Rsids : un IDS distribué basé sur le framework CVSS
Institution:
PauDisciplines:
Directors:
Abstract EN:
Intrusion detection is a method that ensures the availability concept in systems and computer networks. This availability is generally undermined by various anomalies. These anomalies can be caused either legitimately unintended result has operations working on these systems (broken link, traffic, or. . . ), so illegitimate with malicious operations designed to undermine the availability of these systems. The implementation of these various anomalies detection tools, such as IDS (Intrusion Detection System), contribute to early identification of these anomalies and to block them. This thesis has enabled us to develop a new generation platform to generate legitimate and illegitimate anomalies. This work was carried out under the project METROSEC. This platform has enabled us to obtain various traffic captures containing these anomalies. The various illegimitate anomalies were performed with classic tools to make Denial of Service like TFN2k or Trinoo. Legitimate Anormalies were also conducted with flash crowd phenomenon. All these catch real traffic were used in further research on intrusion detection for the evaluation of new methods of detection. In a second part, the implementation of a new detection tool seems necessary to improve the quality of detection of these anomalies. This new distributed IDS, called RSIDS (Risk Scored Intrusion Detection System), will retrieve the results of a multitude of heterogeneous probes. The use of probes will remove the risk of false alarms. Indeed, a probe is not able to detect all anomalies that occur on a system or network. Each alert provided by its probes will be evaluated according to their degree of dangerousness. The assessment of dangerousness based on the framework CVSS (Common Vulnerability Scoring System).
Abstract FR:
La détection d'intrusion est une méthode qui permet de garantir la notion de disponibilité dans les systèmes et réseaux informatiques. Cette disponibilité est généralement mise à mal par différentes anomalies. Ces anomalies peuvent être provoqués soit de manière légitime suite a des opérations involontaires intervenant sur ces systèmes (rupture de lien, embouteillages,. . . ), soit de manière illégitimes avec des opérations malveillantes ayant pour but de nuire à la disponibilité de ces systèmes. La mise en oeuvre d'outils recherchant ces différentes anomalies, que sont les IDS (Intrusion Dectetion System), contribuent à détecter au plus tôt ces anomalies et à les bloquer. Cette thèse nous a permis de mettre en place une nouvelle plateforme de génération d'anomalies légitimes et illégitimes. Ce travail a été réalisé dans le cadre du projet METROSEC. Cette plateforme nous a permis d'obtenir différentes captures de trafics contenant ces anomalies. Les différentes anomalies illégitimes ont été réalisées avec des outils classiques de Dénis de Service qui sont TFN2k ou encore Trinoo. Des anomalies légitimes ont aussi été réalisées sous la forme de phénomène de foules subites. L'ensemble de ces captures réelles de trafic ont été utilisées dans le cadre d'autres recherches sur la détection d'intrusion pour l'évaluation de nouvelles méthodes de détection. Dans un second temps, la mise en oeuvre d'un nouvel outil de détection nous a semblé nécessaire afin d'améliorer la qualité de détection de ces anomalies. Ce nouvel IDS distribué, appelé RSIDS (Risk Scored Intrusion Detection System), permettra de récupérer les résultats d'une multitude de sondes hétérogènes. L'utilisation de ses sondes va permettre de supprimer les risques de fausses alertes. En effet une sonde n'est pas capable de détecter l'ensemble des anomalies pouvant arriver sur un système ou un réseau. Chacune des remontées d'alertes fournies par ses sondes sera évaluée en fonction de son degré de dangerosité. Cette évaluation de la dangerosité s'appuie sur le framework CVSS (Common Vulnerability Scoring System).