To see the other types of publications on this topic, follow the link: Détection d'intrusion réseau.
Dissertations / Theses on the topic 'Détection d'intrusion réseau'
Create a spot-on reference in APA, MLA, Chicago, Harvard, and other styles
Consult the top 50 dissertations / theses for your research on the topic 'Détection d'intrusion réseau.'
Next to every source in the list of references, there is an 'Add to bibliography' button. Press on it, and we will generate automatically the bibliographic reference to the chosen work in the citation style you need: APA, MLA, Harvard, Chicago, Vancouver, etc.
You can also download the full text of the academic publication as pdf and read online its abstract whenever available in the metadata.
Browse dissertations / theses on a wide variety of disciplines and organise your bibliography correctly.
1
Nassar, Mohamed. "Monitorage et Détection d'Intrusion dans les Réseaux Voix sur IP." Phd thesis, Université Henri Poincaré - Nancy I, 2009. http://tel.archives-ouvertes.fr/tel-00376831.
Full textAbstract:
La Voix sur IP (VoIP) est devenue un paradigme majeur pour fournir des services de télécommunications flexibles tout en réduisant les coûts opérationnels. Le déploiement à large échelle de la VoIP est soutenu par l'accès haut débit à l'Internet et par la standardisation des protocoles dédiés. Cependant, la VoIP doit également faire face à plusieurs risques comprenant des vulnérabilités héritées de la couche IP auxquelles s'ajoutent des vulnérabilités spécifiques. Notre objectif est de concevoir, implanter et valider de nouveaux modèles et architectures pour assurer une défense préventive, permettre le monitorage et la détection d'intrusion dans les réseaux VoIP.<br /><br />Notre travail combine deux domaines: celui de la sécurité des réseaux et celui de l'intelligence artificielle. Nous renforcons les mécanismes de sécurité existants en apportant des contributions sur trois axes : Une approche basée sur des mécanismes d'apprentissage pour le monitorage de trafic de signalisation VoIP, un pot de miel spécifique, et un modèle de corrélation des évenements pour la détection d'intrusion. Pour l'évaluation de nos solutions, nous avons développés des agents VoIP distribués et gérés par une entité centrale. Nous avons développé un outil d'analyse des traces réseaux de la signalisation que nous avons utilisé pour expérimenter avec des traces de monde réel. Enfin, nous avons implanté un prototype de détection d'intrusion basé sur des règles de corrélation des événements.
2
Korczynski, Maciej. "Classification de flux applicatifs et détection d'intrusion dans le trafic Internet." Phd thesis, Université de Grenoble, 2012. http://tel.archives-ouvertes.fr/tel-00858571.
Full textAbstract:
Le sujet de la classification de trafic r'eseau est d'une grande importance pourla planification de r'eseau efficace, la gestion de trafic 'a base de r'egles, la gestionde priorit'e d'applications et le contrˆole de s'ecurit'e. Bien qu'il ait re¸cu une atten-tion consid'erable dans le milieu de la recherche, ce th'eme laisse encore de nom-breuses questions en suspens comme, par exemple, les m'ethodes de classificationdes flux de trafics chiffr'es. Cette th'ese est compos'ee de quatre parties. La premi'erepr'esente quelques aspects th'eoriques li'es 'a la classification de trafic et 'a la d'etec-tion d'intrusion. Les trois parties suivantes traitent des probl'emes sp'ecifiques declassification et proposent des solutions pr'ecises.Dans la deuxi'eme partie, nous proposons une m'ethode d''echantillonnage pr'ecisepour d'etecter les attaques de type "SYN flooding"et "portscan". Le syst'eme examineles segments TCP pour trouver au moins un des multiples segments ACK provenantdu serveur. La m'ethode est simple et 'evolutive, car elle permet d'obtenir unebonne d'etection avec un taux de faux positif proche de z'ero, mˆeme pour des tauxd''echantillonnage tr'es faibles. Nos simulations bas'ees sur des traces montrent quel'efficacit'e du syst'eme propos'e repose uniquement sur le taux d''echantillonnage,ind'ependamment de la m'ethode d''echantillonnage.Dans la troisi'eme partie, nous consid'erons le probl'eme de la d'etection et de laclassification du trafic de Skype et de ses flux de services tels que les appels vocaux,SkypeOut, les vid'eo-conf'erences, les messages instantan'es ou le t'el'echargement defichiers. Nous proposons une m'ethode de classification pour le trafic Skype chiffr'ebas'e sur le protocole d'identification statistique (SPID) qui analyse les valeurs statis-tiques de certains attributs du trafic r'eseau. Nous avons 'evalu'e notre m'ethode surun ensemble de donn'ees montrant d'excellentes performances en termes de pr'eci-sion et de rappel. La derni'ere partie d'efinit un cadre fond'e sur deux m'ethodescompl'ementaires pour la classification des flux applicatifs chiffr'es avec TLS/SSL.La premi'ere mod'elise des 'etats de session TLS/SSL par une chaˆıne de Markov ho-mog'ene d'ordre 1. Les param'etres du mod'ele de Markov pour chaque applicationconsid'er'ee diff'erent beaucoup, ce qui est le fondement de la discrimination entreles applications. La seconde m'ethode de classification estime l''ecart d'horodatagedu message Server Hello du protocole TLS/SSL et l'instant d'arriv'ee du paquet.Elle am'eliore la pr'ecision de classification des applications et permet l'identificationviiefficace des flux Skype. Nous combinons les m'ethodes en utilisant une ClassificationNaive Bay'esienne (NBC). Nous validons la proposition avec des exp'erimentationssur trois s'eries de donn'ees r'ecentes. Nous appliquons nos m'ethodes 'a la classificationde sept applications populaires utilisant TLS/SSL pour la s'ecurit'e. Les r'esultatsmontrent une tr'es bonne performance.
3
Voron, Jean-Baptiste. "Construction automatique et particularisée de systèmes de détection d'intrusion pour les systèmes parallèles à l'aide de réseaux de Petri." Paris 6, 2009. http://www.theses.fr/2009PA066700.
Full textAbstract:
La surveillance et la maintenance des systèmes informatiques entraînent des coûts prohibitifs. Cela est dû en grande partie à la complexité des applications actuelles ainsi qu’à leurs fréquentes mises à jour. Les administrateurs de tels systèmes ne peuvent donc pas répondre efficacement aux impératifs de sécurité si on considère le nombre élevé de failles à contrôler et l'incroyable sophistication et rapidité de propagation des attaques. Les systèmes de détection d'intrusion mettent en oeuvre un processus de surveillance et d’analyse des événements survenant sur un système, dans le but de découvrir des attaques compromettant sa confidentialité, son intégrité ou sa disponibilité. En plus des problèmes caractéristiques tels que les taux de faux positifs et de faux négatifs lors de la phase de surveillance ou l’incapacité à détecter de nouvelles formes d’intrusions, d’autres limitations d’origine structurelle existent. Ainsi, rares sont les travaux qui traitent de la protection des applications fortement multi-threadées ou qui proposent une implémentation efficace des méthodes de détection proposées. L’objectif de cette thèse est de concevoir et de réaliser une solution qui construit automatiquement un système de surveillance dédié à un programme. Dans cette optique, nous proposons d’extraire, grâce à une analyse statique du code source du programme à surveiller, plusieurs modèles comportementaux exprimés en réseaux de Petri. Une fois réduits et assemblés, ces modèles peuvent être soumis aux techniques actuelles de vérification formelle et permettent finalement la génération automatique d’un système de surveillance dédié au programme initial.
4
Kabir-Querrec, Maëlle. "Cyber sécurité des systèmes industriels pour les smart-grids : détection d'intrusion dans les réseaux de communication IEC 61850." Thesis, Université Grenoble Alpes (ComUE), 2017. http://www.theses.fr/2017GREAT032/document.
Full textAbstract:
Les systèmes de contrôle et d'automatisation industriels (IACS - Industrial Control and Automation Systems) reposent largement et de plus en plus sur les Technologies de l'Information et de la Communication. A l'origine, les IACS utilisaient des protocoles propriétaires sur des réseaux fermés, assurant ainsi une sécurité par obscurité et isolement. Mais les technologies et les usages ont évolué et cette sécurité intrinsèque n'existe plus désormais. Cette évolution concerne entre autre le domaine électrique : le réseau électrique devenant le "smart grid".Le standard IEC 61850 est un pilier pour le développement du smart grid. Il a pour objectif de rendre possible l'interopérabilité dans les "Systèmes et réseaux de communication pour l'automatisation des services de distribution d'énergie". Pour cela, la norme définit un modèle de données commun ainsi qu'une pile de protocoles répondant à divers besoins de communication.Le standard IEC 61850 n'aborde pas la question de la cyber sécurité malgré une prise de conscience générale qu'un risque cyber pèse sur les IACS.Ces travaux de recherche proposent de répondre à cette question de la cyber sécurité par de la détection d'intrusion dans les réseaux IEC 61850, et plus précisément dans les communications temps-réel GOOSE. L'idée est d'exploiter au maximum les sources d'informations que sont les spécifications du protocole et la configuration du système pour développer un système de détection d'intrusion réseau (NIDS - Network Intrusion Detection System) sur mesure. Cette approche comportementale déterministe est un gage de précision de détection.Ce manuscrit compte quatre chapitres. Les deux premiers consistent en un état de l'art détaillé sur les NIDS pour les IACS d'une part, et l'analyse du risque cyber d'autre part. Les deux autres chapitres présentent les contributions proprement dites de ces travaux de thèse. Le chapitre 3 explore tout d'abord le risque cyber pesant sur un poste électrique et pouvant compromettre la sûreté de fonctionnement du système. Dans un deuxième temps, est proposée une extension du modèle de données IEC 61850 dédiées à la détection d'intrusion dans les communication GOOSE. Le chapitre 4 commence avec la démonstration expérimentale de la faisabilité d'une attaque de type injection de données sur le protocole GOOSE, puis explique comment utiliser les fichiers de configuration du système pour spécifier les règles de détection. Un analyseur syntaxique pour le protocole GOOSE a été intégré à l'analyseur de trafic open source Bro, permettant l'implémentation d'un algorithme de détection<br>Information and Communication Technologies have been pervading Industrial Automation and Control Systems (IACS) for a few decades now. Initially, IACS ran proprietary protocols on closed networks, thus ensuring some level of security through obscurity and isolation. Technologies and usages have evolved and today this intrinsic security does not exist any longer, though. This transition is in progress in the electricity domain, the power infrastructure turning into the "smart grid".The IEC 61850 standard is key to the smart grid development. It is aimed at making interoperability possible in ``Communication networks and systems for power utility automation''. It thus defines a common data object model and a stack of protocols answering different purposes.Although the cyber risk in IACS is now widely acknowledged, IEC 61850 does not address cyber security in any way whatsoever.This work tackles the question of cyber security through network intrusion detection in IEC 61850 networks, and more specifically in real-time GOOSE communications. The idea is to get the most out of the protocol specifications and system configuration while developing a tailored NIDS. This enables detection accuracy
5
Toublanc, Thomas. "Sécurisation de capteurs/actionneurs sur réseau industriel." Thesis, Lorient, 2018. http://www.theses.fr/2018LORIS512/document.
