Le monitorage (monitoring) est une approche pour la sécurisation du code qui permet
l'exécution d’un code potentiellement malicieux en observant son exécution, et en intervenant
au besoin pour éviter une violation d’une politique de sécurité. Cette méthode
a plusieurs applications prometteuses, notamment en ce qui a trait à la sécurisation du
code mobile.
Les recherches académiques sur le monitorage se sont généralement concentrées sur
deux questions. La première est celle de délimiter le champ des politiques de sécurité
applicables par des moniteurs opérant sous différentes contraintes. La seconde question
est de construire des méthodes permettant d’insérer un moniteur dans un programme,
ce qui produit un nouveau programme instrumenté qui respecte la politique de sécurité
appliquée par ce moniteur. Mais malgré le fait qu’une vaste gamme de moniteurs a été
étudiée dans la littérature, les travaux sur l’insertion des moniteurs dans les programmes
se sont limités à une classe particulière de moniteurs, qui sont parmi les plus simples et
les plus restreint quant à leur champ de politiques applicables.
Cette thèse étend les deux avenues de recherches mentionnées précédemment et
apporte un éclairage nouveau à ces questions. Elle s’attarde en premier lieu à étendre le
champ des politiques applicables par monitorage en développabt une nouvelle approche
pour l’insertion d’un moniteur dans un programme. En donnant au moniteur accès à
un modèle du comportement du programme, l’étude montre que le moniteur acquiert
la capacité d’appliquer une plus vaste gamme de politiques de sécurité.
De plus, les recherches ont aussi d´emontré qu’un moniteur capable de transformer
l’exécution qu’il surveille est plus puissant qu’un moniteur qui ne possède pas cette
capacité. Naturellement, des contraintes doivent être imposées sur cette capacité pour
que l’application de la politique soit cohérente. Autrement, si aucune restriction n’est
imposée au moniteur, n’importe quelle politique devient applicable, mais non d’une
manière utile ou désirable. Dans cette étude, nous proposons deux nouveaux paradigmes
d’application des politiques de sécurité qui permettent d’incorporer des restrictions
raisonnables imposées sur la capacité des moniteurs de transformer les exécutions sous
leur contrôle. Nous étudions le champ des politiques applicables avec ces paradigmes
et donnons des exemples de politiques réelles qui peuvent être appliquées à l’aide de
notre approche. / Execution monitoring is an approach that seeks to allow an untrusted code to run
safely by observing its execution and reacting if need be to prevent a potential violation
of a user-supplied security policy. This method has many promising applications,
particularly with respect to the safe execution of mobile code.
Academic research on monitoring has generally focused on two questions. The first,
relates to the set of policies that can be enforced by monitors under various constraints
and the conditions under which this set can be extended. The second question deals
with the way to inline a monitor into an untrusted or potentially malicious program
in order to produce a new instrumented program that provably respects the desired
security policy.
This study builds on the two strands of research mentioned above and brings new
insights to this study. It seeks, in the first place, to increase the scope of monitorable
properties by suggesting a new approach of monitor inlining. By drawing on an a priori
model of the program’s possible behavior, we develop a monitor that can enforce a
strictly larger set of security properties.
Furthermore, longstanding research has showed that a monitor that is allowed to
transform its input is more powerful than one lacking this ability. Naturally, this ability
must be constrained for the enforcement to be meaningful. Otherwise, if the monitor
is given too broad a leeway to transform valid and invalid sequences, any property can
be enforced, but not in a way that is useful or desirable. In this study, we propose
two new enforcement paradigms which capture reasonable restrictions on a monitor’s
ability to alter its input. We study the set of properties enforceable if these enforcement
paradigms are used and give examples of real-life security policies that can be enforced
using our approach.
| Identifer | oai:union.ndltd.org:LACETR/oai:collectionscanada.gc.ca:QQLA.2011/28124 |
| Date | 03 1900 |
| Creators | Khoury, Raphaël |
| Contributors | Tawbi, Nadia |
| Publisher | Université Laval |
| Source Sets | Library and Archives Canada ETDs Repository / Centre d'archives des thèses électroniques de Bibliothèque et Archives Canada |
| Language | French |
| Detected Language | French |
| Type | Electronic Thesis or Dissertation |
| Format | application/pdf |
| Rights | © Raphaël Khoury, 2011 |
Page generated in 0.0023 seconds