Les techniques traditionnelles de détection d'intrusions s'appuient sur différentes approches
permettant d'identifier une utilisation non prévue et non autorisée de différentes ressources
d'un système informatique. Afinn de détecter ces comportements, nous décrivons dans ce mémoire
une approche logique de détection d'intrusions basée sur l'identification, dans des traces
d'exécutions, de violations de politiques de sécurité données. Le modèle développé spécifie
l'état des ressources d'un système ainsi que les effets des différents appels système sur cet
état. Le système obtenu, qui s'apparente à un système expert, s'appuie sur un ensemble de
règles logiques décrivant les connaissances d'un expert en sécurité informatique. Tout comportement
illégal, c'est-à-dire non conforme aux politiques de sécurité considérées, est signalé
et est considéré comme une tentative d'intrusion. Le système implémenté est capable de détecter
une large classe d'attaques puisque l'approche développée ne se base pas sur certaines
séquences particulières d'actions déjà recensées, mais plutôt sur les effets des différentes actions
effectuées. De plus, il est capable de détecter de nouveaux comportements malveillants
non préalablement identifiés. / Traditional techniques for intrusion detection based on different approaches for identifying
unintended and unauthorized use of dfferent resources of a computer system. To detect these
behaviors, we describe in this paper a logical approach to intrusion detection based on the
identification, in execution traces, of violations of given security policies. The developed model
specifies the state of system resources as well as the effects of different system calls on this
state. The resulting system, which is similar to an expert system, relies on a set of logical
rules describing the knowledge of an expert in computer security. Any illegal behavior, that
means not conform to the considered security policies, is reported and is considered as an
intrusion attempt. The implemented system is able to detect a wide class of attacks since the
approach is not based on some particular sequences of actions already identified, but rather
on the effects of different actions performed. In addition, it is able to detect new malicious
behavior not previously identified.
| Identifer | oai:union.ndltd.org:LACETR/oai:collectionscanada.gc.ca:QQLA.2013/29873 |
| Date | 03 1900 |
| Creators | Zribi, Rimeh |
| Contributors | Ktari, Béchir |
| Publisher | Université Laval |
| Source Sets | Library and Archives Canada ETDs Repository / Centre d'archives des thèses électroniques de Bibliothèque et Archives Canada |
| Language | French |
| Detected Language | French |
| Type | Electronic Thesis or Dissertation |
| Format | application/pdf |
| Rights | © Rimeh Zribi, 2013 |
Page generated in 0.0012 seconds