Full textAbstract:
De nos jours, les systèmes de production sont confrontés à leur 4e révolution. Celle-ci est numérique avec des réseaux toujours plus denses et complexes s’ouvrant sur l’extérieur. Cette ouverture rend ces systèmes plus vulnérables. Les menaces sur ces Systèmes Cyber-Physiques de Production (SCPP) ne sont plus seulement théoriques. L’attaque sur l’aciérie allemande ou le cryptovirus Wannacry en sont de parfaits exemples. Ce travail propose un outil contribuant à la sécurité des SCPP. Nos contributions sont triples : La conception d'un Système de Détection et Réaction aux Anomalies (SDRA) placé sur le réseau de terrain. Celui-ci intègre des méthodes de détection comportementales et informationnelles. Il comprend également des capacités de réaction à la fois passives, mettant en œuvre de la remontée d'information vers l'humain ou vers des systèmes de niveaux supérieurs, et actives intégrant du filtrage d'ordre ou de la mise en repli. L'application des méthodes proposées entraîne naturellement un effort de conception supplémentaire qui doit être réduit. Nous avons donc mis au point une démarche permettant d’assister les concepteurs pour la configuration de notre SDRA. Cette dernière se base sur une approche hybride (composant/opération) et étend un flot de conception existant. Plusieurs transformations raffinent des vues surveillance/supervision des composants alors que d’autres génèrent la configuration du SDRA. Une troisième contribution propose un démonstrateur réaliste basé sur un environnement virtuel de test. Ce dernier intègre la simulation conjointe de la partie opérative et de la partie commande et permet de montrer les qualités fonctionnelles des solutions face à des scénarios d’attaque ou de défaillance<br>Today, production systems are facing their 4th revolution. This revolution is digital with increasingly dense and complex networks opening on the outside. This openness makes these systems more vulnerable. The threats on these Cyber-Physical Production Systems (CPPS) are no longer just theoretical. The attacks on the German steel mill or the Wannacry crypto virus are perfect examples. This work proposes a tool contributing to the security of the SCPP. Our contributions are threefold: The design of an Anomaly Detection and Response System (ADRS) placed on the field network. It integrates behavioral and informational detection methods. It also includes passive response capabilities, implementing feedback to the human or to higher level systems, and active integrating order filtering or fallback. The application of the proposed methods naturally entails an additional design effort which must be reduced. We have therefore developed an approach to assist designers in the configuration of our ADRS. It is based on a hybrid approach (component / operation) and extends an existing design flow. Several transformations refine monitoring / supervision views of the components while others generate the configuration of the ADRS. A third contribution proposes a realistic demonstrator based on a virtual test environment. It integrates the joint simulation of the operative part and the control part and makes it possible to show the functional qualities of the solutions in the face of attack or failure scenarios
6
Andreoni, Lopez Martin Esteban. "Un système de surveillance et détection de menaces utilisant le traitement de flux comme une fonction virtuelle pour le Big Data." Thesis, Sorbonne université, 2018. http://www.theses.fr/2018SORUS035/document.
Full textAbstract:
La détection tardive des menaces à la sécurité entraîne une augmentation significative du risque de dommages irréparables, invalidant toute tentative de défense. En conséquence, la détection rapide des menaces en temps réel est obligatoire pour l'administration de la sécurité. De plus, la fonction de virtualisation de la fonction réseau (NFV) offre de nouvelles opportunités pour des solutions de sécurité efficaces et à faible coût. Nous proposons un système de détection de menaces rapide et efficace basé sur des algorithmes de traitement de flux et d'apprentissage automatique. Les principales contributions de ce travail sont : i) un nouveau système de détection des menaces de surveillance basé sur le traitement en continu, ii) deux ensembles de données, d'abord un ensemble de données de sécurité synthétiques contenant à la fois du trafic légitime et malveillant, et le deuxième, une semaine de trafic réel d'un opérateur de télécommunications à Rio de Janeiro, au Brésil, iii) un algorithme de pré-traitement de données, un algorithme de normalisation et un algorithme de sélection de caractéristiques rapides basé sur la corrélation entre des variables, iv) une fonction de réseau virtualisé dans une plate-forme Open Source pour fournir un service de détection des menaces en temps réel, v) placement quasi-optimal des capteurs grâce à une heuristique proposée pour positionner stratégiquement les capteurs dans l'infrastructure du réseau, avec un nombre minimal de capteurs, et enfin vi) un algorithme glouton qui alloue à la demande une séquence de fonctions de réseau virtuel<br>The late detection of security threats causes a significant increase in the risk of irreparable damages, disabling any defense attempt. As a consequence, fast real-time threat detection is mandatory for security administration. In addition, Network Function Virtualization (NFV) provides new opportunities for efficient and low-cost security solutions. We propose a fast and efficient threat detection system based on stream processing and machine learning algorithms. The main contributions of this work are i) a novel monitoring threat detection system based on streaming processing, ii) two datasets, first a dataset of synthetic security data containing both legitimate and malicious traffic, and the second, a week of real traffic of a telecommunications operator in Rio de Janeiro, Brazil, iii) a data pre-processing algorithm, a normalizing algorithm and an algorithm for fast feature selection based on the correlation between variables, iv) a virtualized network function in an Open source Platform for providing a real-time threat detection service, v) near-optimal placement of sensors through a proposed heuristic for strategically positioning sensors in the network infrastructure, with a minimum number of sensors, and finally vi) a greedy algorithm that allocates on demand a sequence of virtual network functions
7
Nassar, Mohamed. "VoIP Networks Monitoring and Intrusion Detection." Thesis, Nancy 1, 2009. http://www.theses.fr/2009NAN10021/document.
Full textAbstract:
La Voix sur IP (VoIP) est devenue un paradigme majeur pour fournir des services de télécommunications flexibles tout en réduisant les coûts opérationnels. Le déploiement à large échelle de la VoIP est soutenu par l'accès haut débit à l'Internet et par la standardisation des protocoles dédiés. Cependant, la VoIP doit également faire face à plusieurs risques comprenant des vulnérabilités héritées de la couche IP auxquelles s'ajoutent des vulnérabilités spécifiques. Notre objectif est de concevoir, implanter et valider de nouveaux modèles et architectures pour assurer une défense préventive, permettre le monitorage et la détection d'intrusion dans les réseaux VoIP. Notre travail combine deux domaines: celui de la sécurité des réseaux et celui de l'intelligence artificielle. Nous renforçons les mécanismes de sécurité existants en apportant des contributions sur trois axes : Une approche basée sur des mécanismes d'apprentissage pour le monitorage de trafic de signalisation VoIP, un pot de miel spécifique, et un modèle de corrélation des événements pour la détection d'intrusion. Pour l'évaluation de nos solutions, nous avons développés des agents VoIP distribués et gérés par une entité centrale. Nous avons développé un outil d'analyse des traces réseaux de la signalisation que nous avons utilisé pour expérimenter avec des traces de monde réel. Enfin, nous avons implanté un prototype de détection d'intrusion basé sur des règles de corrélation des événements<br>Voice over IP (VoIP) has become a major paradigm for providing flexible telecommunication services and reducing operational costs. The large-scale deployment of VoIP has been leveraged by the high-speed broadband access to the Internet and the standardization of dedicated protocols. However, VoIP faces multiple security issues including vulnerabilities inherited from the IP layer as well as specific ones. Our objective is to design, implement and validate new models and architectures for performing proactive defense, monitoring and intrusion detection in VoIP networks. Our work combines two domains: network security and artificial intelligence. We reinforce existent security mechanisms by working on three axes: a machine learning approach for VoIP signaling traffic monitoring, a VoIP specific honeypot and a security event correlation model for intrusion detection. In order to experiment our solutions, we have developed VoIP agents which are distributed and managed by a central entity. We have developed an analyzer of signaling network traces and we used it to analyze real-world traces. Finally, we have implemented a prototype of a rule-based event-driven intrusion detection system
8
Zaidi, Abdelhalim. "Recherche et détection des patterns d'attaques dans les réseaux IP à hauts débits." Phd thesis, Université d'Evry-Val d'Essonne, 2011. http://tel.archives-ouvertes.fr/tel-00878783.
Full textAbstract:
Avec leur rôle important dans la protection des réseaux, les Systèmes de Détection d'Intrusion (IDS) doivent être capables d'adapter leurs modes de fonctionnement à toutes les innovations technologiques. L'IDS doit gérer une grande masse d'information et traiter un trafic réseau à une cadence très élevée à cause des vitesses de transfert et de la diversité des services offerts. Il doit aussi traiter un grand nombre d'attaques qui ne cesse d'augmenter. Par conséquent, améliorer les performances des IDS devient une tâche critique pour les concepteurs des mécanismes de protection. Dans notre thèse, nous nous focalisons sur les problèmes liés aux paramètres quantitatifs de l'utilisation des l'IDS. Nous proposons une approche pour la classification des signatures d'attaques en fonction de leurs sous-chaînes communes. Cette approche permet de réduire le nombre des signatures traitées et par conséquent réduire le temps d'exécution. Nous traitons aussi le problème de la masse de données analysée par l'IDS, nous proposons une architecture de détection basée sur la classification des connexions réseau. L'architecture proposée permet de décider de la nature d'une connexion : suspecte ou non. Dans le premier cas, la connexion doit être analysée par le système de détection d'intrusion. Sinon, si elle n'est pas suspecte nous pouvons décider de ne pas l'analyser par l'IDS.
9
Couture, Mathieu. "Détection d'intrusions et analyse passive de réseaux." Thesis, Université Laval, 2005. http://www.theses.ulaval.ca/2005/22751/22751.pdf.
Full textAbstract:
Dans ce travail, nous proposons un nouveau langage dédié à la détection d'intrusions. Il s'agit d'un langage purement déclaratif, basé sur une logique temporelle linéaire passée avec prédicats du premier ordre. Après avoir effectué une revue de treize langages de détection d'intrusions existant déjà, nous donnons une liste de dix propriétés souhaitables pour un langage de détection d'intrusions. Contrairement au langage que nous proposons, aucun des langages étudiés ne présente à la fois ces dix propriétés. En plus d'être suffisamment expressif pour répondre aux besoins identifiés, il vient avec un algorithme de vérification qui s'exécute en temps linéaire avec la quantité d'information analysée et utilise une quantité bornée d'espace mémoire. Ces deux propriétés permettent de protéger le système de détection d'intrusions contre d'éventuelles attaques d'inondation.<br>Inscrit au Tableau d'honneur de la Faculté des études supérieures
10
Helluy-Lafont, Étienne. "Sécurité et détection d'intrusion dans les réseaux sans fil." Thesis, Lille, 2021. http://www.theses.fr/2021LILUI017.
Full textAbstract:
Cette thèse porte sur la sécurité des communications sans fil, appliquée aux équipementstels que les téléphones mobiles, les ordinateurs portables, ou les objets communicants relevant de l’internet des objets.Aujourd’hui, les communications sans fil sont réalisées à l’aide de composants intégrés (modem), qui peuvent eux-même être la cible d’attaques. Effectivement, ces modem peuvent contenir des logiciels, au code fermé, qui sont peu audités et peuvent recéler des vulnérabilités. Au cours de cette thèse, nous avons poursuivi deux approches complémentaires qui visent à adresser le problème de la sécurité des modem sans fil. La première consiste à détecter les attaques pour mitiger les risques posés par les vulnérabilité ; la seconde àsavoir identifier et à corriger ces vulnérabilités afin d’éliminer les risques. Les modem sans fil posent des contraintes particulières pour les systèmes de détection d’intrusion (IDS). De fait, si le modem risque d’être compromis, le système d’exploitation (OS) ne peut pas faire confiance aux informations qu’il remonte : le modem n’est pas fiable. Il est ainsi délicat de détecter des attaques sans fil depuis l’OS, car il ne dispose d’aucune source d’information fiable sur laquelle baser cette détection. Dans ce contexte, il est préférable de réaliser la détection d’intrusion au niveau du réseau, en capturant directement les signaux échangés sans fil. Cependant, il n’est pastoujours simple de récupérer les signaux qui nous intéressent. Aujourd’hui, les équipements supportent une multitude de normes de communication différentes. Cette hétérogénéité représente un défi pour les solutions de capture. De plus, certains protocoles se prêtent malà une capture passive de leurs échanges, et sont parfois même spécifiquement conçus pour l’empêcher. Enfin, les données sont généralement chiffrées, ce qui constitue un obstacle supplémentaire pour les IDS. Les radio logicielles peuvent répondre en partie aux défis posés par cette diversité. Elles se composent d’une partie matérielle, mais surtout de logiciel, qui peut être adapté pourrecevoir des signaux de n’importe quel standard - dans les limites du matériel. Dans cette thèse, nous présentons une radio-logicielle spécialement concue pour permettre la capture et l’analyse d’une bande de fréquence donnée, afin d’identifier et d’étiqueter les signaux présents. Il s’agit d’une brique élémentaire pour construire des systèmes de détection d’intrusion sans-fil. Par ailleurs, les radio-logicielles traitent les signaux au niveau de leur représentation physique. Cela leur permet de collecter des informations supplémentaires, qui n’auraient pas été accessibles si on avait utilisé un modem conventionnel pour capturer les signaux. Dans cette thèse, nous décrivons des méthodes permettant d’identifier le modèle d’un appareil Bluetooth en analysant la représentation physique des paquets qu’il transmet.Dans la seconde partie de cette thèse, nous avons analysé les micrologiciels de plusieurs modem Bluetooth, afin d’identifier des vulnérabilités permettant d’en prendre le contrôle à distance. Cela nous a permis de découvrir plusieurs vulnérabilités exploitables dans desmodem très largement utilisés. Dans un second temps, nous avons développé un modem Bluetooth libre et open-source qui permet d’interagir avec de véritables modem pour faciliter la recherche et développement sur leur sécurité<br>This thesis focuses on the security of wireless communications, as used on devices such as mobile phones, laptops, or connected devices that make up the Internet of Things. Nowadays, wireless communications are carried out using integrated components (modem), which can themselves be the target of attacks. Indeed, these modems contain Closed Source software, that are poorly audited, and may have flaws. During this thesis, we pursued two complementary approaches that aim to address the problem of wireless modems security. The first is to detect attacks in order to mitigate the risks posed by vulnerabilities ; the second is to identify and correct these vulnerabilities in order to eliminate the risks. Wireless modems pose particular constraints for Intrusion Detection Systems (IDS). In fact, if the modem is at risk of being compromised, the operating system (OS) cannot trust the information it is sending back : the modem is unreliable. This makes it difficult to detect wireless attacks from the OS, as it has no reliable source of information on whichto base detection. In this context, it is preferable to perform intrusion detection at the network level, by directly capturing the signals exchanged wirelessly. However, it is not always easy to recover the signals of interest. Today’s equipment supports a multitude of different communication standards. This heterogeneity represents a challenge for capture solutions. In addition, some protocols do not lend themselves well to passive capture of their exchanges, and are sometimes even specifically designed to prevent it. Finally, data is usually encrypted, which is an additional obstacle for intrusion detection systems. Software Defined Radio (SDR) can partly meet the challenges posed by this diversity. They consist of a hardware part, but above all of software, which can be adapted to receive signals of any standard - within the limits of the material. In this thesis, we present a SDR specifically designed to allow the capture and analysis of a given frequency band, in order to identify and label the signals present. It is an elementary building block for building wireless intrusion detection systems. In addition, software radio processes signals in terms of their physical representation. This allows them to collect additional information, which would not have been accessible if a conventional modem had been used to capture the signals. In this thesis, we describe methods to identify the model of a Bluetooth device by analysing the physical representation of the packets it transmits. In the second part of this thesis, we analysed the firmware of several Bluetooth modems, in order to identify vulnerabilities that would allow remote control. This allowed us to discover several exploitable vulnerabilities in widely used modems. Finally, we developeda free and open-source Bluetooth modem that allows interaction with real-world modems to facilitate research and development on their security
11
Gadelrab, Mohammed El-Sayed Gadelrab. "Évaluation des systèmes de détection d'intrusion." Toulouse 3, 2008. http://thesesups.ups-tlse.fr/435/.
