans le cadre des serveurs web et avons évalué pratiquement la pertinence et de la fiabilité de ces deux IDS.

[INFO] Computer Science

[SPI:OTHER] Engineering Sciences/Other

sécurité informatique

détection d'intrusion

tolérance aux intrusions

diversification fonctionnelle

Conception et réalisation d'une architecture tolérant les intrusions pour des serveurs internet

Saidane, Ayda

28 January 2005

La connexion de systèmes critiques à Internet pose de sérieux problèmes de sécurité. En effet, les techniques classiques de protection sont souvent inefficaces, dans ce nouveau contexte. Dans cette thèse, nous proposons une architecture générique tolérant les intrusions pour serveurs Internet. Cette architecture est basée sur les principes de redondance avec diversification afin de renforcer les capacités du système à faire face aux attaques. En effet, une attaque vise généralement une application particulière sur une plateforme particulière et s'avère très souvent inefficace sur les autres. L'architecture comprend plusieurs serveurs Web (COTS) redondants et diversifiés, et un ou plusieurs mandataires mettant en Suvre la politique de tolérance aux intrusions. L'originalité de cette architecture réside dans son adaptabilité. En effet, elle utilise un niveau de redondance variable qui s'adapte au niveau d'alerte. Nous présentons deux variantes de cette architecture destinées à différents systèmes cibles. La première architecture est destinée à des systèmes complètement statiques où les mises à jours sont effectuées hors-ligne. La deuxième architecture est plus générique, elle considère les systèmes complètement dynamiques où les mises à jours sont effectuées en temps réel. Elle propose une solution basée sur un mandataire particulier chargé de gérer les accès à la base de données. Nous avons montré la faisabilité de notre architecture, en implémentant un prototype dans le cadre d'un exemple d'une agence de voyages sur Internet. Les premiers tests de performances ont été satisfaisants, les temps de traitements des requêtes sont acceptables ainsi que le temps de réponse aux incidents.

Tolérance aux fautes

Tolérance aux intrusions

Sécurité informatique

Internet

La protection des systèmes informatiques vis à vis des malveillances

Nicomette, Vincent

19 November 2009

La sécurité des systèmes informatiques répartis est un problème de plus en plus important, en particulier avec l'utilisation massive du réseau Internet. Il est donc essentiel de pouvoir imaginer des techniques de protection efficaces de nos systèmes et de nos réseaux. Ces travaux proposent une contribution à la protection des systèmes informatiques vis-a-vis des malveillances, en abordant le problème sous deux angles : un angle architectural et un angle expérimental. L'angle architectural concerne la conception d'architectures de sécurité permettant de faire face aux menaces actuelles, en proposant plusieurs approches suivies dans la cadre de différentes thèses. L'angle expérimental se focalise sur des techniques permettant d'améliorer notre connaissance des attaquants et des processus d'attaques, en particulier, les processus qui utilisent le réseau Internet comme support.

[INFO] Computer Science

[INFO] Informatique

Sûreté de fonctionnement

Sécurité

Protection

Contrôle d'accès

Tolérance aux intrusions

Redondance adaptative

Pots de miel haute interaction

Réseaux de machines compromises

Noyaux de système d'exploitation

Mécanismes de protection matériels