Détection d’intrusions comportementale par diversification de COTS : application au cas des serveurs web
Institution:
Rennes 1Disciplines:
Directors:
Abstract EN:
Information systems’ security is a fundamental issue. It is necessary to define a security policy for these systems and check that it is not violated. Preventive security mechanisms are generally insufficient. Intrusion detection systems (IDSes) can be used to detect violations of the security policy, that is intrusions. Intrusion tolerance tools and techniques can also be used. Our work is in the intrusion detection field and allows some intrusion tolerance. In classical anomaly-based approaches, it is necessary to build a behavioral model of the observed entity. To the contrary, in our approach, the behavioral model is implicit and is composed by the other software components in the architecture. This approach comes from the dependability field and is based on N-versions programming. We propose using COTS instead of specifically developped versions. Using COTS introduces some issues that we have taken into account in our general intrusion detection model. We have proposed solutions to bypass these issues. We have proposed two intrusion detection approaches based on this architecture : the first one following a black-box approach and the second one following a graybox approach. We have applied these approaches to web servers and evaluated the false positive and true positive rates of our IDSes.
Abstract FR:
La sécurité des systèmes informatiques est devenue une problématique essentielle. Il est important de définir une politique de sécurité pour ces systèmes et de veiller à son respect. Néanmoins les mécanismes de sécurité préventifs mis en place ne sont pas incontournables. Il est nécessaire de mettre en oeuvre des outils, appelés systèmes de détection d’intrusions ou IDS, permettant de détecter toute violation de la politique de sécurité, c’est-à-dire toute intrusion. Il est également possible de mettre en place des outils et techniques de tolérance aux intrusions. Notre travail s’inscrit dans le domaine de la détection d’intrusions et permet une certaine tolérance aux intrusions. Contrairement aux IDS comportementaux classiques pour lesquels il est nécessaire de construire un modèle de référence du comportement de l’entité surveillée, nous avons suivi une méthode issue de la sûreté de fonctionnement fondée sur la programmation N-versions pour laquelle le modèle de référence est implicite et est constitué par les autres logiciels constituant l’architecture. Nous proposons l’utilisation de COTS en remplacement des versions spécifiquement développées. Nos contributions se situent à différents niveaux. Nous avons pris en compte dans notre modèle général de détection les spécificités liées à l’utilisation de COTS et proposé des solutions pour parer aux problèmes induits par celles-ci. Nous avons proposé deux approches de détection fondées sur cette architecture : une approche de type boîte noire et une de type boîte grise. Nous avons implémenté ces deux approches dans le cadre des serveurs web et avons évalué pratiquement la pertinence et la fiabilité de ces deux IDS.