Full textAbstract:
Cette thèse vise à contribuer à l'amélioration des méthodes d'évaluation des systèmes de détection d'intrusions (en anglais, Intrusion Detection Systems ou IDS). Ce travail est motivé par deux problèmes actuels : tout d'abord, l'augmentation du nombre et de la complexité des attaques que l'on observe aujourd'hui nécessite de faire évoluer les IDS pour leur permettre de les détecter. Deuxièmement, les IDS actuels génèrent de trop fréquentes fausses alertes, ce qui les rend inefficaces, voir inutiles. Des moyens de test et d'évaluation sont donc nécessaires pour déterminer la qualité de détection des IDS et de leurs algorithmes de détection. Malheureusement, aucune méthode d'évaluation satisfaisante n'existe de nos jours. En effet, les méthodes employées jusqu'ici présentent trois défauts majeurs : 1) une absence de méthodologie rigoureuse d'évaluation, 2) l'utilisation de données de test non représentatives, et 3) l'utilisation de métriques incorrectes. Partant de ce constat, nous proposons une démarche rigoureuse couvrant l'ensemble des étapes de l'évaluation des IDS. Premièrement, nous proposons une méthodologie d'évaluation qui permet d'organiser l'ensemble du processus d'évaluation. Deuxièmement, afin d'obtenir des données de test représentatives, nous avons défini une classification des types d'attaques en fonction des moyens de détection utilisés par les IDS. Cela permet non seulement de choisir les attaques à inclure dans les données de test, mais aussi d'analyser les résultats de l'évaluation selon les types d'attaques plutôt que pour chaque attaque individuellement. Troisièmement, nous avons analysé un grand nombre d'attaques réelles et de programmes malveillants (communément appelés maliciels) connus, tels que les virus et les vers. Grâce à cette analyse, nous avons pu construire un modèle générique de processus d'attaques qui met en évidence la dynamique des activités d'attaque. Ce modèle permet de générer un nombre important de scénarios d'attaques, qui soient le plus possible représentatifs et variés. Pour montrer la faisabilité de notre approche, nous avons appliqué expérimentalement les étapes de notre démarche à deux systèmes différents de détection d'intrusions. .<br>This thesis contributes to the improvement of intrusion detection system (IDS) evaluation. The work is motivated by two problems. First, the observed increase in the number and the complexity of attacks requires that IDSes evolve to stay capable of detecting new attack variations efficiently. Second, the large number of false alarms that are generated by current IDSes renders them ineffective or even useless. Test and evaluation mechanisms are necessary to determine the quality of detection of IDSes or of their detection algorithms. Unfortunately, there is currently no IDS evaluation method that would be unbiased and scientifically rigorous. During our study, we have noticed that current IDS evaluations suffer from three major weaknesses: 1) the lack of a rigorous methodology; 2) the use of non-representative test datasets; and 3) the use of incorrect metrics. From this perspective, we have introduced a rigorous approach covering most aspects of IDS evaluation. In the first place, we propose an evaluation methodology that allows carrying out the evaluation process in a systematic way. Secondly, in order to create representative test datasets, we have characterized attacks by classifying attack activities with respect to IDS-relevant manifestations or features. This allows not only to select attacks that will be included in the evaluation dataset but also to analyze the evaluation result with respect to attack classes rather than individual attack instances. Third, we have analyzed a large number of attack incidents and malware samples, such as viruses and worms. Thanks to this analysis, we built a model for the attack process that exhibits the dynamics of attack activities. This model allows us to generate a large number of realistic and diverse attack scenarios. The proposed methods have been experimented on two very different IDSes to show how general is our approach. The results show that the proposed approach allows overcoming the two main weaknesses of existing evaluations, i. E. , the lack of a rigorous methodology and the use of non-representative datasets. .
12
Gad, El Rab Mohammed. "Evaluation des systèmes de détection d'intrusion." Phd thesis, Université Paul Sabatier - Toulouse III, 2008. http://tel.archives-ouvertes.fr/tel-00366690.
Full textAbstract:
Cette thèse vise à contribuer à l'amélioration des méthodes d'évaluation des systèmes de détection d'intrusion (en anglais, Intrusion Detection Systems ou IDS). Ce travail est motivé par deux problèmes actuels : tout d'abord, l'augmentation du nombre et de la complexité des attaques que l'on observe aujourd'hui nécessite de faire évoluer les IDS pour leur permettre de les détecter. Deuxièmement, les IDS actuels génèrent de trop fréquentes fausses alertes, ce qui les rend inefficaces voir inutiles. Des moyens de test et d'évaluation sont nécessaires pour déterminer la qualité de détection des IDS et de leurs algorithmes de détection. Malheureusement, il n'existe pas actuellement de méthode d'évaluation satisfaisante. En effet, les méthodes employées jusqu'ici présentent trois défauts majeurs : 1) une absence de méthodologie rigoureuse, 2) l'utilisation de données de test non représentatives, et 3) l'utilisation de métriques incorrectes. Partant de ce constat, nous proposons une démarche rigoureuse couvrant l'ensemble de l'évaluation des IDS. Premièrement, nous proposons une méthodologie d'évaluation qui permet d'organiser l'ensemble du processus d'évaluation. Deuxièmement, afin d'obtenir des données de test représentatives, nous avons défini une classification des types d'attaques en fonction des moyens de détection utilisés par les IDS. Cela permet non seulement de choisir les attaques à inclure dans les données de test mais aussi d'analyser les résultats de l'évaluation selon les types d'attaques plutôt que sur chaque attaque individuellement. Troisièmement, nous avons analysé un grand nombre d'attaques réelles et de " maliciels " connus, tels que les virus et les vers. Grâce à cette analyse, nous avons pu construire un modèle générique de processus d'attaques qui met en évidence la dynamique des activités d'attaque. Ce modèle permet de générer un nombre important de scénarios d'attaques à la fois réalistes et variés. Les méthodes proposées ont été expérimentées su r deux systèmes de détection d'intrusion très différents, pour montrer la généralité de notre démarche. Les résultats montrent que l'approche proposée permet de surmonter les deux défauts principaux des évaluations existantes, à savoir l'absence de méthodologie et l'utilisation de données non représentatives. Elle permet en particulier de mieux gérer le processus d'évaluation et de choisir les cas de test pertinents pour les types d'IDS et les objectifs de l'évaluation, tout en couvrant une large partie de l'espace d'attaques.
13
Studnia, Ivan. "Détection d'intrusion pour des réseaux embarqués automobiles : une approche orientée langage." Thesis, Toulouse, INSA, 2015. http://www.theses.fr/2015ISAT0048/document.
Full textAbstract:
Les calculateurs embarqués dans les automobiles, ou ECU (Electronic Control Unit) sont responsables d’un nombre croissant de fonctionnalités au sein du véhicule. Pour pouvoir coordonner leurs actions, ces calculateurs s’échangent des données via des bus de communication et forment ainsi un véritable réseau embarqué. Si historiquement ce réseau pouvait être considéré comme un système fermé, l’apparition de nombreux moyens de communication dans les automobiles a ouvert ce réseau au monde extérieur et fait émerger de nombreuses problématiques de sécurité dans ce domaine.Nos travaux s’inscrivent dans une démarche de mise en place de moyens de sécurité-immunité dans les réseaux automobiles. La thématique de la sécurité-immunité dans l’automobile étant un sujet relativement récent, un effort particulier a été apporté à la définition du contexte. Ainsi, dans ce manuscrit, nous décrivons les menaces qui peuvent cibler ces systèmes embarqués, proposons une classification des scénarios d’attaques puis présentons les différents mécanismes de sécurité pouvant être appliqués aux systèmes embarqués d’une automobile.Ensuite, afin de compléter les mesures de sécurité préventives mises en place pour empêcher un attaquant de pénétrer au coeur du réseau embarqué, nous proposons dans cette thèse un système de détection d’intrusion pour les réseaux automobiles embarqués. Celui-ci, conçu à partir des spécifications du ou des systèmes à surveiller, intègre notamment des mécanismes permettant d’effectuer une corrélation des messages observés sur le réseau afin d’identifier des séquences de messages suspectes. Après avoir décrit formellement le fonctionnement de notre système de détection, nous présentons de premières expérimentations visant à valider notre méthode et à évaluer ses performances<br>In today’s automobiles, embedded computers, or ECUs (Electronic Control Units) are responsible for an increasing number of features in a vehicle. In order to coordinate their actions, these computers are able to exchange data over communication buses, effectively constituting an embedded network. While this network could previously be considered a closed system, the addition of means of communication in automobiles has opened this network to the outside world, thus raising many security issues.Our research work focuses on these issues and aims at proposing efficient architectural security mechanisms for protecting embedded automotive networks. The security of embedded automotive systems being a relatively recent topic, we first put a strong focus on defining the context. For that purpose, we describe the threats that can target a car’s embedded systems, provide a classification of the possible attack scenarios and present a survey of protection mechanisms in embedded automotive networks.Then, in order to complement the preventive security means that aim at stopping an attacker from entering the embedded network, we introduce an Intrusion Detection System (IDS) fit for vehicular networks. Leveraging the high predictability of embedded automotive systems, we use language theory to elaborate a set of attack signatures derived from behavioral models of the automotive calculators in order to detect a malicious sequence of messages transiting through the internal network. After a formal description of our IDS, we present a first batch of experiments aimed at validating our approach and assessing its performances
14
Ricard, Quentin. "Détection autonome de trafic malveillant dans les réseaux véhiculaires." Thesis, Toulouse 3, 2020. http://www.theses.fr/2020TOU30149.
Full textAbstract:
L'avènement des Systèmes de Transport Intelligents entraîne avec lui l'apparition, sur les routes du monde entier, de véhicules toujours plus connectés à leur environnement. En effet, ils intègrent désormais des dispositifs destinés à améliorer la sûreté des routes, à réduire l'impact environnemental du véhicule et à rendre les trajets plus agréables aux utilisateurs. Cependant, l'interconnexion des véhicules avec le reste du monde et en particulier grâce à l'utilisation des réseaux cellulaires entraîne aussi son lot de vulnérabilités. Les véhicules connectés devenus tributaires des informations captées sur le réseau, s'exposent à des dysfonctionnements dus aux canaux de communication, ou pire encore, aux actions d'acteurs malveillants du cyber-espace. Les réseaux classiques sont depuis longtemps confrontés à ces problèmes de sécurité. De nombreuses approches ont été imaginées afin de détecter les anomalies et tentatives d'intrusions dans les réseaux. Cependant, ces méthodes ne peuvent pas être directement appliquées au contexte véhiculaire. En effet, la nature des communications et des anomalies ainsi que l'exécution des dispositifs de détection à l'intérieur des véhicules sont des paramètres qui doivent être pris en compte. Ce constat nous amène à proposer un nouveau système de détection d'anomalies spécifique aux communications des véhicules connectés et à leurs vulnérabilités. Sa détection repose sur la création de fenêtres de description instantanée du trafic liées entre elles par des relations modélisées sous la forme d'une ontologie. Grâce à ces relations, les résultats de la détection sont alimentés par le contexte des échanges du véhicule au moment de l'anomalie. Le diagnostic de l'administrateur est ainsi rendu plus aisé et nous assurons une traçabilité de la détection. Nous évaluons les performances de notre système grâce à un jeu de données issu d'un outil que nous avons conçu. Celui-ci génère des communications, anomalies et attaques conformes à ce qu'il serait observable sur les réseaux cellulaires de véhicules. Nous cherchons à évaluer notre système en fonction de ses capacités de détection de différents types d'anomalies et d'attaques en minimisant le nombre de faux positifs. Nous comparons les résultats de deux algorithmes non-supervisés utilisés pour la phase de détection HTM et LSTM<br>The growth of intelligent transport systems brings new highly connected vehicles on the roads of the world. These vehicles now embed new devices and services meant to increase road safety, reduce the environmental impact of the vehicles and improve the user experience. However, these new communication channels between vehicles and the rest of the world, especially cellular networks bring new vulnerabilities. Vehicles are now depending on the information provided by the network and are therefore subject to malfunction and anomalies due to such network. Worse, they become vulnerable to malicious actors of the cyber-space. Mainstream information networks have been confronted with security problems for a long time. Numerous approaches have been designed in order to detect anomalies an intrusion inside such networks. However, these methods cannot be applied directly to the automotive context. In fact, the specific nature of the communications, the anomalies and the execution of intrusion detection systems inside the vehicles must be considered. Therefore, we present a new anomaly detection system dedicated to vehicular networks and their vulnerabilities. Our detection is based on the creation of instantaneous description windows that are linked together thanks to an ontology. Thanks to these relations, the results of the detection are fed with the communication context of the vehicle during an anomaly. Consequently, the diagnostic from the administrator is made easier and we ensure the traceability of the anomaly. We evaluate the performances of our system thanks to a dataset produced by our tool named Autobot. It produces realistic communications, anomalies and attacks on cellular vehicular networks. We aim to evaluate our system based on the quality of the detection of different kinds of attacks while minimizing the number of false positives. We compare the results of two unsupervised machine learning algorithms that are used during the detection named HTM and LSTM
15
Tabia, Karim. "Modèles graphiques et approches comportementales pour la détection d'intrusions." Artois, 2008. http://www.theses.fr/2008ARTO0407.
Full textAbstract:
Dans cette thèse, nous nous intéressons à la modélisation du problème de détection d'intrusions à base de modèles graphiques. Nous avons d'abord défini un ensemble de variables essentielles en tenant compte des attaques actuelles et des caractéristiques du trafic normal. Ensuite, nous avons analysé la faiblesse des réseaux Bayésiens et des arbres de décisions dans la détection des nouvelles attaques. Nous avons proposé deux directions pour résoudre ce problème: la première propose des adaptations pour les réseaux Bayésiens et les arbres de décisions standard afin de les adapter aux objectifs de l'approche comportementale pour mieux détecter les nouvelles attaques. La deuxième direction propose une combinaison en série visant à doter une approche par classification d'un module comportemental et d'un module de diagnostic. Enfin, nous nous sommes intéressés au traitement des événements d'audit lorsque les observations sont incertaines ou incomplètes. Nous avons commencé par analyser l'application de la règle Jeffrey pour la révision de distributions de possibilités avec des observations incertaines. Nous avons proposé ensuite un algorithme efficace pour la révision de la distribution de possibilités codée par un réseau possibiliste naïf. Cet algorithme est particulièrement approprié pour la classification avec des observations entachées d'incertitude car il permet de réaliser la classification en temps polynomial grâce à une série de transformations équivalentes appliquées au réseau possibiliste initial<br>In this thesis, we deal with modelling intrusion detection problem using graphical models. We first define relevant variables taking into account nowadays attacks and normal traffic characteristics. We after that study the failure of standard Bayesian networks and decision trees in detecting novel attacks. We proposed two directions in order to solve this problem: the first one proposes to enhance and adapt standard Bayesian networks and decision trees in order to fit anomaly approach requirements and better detect novel attacks. The second direction proposes a serial combination aiming at equipping a classifier with an anomaly approach and a diagnosis component. We finally deal with analyzing audit events when inputs are uncertain or missing. We start with analyzing Jeffrey's rule for revising possibility distributions by uncertain observations. Then, we propose an efficient algorithm for revising possibility distributions encoded by a naive possibilistic network. This algorithm is particularly suitable for classification with uncertain inputs since it allows classification in polynomial time using different efficient transformations of the initial naive possibilistic networks
16
Riquet, Damien. "DISCUS : une architecture de détection d'intrusions réseau distribuée basée sur un langage dédié." Thesis, Lille 1, 2015. http://www.theses.fr/2015LIL10207/document.
Full textAbstract:
À l'heure actuelle, les systèmes informatiques sont omniprésents et leur interconnexion presque complète. La volonté de fournir un service sécurisé a été renforcée par l'arrivée d'infrastructures complexes, telles que le Cloud Computing. De nombreuses problématiques sont soulevées par ces systèmes de sécurité, telles que l'élaboration de solutions de sécurité capables de détecter les attaques internes, la réactivité de la détection d'une attaque et la prise de décision lorsqu'une intrusion a été détectée. La solution pour ce jeu du chat et de la souris est de s'appuyer sur une méthodologie permettant de rapidement pouvoir comprendre une faille, développer un correctif et le déployer sur le parc de machines. Pour répondre à ces problématiques, nous proposons dans nos travaux l'architecture DISCUS, qui se repose sur les solutions de sécurité existantes ainsi que des nouvelles sondes réseaux. Cette approche nous permet de conduire des analyses plus précises et de pouvoir mener des analyses collaboratives, où chacune des sondes vient enrichir la connaissance globale du réseau. La collaboration des sondes est effectuée au travers des tables, un concept assimilable aux bases de données distribuées. Deux problématiques majeures sont soulevées avec notre solution : déterminer les techniques de distribution et de collaboration efficaces, et faciliter la configuration de ce parcs de solutions de sécurité. Nos travaux s'intéressent principalement sur cette seconde problématique<br>Nowadays, information systems are everywhere and their interconnexion is almost complete. The rise of complex and large computing infrastructures has brought a need for increased security. We need to follow a sound methodology so that one can understand an exploit develop a counter-measure and deploy it as soon as possible. To tackle those issues, we propose DISCUS, a new distributed architecture that takes advantage of existing solutions as well as distributed probes. This approach leads to finer, collaborative analysis where each probe enrich the global knowledge of the architecture as a whole. Our solution introduces two main issues : determine efficient distribution mechanism to implement collaboration and facilitate the developpement of the software that will run on highly heterogeneous hardware. This thesis mainly focuses on the later. The actual development of the software that will run on the probes can not be made by a security special or a system administrator because of the diversity of the probes (in term of memory, computing power, network location…). This would imply that the developer has strong knowledge on security, networking, kernel development, embeded systems, hardware development. Such a developer is hard to find. To overcome this problem, we propose DISCUS, a domain specific language. With this langage, one can implement security rules without the need to take implementation details into account. Our compiler chain takes the rules and is able to build software, or hardware, image specific for each probes of the network. This thesis presents this language, some case studies and its evaluation in term of expressivity, robustness and performances
17
Kenaza, Tayeb. "Modèles graphiques probabilistes pour la corrélation d'alertes en détection d'intrusions." Thesis, Artois, 2011. http://www.theses.fr/2011ARTO0401/document.
Full textAbstract:
Dans cette thèse, nous nous intéressons à la modélisation du problème de la corrélation d'alertes à base de modèles graphiques probabilistes. Nous avons constaté que les approches existantes de corrélation d'alertes, soit se basent sur des connaissances explicites d'experts, soit utilisent des mesures de similarité simples qui ne permettent pas de détecter des scénarios d'attaque. Pour cela, nous avons d'abord proposé une nouvelle modélisation de la corrélation d'alertes, basée sur les classifieurs Bayésiens naïfs, qui permet d'apprendre les coordinations entre les attaques élémentaires qui contribuent à la réalisation d'un scénario d'attaque. Notre modélisation nécessite seulement une légère contribution des connaissances d'experts. Elle tire profit des données disponibles et fournit des algorithmes efficaces pour la détection et la prédiction des scénarios d'attaque. Ensuite, nous avons montré comment notre approche de corrélation d'alertes peut être améliorée en prenant en considération les informations contextuelles codées en logiques de description, notamment dans le contexte d'une détection coopérative d'intrusions. Enfin, nous avons proposé plusieurs mesures d'évaluation pour un multi-classifieurs Bayésiens naïfs. Ceci est très important pour l'évaluation de notre approche de corrélation d'alertes car elle utilise un ensemble de classifieurs Bayésiens naïfs pour surveiller plusieurs objectifs d'intrusion en même temps<br>In this thesis, we focus on modeling the problem of alert correlation based on probabilistic graphical models. Existing approaches either require a large amount of expert knowledge or use simple similarity measures which are not enough to detect coordinated attacks. We first proposed a new modeling for the alert correlation problem, based on naive Bayesian classifiers, which can learn the coordination between elementary attacks that contribute to the achievement of an attack scenario. Our model requires only a slight contribution of expert knowledge. It takes advantage of available data and provides efficient algorithms for detecting and predicting attacks scenario. Then we show how our alert correlation approach can be improved by taking into account contextual information encoded in description logics, particularly in the context of a cooperative intrusion detection. Finally, we proposed several evaluation measures for a naive Bayesian multi-classifiers. This is very important for evaluating our alert correlation approach because it uses a set of naive Bayesian classifiers to monitor multiple intrusion objectives simultaneously
18
Percher, Jean-Marc. "Un modèle de détection d'intrusions distribuée pour les réseaux sans fil ad hoc." Versailles-St Quentin en Yvelines, 2004. http://www.theses.fr/2004VERS0020.
Full textAbstract:
Dans cette thèse nous proposons un modèle de sécurité pour les MANET (Mobile Ad hoc NETwork). Celui-ci associe les actions des mécanismes de sécurité préventifs et d'un système de détection d'intrusions ou IDS (Intrusion Detection System). Notre recherche est centrée sur l'IDS dont l'architecture doit être adaptée aux caractéristiques des MANET : l'absence d'infrastructure réseau préexistante et permanente, l'hétérogénéité des équipements, l'instabilité de la topologie résultant du mouvement des nœuds, et la difficulté à identifier les nœuds présents dans le réseau. Nous proposons une architecture d'IDS distribuée et coopérative basée sur des agents mobiles. Nous montrons par des simulations comment les agents mobiles permettent d'améliorer la fiabilité de la coopération entre les IDS. Nous présentons un prototype utilisé pour valider, dans un environnement de tests, les caractéristiques de l'IDS distribué et évaluer ses performances<br>This thesis proposes a security model for MANET. Our model is composed of preventive security mechanisms and of an intrusion detection system (IDS). The main focus of this work is on the definition of the architecture of an IDS suitable for MANET. This architecture must take into account the main characteristics of MANETS: the absence of a predefined and permanent infrastructure, the heterogeneity of network nodes, the instability of the network's topology resulting from node mobility, the difficulty to identify nodes in a MANET. We propose a distributed architecture relying on a mobile agent based cooperation system and show, through simulations, that mobile agents can help in increasing the reliability of inter IDS communication and thus cooperation. We present a proof of concept prototype in order to validate the proposed architecture and to evaluate its performances
19
Bouzida, Yacine. "Application de l'analyse en composante principale pour la détection d'intrusion et détection de nouvelles attaques par apprentissage supervisé." Télécom Bretagne, 2006. http://www.theses.fr/2006TELB0009.
Full textAbstract:
La détection d'intrusion est un mécanisme essentiel pour la protection des systèmes d'information. En plus des méthodes préventives, les systèmes de détection d'intrusion sont largement déployés par les administrateurs de sécurité. Cette thèse présente deux applications différentes de l'analyse en composante principale pour la détection d'intrusion. Elle propose aussi une nouvelle approche basée sur l'apprentissage supervisé afin de détecter les nouvelles attaques. Dans la première application, l'analyse en composante principale est utilisée pour distinguer les comportements normaux des utilisateurs des comportements malveillants. Dans la seconde application, elle est utilisée comme une méthode de réduction avant d'appliquer les modèles de classification qui fournissent des signatures d'intrusion. Un autre résultat de cette thèse est l'amélioration des techniques d'apprentissage supervisé pour la détection de nouvelles attaques. Les résultats des différentes expérimentations basées sur l'analyse en composante principale et celles relatives à l'amélioration des techniques supervisées pour la détection d'intrusion sont présentés et discutés.
20
Michel, Cedric. "Langage de description d'attaques pour la détection d'intrusions par corrélation d'évènements ou d'alertes en environnement réseau hétérogène." Rennes 1, 2003. https://tel.archives-ouvertes.fr/tel-01271855.
Full textAbstract:
La détection d'intrusions vise à automatiser la détection des actions malicieuses (intrusions) perpétrées sur un réseau de machines par un utilisateur légal ou un attaquant externe. Cela passe par la mise en place d'une surveillance des activités des utilisateurs et des systèmes pour analyse ultérieure de ces activités. Nous proposons dans cette thèse un langage de haut niveau d'abstraction, ADeLe, dédié à la description des attaques. Il permet de décrire le mode opératoire de l'attaque, de spécifier une signature pour la détecter et de préciser d'éventuelles contre-mesures. La signature permet d'exprimer des contraintes temporelles et logiques pour corréler des activités révélatrices de la même attaque. Nous donnons une sémantique opérationnelle de la partie signature de ce langage, basée sur un algorithme abstrait utilisant un automate de reconnaissance. Nous présentons un prototype fonctionnel qui implante cet algorithme.
21
Roux, Jonathan. "Détection d'intrusion dans des environnements connectés sans-fil par l'analyse des activités radio." Thesis, Toulouse 3, 2020. http://www.theses.fr/2020TOU30011.
Full textAbstract:
Le déploiement massif des objets connectés, formant l'Internet des Objets ou IoT, bouleverse aujourd'hui les environnements réseaux traditionnels. Ces objets, auparavant exempts de connectivité, sont désormais susceptibles d'introduire des vulnérabilités supplémentaires dans les environnements qui les intègrent. La littérature dresse aujourd'hui un portrait peu flatteur de la sécurité de ces objets, qui constituent de plus en plus des cibles de choix pour les attaquants, qui y voient de nouvelles surfaces exploitables pour s'introduire dans les environnements auparavant sécurisés. En outre, les moyens de communications non-filaires utilisés par ces objets sont nombreux, avec des caractéristiques très hétérogènes à tous les niveaux protocolaires, notamment en terme de fréquences utilisées, qui rendent complexes l'analyse et la surveillance des environnements qui s'en équipent. Ces problématiques, et notamment l'hétérogénéité forte de ces nombreux protocoles, remettent en question les solutions traditionnelles permettant d'assurer la sécurité des échanges effectués. Or, l'explosion du nombre de ces objets impose d'adapter ou de proposer des architectures de sécurité qui soient adaptées à ces nouvelles problématiques. Dans cette thèse, nous nous intéressons à la surveillance et à la détection d'anomalies pouvant survenir sur les moyens de communications sans-fil utilisés dans l'IoT, quels qu'ils soient. Nous avons relevé un manque crucial de solutions ayant la capacité d'analyser tous les échanges, et ce, qu'importe le protocole utilisé. Pour y répondre, nous proposons une architecture de sécurité basée sur le monitoring des signaux radios physiques, permettant de s'affranchir de la connaissance des protocoles et donc d'être générique. Son objectif est d'apprendre le modèle des comportements radios légitimes d'un environnement à l'aide de sondes radios, puis d'identifier les déviations vis-à-vis de ce modèle, pouvant correspondre à des anomalies ou des attaques. La description de cette architecture est la première contribution de cette thèse. Nous avons ensuite étudié l'applicabilité de notre solution dans différents contextes, chacun ayant ses caractéristiques propres. La première étude, correspondant à notre deuxième contribution, consiste à proposer une implémentation et un déploiement de notre approche dans les domiciles connectés. L'évaluation de celle-ci face à des attaques réelles injectées dans l'espace radio et ses résultats montrent la pertinence de notre approche dans ces environnements. [...]<br>The massive deployment of connected objects, forming the Internet of Things (IoT), is now disrupting traditional network environments. These objects, previously connectivity-free, are now likely to introduce additional vulnerabilities into the environments that integrate them. The literature today paints an unflattering picture of the security of these objects, which are increasingly becoming prime targets for attackers who see them as new exploitable surfaces to penetrate previously secure environments. In addition, the wireless means of communication used by these objects are numerous, with very heterogeneous characteristics at all protocol levels. Particularly in terms of the frequencies used, which make it difficult to analyse and monitor the environments that are equipped with them. These issues, and in particular the strong heterogeneity of these numerous protocols, call into question the traditional solutions used to ensure the security of the exchanges carried out. However, the explosion in the number of these objects requires security architectures that are adapted to these new issues. In this thesis, we are interested in monitoring and detecting anomalies that may occur in any wireless means of communication used in the IoT. We found a critical lack of solutions with the ability to analyze all exchanges, regardless of the protocol used. To answer this question, we propose a new security architecture based on the monitoring of physical radio signals, making it possible to free oneself from protocol knowledge and therefore to be generic. Its objective is to learn the model of legitimate radio behaviour in an environment using radio probes, then to identify deviations from this model, which may correspond to anomalies or attacks. The description of this architecture is the first contribution of this thesis. We then studied the applicability of our solution in different contexts, each with its own characteristics. The first study, corresponding to our second contribution, consists in proposing an implementation and deployment of our approach in connected homes. The evaluation of the latter in the face of real attacks injected into radio space and its results show the relevance of our approach in these environments. Finally, the last contribution studies the adaptation and deployment of our generic solution to professional environments where the presence of expert users promotes the integration of advanced diagnostic information to identify the origins of an anomaly. The subsequent evaluation and the results associated with each of the diagnostic mechanisms implemented demonstrate the value of our approach in heterogeneous environments
22
Autrel, Fabien. "Fusion, corrélation pondérée et réaction dans un environnement de détection d'intrusions coopérative." Toulouse, ENSAE, 2005. http://www.theses.fr/2005ESAE0002.
Full textAbstract:
Les systèmes informatiques doivent respecter certaines propriétés telles que la confidentialité, l'intégrité et la disponibilité. Cependant, il existe des vulnérabilités qui permettent de violer la politique de sécurité. La détection d’intrusions a pour but de détecter l'exploitation de ces vulnérabilités. L'approché consistant à faire coopérer plusieurs sondes de détection d’intrusions permet d’améliorer le diagnostic fournit. Cette thèse développe les notions de fusion, corrélation pondérée et réaction. La fusion d’alerte regroupe les alertes redondantes pour les fusionner. La corrélation pondérée identifie des scénarios d'intrusions et sélectionne le plus plausible. La réaction bloque un scénario d'intrusions en cours d’exécution ou modifie l’état du système pour éliminer une vulnérabilité ou compenser les effets d’une attaque. Des résultats expérimentaux obtenus sur plusieurs scénarios d’intrusions à partir d’un prototype implantant les notions développées sont présentés.
23
Abbes, Tarek. "Classification du trafic et optimisation des règles de filtrage pour la détection d'intrusions." Nancy 1, 2004. http://www.theses.fr/2004NAN10192.
Full textAbstract:
Nous nous intéressons dans cette thèse à des problèmes sensibles rencontrés par la détection d'intrusions à savoir le haut débit, les techniques d'évasion et les fausses alertes. Afin de soutenir le haut débit, nous procédons à une classification du trafic réseau ce qui permet de diviser la charge d'analyse sur plusieurs systèmes de détection d'intrusions et de sélectionner pour chaque classe du trafic la meilleure méthode de détection. Par ailleurs nous réduisons le temps de traitement de chaque paquet en organisant convenablement les règles de détection d'attaques stockées sur les systèmes de détection d'intrusions. Au cours de cette analyse nous proposons un filtrage à la volée de plusieurs signatures d'attaques. Ainsi, nous évitons le réassemblage du trafic qui était auparavant nécessaire pour résister aux techniques d'évasion. Par ailleurs nous assurons une analyse protocolaire avec des arbres de décisions ce qui accélère la détection des attaques et évite les inconvénients du filtrage brut de motifs telles que la génération abondante des faux positifs<br>In this dissertation we are interested by some bottlenecks that the intrusion detection faces, namely the high load traffic, the evasion techniques and the false alerts generation. In order to ensure the supervision of overloaded networks, we classify the traffic using Intrusion Detection Systems (IDS) characteristics and network security policies. Therefore each IDS supervises less IP traffic and uses less detection rules (with respect to traffics it analyses). In addition we reduce the packets time processing by a wise attack detection rules application. During this analysis we rely on a fly pattern matching strategy of several attack signatures. Thus we avoid the traffic reassembly previously used to deceive evasion techniques. Besides, we employ the protocol analysis with decision tree in order to accelerate the intrusion detection and reduce the number of false positives noticed when using a raw pattern matching method
24
Dumas, Maxime. "AlertWheel visualisation radiale de graphes bipartis appliquée aux systèmes de détection d'intrusions sur des réseaux informatiques." Mémoire, École de technologie supérieure, 2011. http://espace.etsmtl.ca/959/1/DUMAS_Maxime.pdf.
Full textAbstract:
Les systèmes de détection d’intrusions (IDS) sont couramment employés pour détecter des
attaques sur des réseaux informatiques. Ces appareils analysent le trafic entrant et sortant à la
recherche d’anomalies ou d’activités suspectes. Malheureusement, ces appareils génèrent une
quantité importante de bruit (ex. : faux positifs, alertes redondantes, etc.), complexifiant
grandement l’analyse des données.
Ce mémoire présente AlertWheel, une nouvelle application logicielle visant à faciliter
l’analyse des alertes sur des grands réseaux. L’application intègre une visualisation radiale
affichant simultanément plusieurs milliers d’alertes et permettant de percevoir rapidement les
patrons d’attaques importants. AlertWheel propose, entre autres, une nouvelle façon de
représenter un graphe biparti. Les liens sont conçus et positionnés de façon à réduire
l’occlusion sur le graphique. Contrairement aux travaux antérieurs, AlertWheel combine
l’utilisation simultanée de trois techniques de regroupement des liens afin d’améliorer la
lisibilité sur la représentation. L’application intègre également des fonctionnalités de filtrage,
d’annotation, de journalisation et de « détails sur demande », de façon à supporter les
processus d’analyse des spécialistes en sécurité informatique.
L’application se décompose essentiellement en trois niveaux : vue globale (roue), vue
intermédiaire (matrice d’alertes) et vue détails (une seule alerte). L’application supporte
plusieurs combinaisons et dispositions de vues, de façon à s’adapter facilement à la plupart
des types d’analyse.
AlertWheel a été développé principalement dans le but d’étudier le trafic sur des pots de miel
(honeypots). Dans la mesure où tout le trafic sur un honeypot est nécessairement malveillant,
ces derniers permettent d’isoler plus facilement les attaques.
AlertWheel a été évalué à partir de données provenant du réseau international de honeypots
WOMBAT. Grâce à l’application, il a été possible d’isoler rapidement des attaques concrètes
et de cibler des patrons d’attaques globaux.
25
Viinikka, Jouni. "Traitement de flux d'alertes en détection d'intrusions avec des méthodes d'analyse de séries temporelles." Caen, 2006. http://www.theses.fr/2006CAEN2054.
Full textAbstract:
Les premiers systèmes de détection d'intrusions étaient utilisés pour déceler les violations de la politique de sécurité. Aujourd'hui, il en est toujours de même. Néanmoins, les usages complémentaires et alternatifs sont de plus en plus courants. Par exemple, certaines sondes réseau permettent la supervision des protocoles de gestion et le contrôle du trafic, c'est-à-dire du fonctionnement normal du système. Un défaut habituel des outils de détection d'intrusions est leur tendance à générer un grand nombre d'alertes. C'est particulièrement le cas dans le cadre de ces usages complémentaires et alternatifs : cette thèse porte sur l'analyse et le traitement de ce type d'alertes. Des flux d'alertes provenant de systèmes d'information réels sont analysés pour démontrer qu'une partie significative des alertes peut être liée à l'utilisation normale du système d'information ; les flux d'alertes reflètent ainsi des comportements fortement réguliers. Sur la base de ces observations, nous proposons trois méthodes de traitement, qui s'appuient sur des techniques d'analyse de séries temporelles. Il s'agit, d'une part, des moyennes glissantes pondérées exponentiellement et, d'autre part, de deux modèles autorégressifs, l'un stationnaire l'autre non-stationnaire. Avec ces techniques, nous modélisons d'abord le comportement normal d'un flux d'alertes, puis nous éliminons par filtrage les alertes liées à l'utilisation normale du système surveillé. Notre objectif est de réduire la charge de travail de l'opérateur de sécurité et de lui fournir des informations visibles grâce à l'analyse des flux, ce que ne permet pas l'analyse des alertes individuellement. Les résultats expérimentaux exposés dans cette thèse montrent que cet objectif est atteint<br>The first intrusion detection systems were used to detect the breaches of the security policy. This remains their main use today, but complementary and alternative usages are more and more common. For example, some network-based sensors can be used to monitor network management and control traffic, i. E. , normal system functioning. Typically, intrusion detection systems generate large numbers of alerts. This is especially the case with these complementary usages: this thesis focuses on analyzing and processing this type of alerts. Real world alert flows are analyzed to demonstrate that a significant proportion of the alerts can be caused by normal system use. For this reason, some alert flows contain strong regular behaviors. This being established, we propose three different alert flow processing methods. The methods build on techniques from time series analysis, namely exponentially weighted moving averages, and both stationary and non-stationary autoregressive modeling. With these techniques, we first model the normal behavior of alert flows, and then filter out alerts related to the normal use of the monitored system. Our goal is to reduce the workload of the security operator, and to provide him information that is not available by analyzing alerts individually. Experimental results show that this goal is reached
26
Alattar, Mouhannad. "Supervision de la sécurité pour des réseaux ad hoc mobiles : un système léger, robuste, et fiable de détection d'intrusion." Thesis, Besançon, 2013. http://www.theses.fr/2013BESA2036/document.
Full textAbstract:
Les réseaux mobiles ad hoc, appelé généralement MANET ( Mobile Ad hoc NETwork ) continuent augmenter leur présence dans notre vie. Ils deviennent une pierre angulaire du commerce, de la société, de l'armée, de la science, et même des applications de future. Cependant, ces réseaux opèrent souvent dans des environnements ouverts, ce qui les rend particulièrement vulnérables aux nombreux menaces. Ainsi, les méthodes traditionnelles de sécuriser les réseaux s'appuyant sur les techniques de prévention, par exemple le pare-feu et le cryptage, ne sont plus suffisants et doivent être enrichies par des mécanismes réactifs comme le système de détection d'intrusions (ou Intrusion Detection System(IDS)). Concevoir un IDS pour les MANETs est assez difficile parce qu'il doit à la fois assurer une précision de détection élevée, prendre en compte les ressources limitées (en terme de mémoire, de batteries et la bande passante), et adapter à la nature dynamique de ces réseaux. En plus, le système de détection ne devrait pas être une cible d'attaques ou la falsification. Nous avons proposé dans cette thèse un système robuste, léger et efficace de détection qui répond aux exigences de MANETs. Nous avons d'abord étudié les attaques qui menacent les MANETs, en se concentrant sur les attaques visant le protocole de routage OLSR (Optimized Link State Routing). Ensuite, nous présentons notreIDS qui offre un taux élevé d'attaques ainsi que le maintien efficacement les ressources limitées du réseau. A cet effet, notre système analyse les traces de routage au lieu de surveiller le trafic afin d'identifier tout évidence d’activité suspecte. Après, il fait correspondre les évidences à un ensemble de signatures prédéfinies; une signature est perçue comme étant un ensemble partiellement ordonné d’événements caractérisant une intrusion. En outre, notre IDS dépend du degré de suspicion des évidences afin de manière à efficacement limiter le nombre et la durée de ses opérations coûteuses entermes de ressources. Vers une meilleure gestion des ressources disponibles, nous utilisons également l'intervalle deconfiance pour mesurer la fiabilité de détection. Cette mesure statistique permet à: (i) éviter le gaspillage de ressources résultant de collecte et de traitement des évidences redondantes, et (ii) prendre correctement la décision liées à la détection, par exemple déclarer le noeud suspect comme étant un intrus. Afin d'améliorer la robustesse de notre IDS, nous le couple avec un modèle de crédit basé sur l'entropie. Ce modèle surveille le comportement des noeuds lors de la détection afin d’assigner un crédit pour chaque noeud dans le réseau. Notre IDS se base sur les crédits attribuées aux noeuds afin de réduire les effets néfastes des évidences falsifiées fournies par les noeuds méfiants. Le modèle decrédit proposé prend en compte le niveau de risque des attaques. Plus précisément, le taux de perte de crédit d'un noeud méfiants est relié aux conséquences de l'attaque dont ce noeud a essayé d'aider. Notre IDS et les modèles couplés ont été expérimentées sur différents scénarios de la mobilité et de la densité. Les résultats montrent que notre détecteur offrent un taux de détection élevé, en combinaison avec un entretien remarquable des ressources disponibles. De plus, il présente une robustesse importante contre les faux évidences de détection<br>Mobile Ad hoc NETworks (referred to as MANETs) continue increasing their presence in our every day life. They become a corner stone in the commercial, the society, the military, the science, and even the next-generation applications. However, these networks mostly operate over open environments and are therefore vulnerable to a large body of threats. Traditional ways of securing networks relying on preventive techniques, e.g., firewall and encryption, are not sufficient and should henceforth be coupled with a reactive security solution, e.g., the Intrusion Detection Systems (IDSs). Designing anIDS for MANETs is quite challenging because such IDS must not only ensure a high detection accuracy but also take into account the limited resources (e.g., battery life and bandwidth) and the dynamic nature of these networks. Moreover, the designed IDS itself should not be a target of attacks and/or falsification. In this thesis, we respond to these requirements by proposing a lightweight and robust Intrusion Detection System (IDS), dedicated to protecting MANETs. We first explore the space of attacks that threaten MANETs, focusing on the attacks targeting the Optimized Link State Routing protocol. We then introduce our IDS that offers a high rate of attacks along with maintaining efficiently the limited resources in the network. Indeed, contrary to existing systems that monitor the packets going through the host, our system distinguishes itself by parsing and analyzing logs in order to identify patterns of misuse. It further depends on the level of suspicion andgravity involved so as to efficiently restrict the number and the duration of its costly operations, in terms of resources. Towards a better management of the available resources, we also use the confidence interval as a measure of detection reliability. This statistical measure allows our IDS to: (i) identify the redundant evidences, hence the waste of resources resulting from gathering and processing them is avoided, and (ii) correctly make the critical detection-related decisions. In order to enhance the robustness of our IDS, we couple it with an entropy-based trust model that assigns, based on theirunlawful participation in the detection, a low trustworthiness to the misbehaving nodes. Thanks to the estimated trustworthiness, our IDS reduces the bad effects of the falsified feedback provided by the distrustful nodes. The proposed trust model is a risk-aware whereas the higher the risk of an attack, the higher (resp. the lower) is the trust in the nodes which help in detecting (resp. colluding) it. The proposed IDS and the coupled models have been experimented on different scenarios of mobility and density. The results show that our detector offer a high detection rate along with a remarkablemaintenance of the available resources. Moreover, it presents a significant robustness against the falsified detection-related evidences
27
Hauser, Christophe. "Détection d'intrusions dans les systèmes distribués par propagation de teinte au niveau noyau." Phd thesis, Université Rennes 1, 2013. http://tel.archives-ouvertes.fr/tel-00932618.
Full textAbstract:
Modern organisations rely intensively on information and communication technology infrastruc- tures. Such infrastructures offer a range of services from simple mail transport agents or blogs to complex e-commerce platforms, banking systems or service hosting, and all of these depend on distributed systems. The security of these systems, with their increasing complexity, is a chal- lenge. Cloud services are replacing traditional infrastructures by providing lower cost alternatives for storage and computational power, but at the risk of relying on third party companies. This risk becomes particularly critical when such services are used to host privileged company information and applications, or customers' private information. Even in the case where companies host their own information and applications, the advent of BYOD (Bring Your Own Device) leads to new security related issues. In response, our research investigated the characterization and detection of malicious activities at the operating system level and in distributed systems composed of multiple hosts and services. We have shown that intrusions in an operating system spawn abnormal information flows, and we developed a model of dynamic information flow tracking, based on taint marking techniques, in order to detect such abnormal behavior. We track information flows between objects of the operating system (such as files, sockets, shared memory, processes, etc.) and network packets flowing between hosts. This approach follows the anomaly detection paradigm. We specify the legal behavior of the system with respect to an information flow policy, by stating how users and programs from groups of hosts are allowed to access or alter each other's information. Illegal information flows are considered as intrusion symptoms. We have implemented this model in the Linux kernel4 , as a Linux Security Module (LSM), and we used it as the basis for practical demonstrations. The experimental results validated the feasibility of our new intrusion detection principles. This research is part of a joint research project between Supélec (École supérieure d'éléctricité) and QUT (Queensland University of Technology).
28
Sedki, Karima. "Raisonnement sous incertitude et en présence des préférences : application à la détection d'intrusions et à la corrélation d'alertes." Artois, 2008. http://www.theses.fr/2008ARTO0403.
Full textAbstract:
Cette thèse a pour objectif le traitement de deux problèmes importants : représentation des préférences avec application à la corrélation d’alertes et raisonnement sous incertitude avec application à la détection d’intrusions. Dans un premier temps, nous nous sommes intéressés à la représentation des préférences dans un cadre logique. Nos travaux se sont focalisés sur des extensions de la logique du choix qualitatif (QCL) pour représenter des préférences complexes. Notre objectif est de proposer de nouvelles logiques afin de remédier aux limites de QCL et de pouvoir représenter différents types de préférences telles que les préférences prioritaires et les préférences positives. Par ailleurs, cette thèse vise aussi à résoudre le problème de la corrélation d’alertes qui consiste à réduire les grandes quantités d’alertes générées par les systèmes de détection d’intrusions (IDSs) en proposant une approche qui permet d’intégrer les connaissances et les préférences d’un administrateur au sujet des alertes qu’il préfère analyser ou ignorer. L’idée consiste à coder les connaissances et les préférences exprimées dans le cadre de l’une des logiques que nous avons proposées et de présenter à l’administrateur uniquement les alertes préférées. Dans un second temps, nous nous sommes intéressés au problème de la détection d’intrusions qui relève de la sécurité des systèmes d’informations. Notre objectif est de détecter des attaques réseaux présentées dans des connexions finies ou dans des connexions non finies. Ainsi, nous avons proposé de modéliser ce problème par un modèle graphique probabiliste. Pour cela, nous avons défini un jeu d’attributs permettant de décrire les données réseaux et de distinguer un trafic normal d’un trafic intrusif. Nous avons développé un outil de formatage pour extraire les attributs définis et transformer les données réseaux brutes en données formatées. Notre outil permet de structurer les données réseaux en connexions finies (complètes) et connexions non finies (incomplètes). Ces connexions sont utilisées pour la détection en différé et/ou en temps réel des attaques<br>This thesis aims to study two important problems: representation of preferences with application to alert correlation and reasoning under uncertainty with application to intrusion detection problem. We focused on extensions of Qualitative Choice Logic (QCL) to represent complex preferences. Our aim is to propose new logics to address of QCL limitations and to represent different kinds of preferences such as prioritized and positive preferences. Moreover, this thesis aims to solve the problem of alert correlation that concerns reducing the large amounts of generated alerts by intrusion detection systems (IDSs). We propose an approach that incorporates administrator’s knowledge and preferences about alerts that he prefers to analyze or ignore. The idea is to encode administrator’s knowledge and preferences in the context of one of our developed logics and present to the administrator only preferred alerts. In the other hand, we are interested in the problem of intrusion detection that is a serious problem in computer security. Our objective is to detect network attacks before or after connection’s completion. Thus, we propose to represent this problem by a probabilistic graphical model used for classification purposes. To do this, we defined a set of attributes that describe network data and distinguish between normal and intrusive traffic. We have developed a preprocessing tool to extract the defined attributes and transform raw data to formatted one. Our tool can structure network data into finished or not finished connections that can be used for on-line or/and off-line attacks detection
29
Faour, Ahmad. "Une architecture semi-supervisée et adaptative pour le filtrage d'alarmes dans les systèmes de détection d'intrusions sur les réseaux." Phd thesis, INSA de Rouen, 2007. http://tel.archives-ouvertes.fr/tel-00917605.
Full textAbstract:
Nous étudions les limites actuelles des systèmes de traitement des alarmes générées par les systèmes de détection d'intrusion (NIDS) dans les réseaux et proposons une nouvelle approche automatique qui améliore le mécanisme de filtrage. Nos principales contributions se résument ainsi : 1. Proposition d'une architecture de filtrage : nous avons proposé une architecture de filtrage des alarmes qui analyse les journaux d'alertes d'un NIDS et essaye de filtrer les faux positifs. 2. Etude de l'évolutivité de cette architecture : dans cette phase, nous étudions l'aspect dynamique de l'architecture proposée. L'exploitation de l'architecture en temps réel pose plusieurs défis sur l'adaptation de cette architecture par rapport aux changements qui peuvent arriver au cours du temps. Nous avons distingué trois problème à résoudre : (1) adaptation de l'architecture vis à vis de l'évolution du réseau surveillé : intégration des nouvelles machines, des nouveaux routeurs, etc., (2) adaptation de l'architecture vis à vis de l'apparition de nouveaux types d'attaques et (3) adaptation de l'architecture avec l'apparition ou le glissement des comportements types. Pour résoudre ces problèmes, nous utilisons la notion de rejet en distance proposée en reconnaissance des formes et les tests d'hypothèses statistiques . Toutes nos propositions sont implémentées et ont donné lieu à des expérimentations que nous décrivons tout au long du document. Ces expériences utilisent des alarmes générées par SNORT, un système de détection des intrusions basé-réseau qui surveille le réseau du Rectorat de Rouen et qui est déployé dans un environnement opérationnel. Ce point est important pour la validation de notre architecture puisque elle utilise des alarmes issues d'un environnement réel plutôt qu'un environnement simulé ou de laboratoires qui peuvent avoir des limitations significatives.
30
Akrout, Rim. "Analyse de vulnérabilités et évaluation de systèmes de détection d'intrusions pour les applications Web." Phd thesis, INSA de Toulouse, 2012. http://tel.archives-ouvertes.fr/tel-00782565.
Full textAbstract:
Avec le développement croissant d'Internet, les applications Web sont devenues de plus en plus vulnérables et exposées à des attaques malveillantes pouvant porter atteinte à des propriétés essentielles telles que la confidentialité, l'intégrité ou la disponibilité des systèmes d'information. Pour faire face à ces malveillances, il est nécessaire de développer des mécanismes de protection et de test (pare feu, système de détection d'intrusion, scanner Web, etc.) qui soient efficaces. La question qui se pose est comment évaluer l'efficacité de tels mécanismes et quels moyens peut-on mettre en oeuvre pour analyser leur capacité à détecter correctement des attaques contre les applications web. Dans cette thèse nous proposons une nouvelle méthode, basée sur des techniques de clustering de pages Web, qui permet d'identifier les vulnérabilités à partir de l'analyse selon une approche boîte noire de l'application cible. Chaque vulnérabilité identifiée est réellement exploitée ce qui permet de s'assurer que la vulnérabilité identifiée ne correspond pas à un faux positif. L'approche proposée permet également de mettre en évidence différents scénarios d'attaque potentiels incluant l'exploitation de plusieurs vulnérabilités successives en tenant compte explicitement des dépendances entre les vulnérabilités. Nous nous sommes intéressés plus particulièrement aux vulnérabilités de type injection de code, par exemple les injections SQL. Cette méthode s'est concrétisée par la mise en oeuvre d'un nouveau scanner de vulnérabilités et a été validée expérimentalement sur plusieurs exemples d'applications vulnérables. Nous avons aussi développé une plateforme expérimentale intégrant le nouveau scanner de vulnérabilités, qui est destinée à évaluer l'efficacité de systèmes de détection d'intrusions pour des applicationsWeb dans un contexte qui soit représentatif des menaces auxquelles ces applications seront confrontées en opération. Cette plateforme intègre plusieurs outils qui ont été conçus pour automatiser le plus possible les campagnes d'évaluation. Cette plateforme a été utilisée en particulier pour évaluer deux techniques de détection d'intrusions développées par nos partenaires dans le cadre d'un projet de coopération financé par l'ANR, le projet DALI.
31
Abou, El Kalam Anas. "Sécurité des réseaux et infrastructures critiques." Habilitation à diriger des recherches, Institut National Polytechnique de Toulouse - INPT, 2009. http://tel.archives-ouvertes.fr/tel-00440784.
Full textAbstract:
Les infrastructures et réseaux critiques commencent à s'ouvrir vers des architectures, protocoles et applications vulnérables. Ainsi, non seulement il est question de sécuriser ces applications (e.g., contre les attaques potentielles), mais il faut également justifier notre confiance dans les mécanismes de sécurité déployés. Pour cela, nous présentons PolyOrBAC, un cadriciel basé sur le modèle de contrôle d'accès OrBAC, les mécanismes de services Web ainsi que les contrats électroniques. Ensuite, nous préconisons l'utilisation de la Programmation Logique par Contraintes (PLC) pour détecter et résoudre les conflits éventuels dans la politique de sécurité. Au niveau de la mise en œuvre, nous proposons le protocole Q-ESP, notre amélioration d'IPSec qui assure à la fois des besoins de sécurité et de QoS. Enfin, nous présentons nos modèles et résultats de test et d'évaluation d'outils de sécurité notamment les Systèmes de Détection d'Intrusions (IDS).
32
Monnet, Quentin. "Modèles et mécanismes pour la protection contre les attaques par déni de service dans les réseaux de capteurs sans fil." Thesis, Paris Est, 2015. http://www.theses.fr/2015PESC1023/document.
Full textAbstract:
Composés d'appareils fortement limités en ressources (puissance de calcul, mémoire et énergie disponible) et qui communiquent par voie hertzienne, les réseaux de capteurs sans fil composent avec leurs faibles capacités pour déployer une architecture de communication de manière autonome, collecter des données sur leur environnement et les faire remonter jusqu'à l'utilisateur. Des « transports intelligents » à la surveillance du taux de pollution environnemental, en passant par la détection d'incendies ou encore l'« Internet des objets », ces réseaux sont aujourd'hui utilisés dans une multitude d'applications. Certaines d'entre elles, de nature médicale ou militaire par exemple, ont de fortes exigences en matière de sécurité. Les travaux de cette thèse se concentrent sur la protection contre les attaques dites par « déni de service », qui visent à perturber le fonctionnement normal du réseau. Ils sont basés sur l'utilisation de capteurs de surveillance, qui sont périodiquement renouvelés pour répartir la consommation en énergie. De nouveaux mécanismes sont introduits pour établir un processus de sélection efficace de ces capteurs, en optimisant la simplicité de déploiement (sélection aléatoire), la répartition de la charge énergétique (sélection selon l'énergie résiduelle) ou encore la sécurité du réseau (élection démocratique basée sur un score de réputation). Sont également fournis différents outils pour modéliser les systèmes obtenus sous forme de chaines de Markov à temps continu, de réseaux de Petri stochastiques (réutilisables pour des opérations de model checking) ou encore de jeux quantitatifs<br>Memory and little energy available), communicating through electromagnetic transmissions. In spite of these limitations, sensors are able to self-deploy and to auto-organize into a network collecting, gathering and forwarding data about their environment to the user. Today those networks are used for many purposes: “intelligent transportation”, monitoring pollution level in the environment, detecting fires, or the “Internet of things” are some example applications involving sensors. Some of them, such as applications from medical or military domains, have strong security requirements. The work of this thesis focuses on protection against “denial of service” attacks which are meant to harm the good functioning of the network. It relies on the use of monitoring sensors: these sentinels are periodically renewed so as to better balance the energy consumption. New mechanisms are introduced so as to establish an efficient selection process for those sensors: the first one favors the ease of deployment (random selection), while the second one promotes load balancing (selection based on residual energy) and the last one is about better security (democratic election based on reputation scores). Furthermore, some tools are provided to model the system as continuous-time Markov chains, as stochastic Petri networks (which are reusable for model checking operations) or even as quantitative games
33
Demay, Jonathan-Christofer. "Génération et évaluation de mécanismes de détection des intrusions au niveau applicatif." Phd thesis, Université Rennes 1, 2011. http://tel.archives-ouvertes.fr/tel-00659694.
Full textAbstract:
Le chapitre 2 présente la première partie importante de nos travaux : l'approche pour la détection que nous proposons. Nous avons tout d'abord expliqué les caractéristiques des attaques contre les données de calcul et en quoi ces dernières se distinguent des autres types d'attaque. Ceci nous a notamment permis de montrer que pour perpétuer une intrusion, un utilisateur malveillant va chercher à cibler un ensemble bien précis de données de calcul. À l'aide de la logique de Hoare, nous avons ensuite expliqué que le code source des applications peut contenir des informations qui peuvent être utilisées pour détecter ce type bien précis d'attaque. Nous avons détaillé cela sur un exemple d'exploitation de vulnérabilité. Puis, nous avons présenté notre modèle de détection. Nous l'avons tout d'abord présenté empiriquement sur un cas réel d'attaques contre les données de calcul. Pour cela, nous avons détaillé la vulnérabilité utilisée dans notre exemple ainsi que les différents scénarios d'attaque et comment des invariants portant sur certaines variables permettent de détecter ces attaques. Enfin, nous avons présenté formellement notre modèle de détection. Celui-ci correspond à l'ensemble des domaines de variation des variables qui influencent l'exécution des appels de fonction. Ces domaines de variation sont calculés juste avant les appels de fonction et uniquement pour les variables qui sont atteignables à ces endroits du code source. Nous avons ensuite présenté une méthode pour construire un tel modèle. Premièrement, nous proposons d'utiliser le graphe de dépendance du programme pour déterminer pour chaque appel de fonction l'ensemble des variables qui influencent son exécution. Deuxièmement, nous proposons d'utiliser l'interprétation abstraite pour calculer pour chacun de ces ensembles de variables leur domaine de variation. Pour finir, nous présentons une implémentation de notre approche que nous avons réalisée pour les programmes écrits en langage C. Nous détaillons d'abord la phase de construction du modèle qui repose sur un outil d'analyse statique existant, Frama-C. Nous détaillons ensuite la phase d'instrumentation, celle-ci ayant pour contrainte de ne pas modifier le processus original de compilation. Le chapitre 3 présente la seconde partie importante de nos travaux : l'approche pour l'évaluation que nous proposons. Nous commençons par aborder la problématique de la simulation des erreurs engendrées par les attaques contre les données de calcul. Pour cela, nous présentons d'abord le modèle de faute que nous proposons pour simuler ce type bien particulier d'attaques. Nous étudions les caractéristiques qui doivent être simulées, quel sera leur impact sur le programme et dans quel cas ces dernières peuvent être détectées. Nous expliquons ensuite comment nous proposons de construire notre modèle de simulation. La principale problématique ici est de savoir comment déterminer l'ensemble des cibles potentielles. Il s'agit du même ensemble de variables que pour la détection. Nous proposons donc à nouveau de nous reposer sur le graphe de dépendance du programme et d'embarquer les mécanismes d'injection au sein des applications. Nous expliquons ensuite comment notre modèle de faute peut être utilisé pour l'évaluation d'un système de détection d'intrusion. Nous posons comme objectif que le résultat obtenu doit être une sur-approximation du taux de faux négatifs réel. Cela implique que nous voulons placer le système de détection d'intrusion à évaluer dans la situation la moins favorable possible. Pour respecter cette contrainte, nous montrons que notre modèle de faute doit être utilisé pour simuler une intrusion qui ne nécessite qu'une seule exploitation de la vulnérabilité, que la vulnérabilité donne accès à l'ensemble de l'espace mémoire du processus et que l'exploitation ne vise qu'une seule variable. Nous présentons enfin les modifications que nous avons apportées à notre outil afin qu'il instrumente aussi les programmes pour l'injection et comment les mécanismes d'injection ainsi ajoutés doivent être utilisés. Le chapitre 4 présente la dernière partie de nos travaux : l'évaluation de notre système de détection d'intrusion, notamment à l'aide de notre modèle de simulation d'attaque. Nous commençons par présenter la plateforme de tests que nous avons développée autour de nos mécanismes d'injection. Il s'agit d'une plateforme qui automatise la réalisation de tests ainsi que l'analyse des résultats obtenus. Nous abordons tout d'abord les problématiques d'écriture des scénarios d'exécution et de collecte des informations. Les scénarios doivent permettre de couvrir suffisamment le code des programmes utilisés pour les tests. Nous avons choisi de mesurer ce taux de couverture en fonction des appels de fonction. Les informations collectées sont utilisées pour produire deux résultats : une sur-approximation du taux réel de faux négatifs et une évaluation du taux de détection pour les injections ayant provoqué une déviation comportementale. Pour finir, nous présentons les résultats de l'évaluation de notre système de détection d'intrusion. Nous commençons par donner les performances de l'analyse. On note que la durée d'analyse peut être très grande, notamment en fonction de la taille du code à analyser, mais qu'en fonction de la sémantique du code, deux programmes de taille similaire peuvent présenter des durées d'analyse complètement différentes. Puis, nous donnons le niveau de surcharge à l'exécution. On note que la surcharge induite par nos mécanismes de détection est très faible, toujours inférieure à 1%. Nous continuons avec les performances de la détection. Nous pouvons voir que les résultats de la détection varient grandement d'un programme à l'autre, malgré un taux d'instrumentation similaire. Ce qui change, c'est le nombre d'invariants vérifiés. On voit ici la limite de notre approche : si la sémantique du code original ne permet pas de calculer suffisamment d'invariants, l'efficacité de notre approche sera alors limitée. De plus, la propagation de l'erreur n'apporte que peu d'aide à notre modèle de détection. Dans tous les cas, nous avons pu vérifier que notre approche ne génère bien pas de faux positif.
34
Moussaileb, Routa. "Log analysis for malicious software detection." Thesis, Ecole nationale supérieure Mines-Télécom Atlantique Bretagne Pays de la Loire, 2020. http://www.theses.fr/2020IMTA0211.
Full textAbstract:
Les rançongiciels demeurent la menace informatique principale pour les particuliers, les entreprises et les gouvernements. Les conséquences de ces attaques peuvent causer des pertes irréversibles si les exigences des attaquants ne sont pas satisfaites à temps. Cette thèse cible les rançongiciels Windows. Ils affectent les données des utilisateurs sauvegardées sur les ordinateurs ainsi que de nombreux services publics. Quatre étapes de l’attaque des rançongiciels sont définies : infection, déploiement, destruction et transaction. Les contre-mesures sont regroupées selon les techniques utilisées et attribuées à chaque phase de l'attaque. Cette thèse présente trois contributions. Le premier mécanisme de détection est situé dans la couche du système de fichiers. Il est basé sur la traversée du système qui permet d’exposer les comportements malveillants. Cette thèse propose également une analyse du trafic réseau. Les échantillons sont collectés pour une détection au niveau des paquets. Une étude des notes de rançon est faite pour situer la contre-mesure réseau dans l'étape appropriée de l’intrusion. La dernière contribution donne un aperçu des attaques, particulièrement des Doxware. Un modèle de quantification qui explore le système de fichiers Windows à la recherche de données importantes est présenté et complémenté par les pots de miels pour protéger les fichiers sensibles. Enfin, cette thèse offre des perspectives permettant d'établir un meilleur plan d’action pour les chercheurs<br>Ransomware remains the number one cyberthreat for individuals, enterprises, and governments. Malware’s aftermath can cause irreversible casualties if the requirements of the attackers are not met in time. This thesis targets Windows ransomware. It affects users’ data and undermines many public services. Four stages of this malware attack are defined: delivery, deployment, destruction, and dealing. The corresponding countermeasures are assigned to each phase of the attack and clustered according to the techniques used. This thesis presents three contributions. The first detection mechanism is located in the file system layer. It is based on the system traversal that is sufficient to highlight the malicious behavior. This thesis proposes also an analysis of the network traffic. It is generated by collected ransomware samples to perform a packet-level detection. A study of the ransom notes is made to define where it takes place in a ransomware workflow. The last contribution provides an insight into plausible attacks, especially Doxware. A quantification model that explores the Windows file system in search of valuable data is presented. It is based on the term frequency-inverse document frequency solution provided in the literature for information retrieval. Honeypot techniques are also used to protect the sensitive files of the users. Finally, this thesis provides future perspectives granting a better roadmap for researchers
35
La, Vinh Hoa. "Security monitoring for network protocols and applications." Thesis, Université Paris-Saclay (ComUE), 2016. http://www.theses.fr/2016SACLL006/document.
Full textAbstract:
La sécurité informatique, aussi connue comme la cyber-sécurité, est toujours un sujet d'actualité dans la recherche en sciences informatiques. Comme les cyber-attaques grandissent de plus en plus en volume et en sophistication, la protection des systèmes ou réseaux d'information devient une tâche difficile. Les chercheurs dans la communauté de recherche prêtent une attention constante à la sécurité, en particulier ils s'orientent vers deux directions principales: (i) - la conception des infrastructures sécurisées avec des protocoles de communication sécurisés et (ii) - surveillance / supervision des systèmes ou des réseaux afin de trouver et de remédier des vulnérabilités. La dernière vérifie que tout ce qui a été conçu dans la première fonctionne correctement et en toute sécurité, ainsi détectant les violations de sécurité. Ceci étant le sujet principal de cette thèse.Cette dissertation présente un cadre de surveillance de la sécurité en tenant en compte des différents types de jeu de données d'audit y compris le trafic de réseaux et les messages échangés dans les applications. Nous proposons également des approches innovantes fondées sur l'apprentissage statistique, la théorie de l'information et de l'apprentissage automatique pour prétraiter et analyser l'entrée de données. Notre cadre est validé dans une large gamme des études de cas, y compris la surveillance des réseaux traditionnels TCP / IP (v4) (LAN, WAN, la surveillance de l'Internet), la supervision des réseaux de objets connectés utilisant la technologie 6LoWPAN (IPv6), et également, l’analyse des logs d'autres applications. Enfin, nous fournissons une étude sur la tolérance d’intrusion par conception et proposons une approche basée sur l’émulation pour détecter et tolérer l’intrusion simultanément.Dans chaque étude de cas, nous décrivons comment nous collectons les jeux de données d'audit, extrayons les attributs pertinents, traitons les données reçues et décodons leur signification de sécurité. Pour attendre ces objectifs, l'outil MMT est utilisé comme le cœur de notre approche. Nous évaluons également la performance de la solution et sa possibilité de marcher dans les systèmes “à plus grande échelle” avec des jeux de données plus volumineux<br>Computer security, also known as cyber-security or IT security, is always an emerging topic in computer science research. Because cyber attacks are growing in both volume and sophistication, protecting information systems or networks becomes a difficult task. Therefore, researchers in research community give an ongoing attention in security including two main directions: (i)-designing secured infrastructures with secured communication protocols and (ii)-monitoring/supervising the systems or networks in order to find and re-mediate vulnerabilities. The former assists the later by forming some additional monitoring-supporting modules. Whilst, the later verifies whether everything designed in the former is correctly and securely functioning as well as detecting security violations. This is the main topic of this thesis.This dissertation presents a security monitoring framework that takes into consideration different types of audit dataset including network traffic and application logs. We propose also some novel approaches based on supervised machine learning to pre-process and analyze the data input. Our framework is validated in a wide range of case studies including traditional TCP/IPv4 network monitoring (LAN, WAN, Internet monitoring), IoT/WSN using 6LoWPAN technology (IPv6), and other applications' logs. Last but not least, we provide a study regarding intrusion tolerance by design and propose an emulation-based approach to simultaneously detect and tolerate intrusion.In each case study, we describe how we collect the audit dataset, extract the relevant attributes, handle received data and decode their security meaning. For these goals, the tool Montimage Monitoring Tool (MMT) is used as the core of our approach. We assess also the solution's performance and its possibility to work in "larger scale" systems with more voluminous dataset
36
Angoustures, Mark. "Extraction automatique de caractéristiques malveillantes et méthode de détection de malware dans un environnement réel." Thesis, Paris, CNAM, 2018. http://www.theses.fr/2018CNAM1221.
Full textAbstract:
Pour faire face au volume considérable de logiciels malveillants, les chercheurs en sécurité ont développé des outils dynamiques automatiques d’analyse de malware comme la Sandbox Cuckoo. Ces types d’analyse sont partiellement automatiques et nécessite l’intervention d’un expert humain en sécurité pour détecter et extraire les comportements suspicieux. Afin d’éviter ce travail fastidieux, nous proposons une méthodologie pour extraire automatiquement des comportements dangereux données par les Sandbox. Tout d’abord, nous générons des rapports d’activités provenant des malware depuis la Sandbox Cuckoo. Puis, nous regroupons les malware faisant partie d’une même famille grâce à l’algorithme Avclass. Cet algorithme agrège les labels de malware donnés par VirusTotal. Nous pondérons alors par la méthode TF-IDF les comportements les plus singuliers de chaque famille de malware obtenue précédemment. Enfin, nous agrégeons les familles de malware ayant des comportements similaires par la méthode LSA.De plus, nous détaillons une méthode pour détecter des malware à partir du même type de comportements trouvés précédemment. Comme cette détection est réalisée en environnement réel, nous avons développé des sondes capables de générer des traces de comportements de programmes en exécution de façon continue. A partir de ces traces obtenues, nous construisons un graphe qui représente l’arbre des programmes en exécution avec leurs comportements. Ce graphe est mis à jour de manière incrémentale du fait de la génération de nouvelles traces. Pour mesurer la dangerosité des programmes, nous exécutons l’algorithme PageRank thématique sur ce graphe dès que celui-ci est mis à jour. L’algorithme donne un classement de dangerosité des processus en fonction de leurs comportements suspicieux. Ces scores sont ensuite reportés sur une série temporelle pour visualiser l’évolution de ce score de dangerosité pour chaque programme. Pour finir, nous avons développé plusieurs indicateurs d’alertes de programmes dangereux en exécution sur le système<br>To cope with the large volume of malware, researchers have developed automatic dynamic tools for the analysis of malware like the Cuckoo sandbox. This analysis is partially automatic because it requires the intervention of a human expert in security to detect and extract suspicious behaviour. In order to avoid this tedious work, we propose a methodology to automatically extract dangerous behaviors. First of all, we generate activity reports from malware from the sandbox Cuckoo. Then, we group malware that are part of the same family using the Avclass algorithm. We then weight the the most singular behaviors of each malware family obtained previously. Finally, we aggregate malware families with similar behaviors by the LSA method.In addition, we detail a method to detect malware from the same type of behaviors found previously. Since this detection isperformed in real environment, we have developed probes capable of generating traces of program behaviours in continuous execution. From these traces obtained, we let’s build a graph that represents the tree of programs in execution with their behaviors. This graph is updated incrementally because the generation of new traces. To measure the dangerousness of programs, we execute the personalized PageRank algorithm on this graph as soon as it is updated. The algorithm gives a dangerousness ranking processes according to their suspicious behaviour. These scores are then reported on a time series to visualize the evolution of this dangerousness score for each program. Finally, we have developed several alert indicators of dangerous programs in execution on the system
37
Labonne, Maxime. "Anomaly-based network intrusion detection using machine learning." Electronic Thesis or Diss., Institut polytechnique de Paris, 2020. http://www.theses.fr/2020IPPAS011.
Full textAbstract:
Ces dernières années, le piratage est devenu une industrie à part entière, augmentant le nombre et la diversité des cyberattaques. Les menaces qui pèsent sur les réseaux informatiques vont des logiciels malveillants aux attaques par déni de service, en passant par le phishing et l'ingénierie sociale. Un plan de cybersécurité efficace ne peut plus reposer uniquement sur des antivirus et des pare-feux pour contrer ces menaces : il doit inclure plusieurs niveaux de défense. Les systèmes de détection d'intrusion (IDS) réseaux sont un moyen complémentaire de renforcer la sécurité, avec la possibilité de surveiller les paquets de la couche 2 (liaison) à la couche 7 (application) du modèle OSI. Les techniques de détection d'intrusion sont traditionnellement divisées en deux catégories : la détection par signatures et la détection par anomalies. La plupart des IDS utilisés aujourd'hui reposent sur la détection par signatures ; ils ne peuvent cependant détecter que des attaques connues. Les IDS utilisant la détection par anomalies sont capables de détecter des attaques inconnues, mais sont malheureusement moins précis, ce qui génère un grand nombre de fausses alertes. Dans ce contexte, la création d'IDS précis par anomalies est d'un intérêt majeur pour pouvoir identifier des attaques encore inconnues.Dans cette thèse, les modèles d'apprentissage automatique sont étudiés pour créer des IDS qui peuvent être déployés dans de véritables réseaux informatiques. Tout d'abord, une méthode d'optimisation en trois étapes est proposée pour améliorer la qualité de la détection : 1/ augmentation des données pour rééquilibrer les jeux de données, 2/ optimisation des paramètres pour améliorer les performances du modèle et 3/ apprentissage ensembliste pour combiner les résultats des meilleurs modèles. Les flux détectés comme des attaques peuvent être analysés pour générer des signatures afin d'alimenter les bases de données d'IDS basées par signatures. Toutefois, cette méthode présente l'inconvénient d'exiger des jeux de données étiquetés, qui sont rarement disponibles dans des situations réelles. L'apprentissage par transfert est donc étudié afin d'entraîner des modèles d'apprentissage automatique sur de grands ensembles de données étiquetés, puis de les affiner sur le trafic normal du réseau à surveiller. Cette méthode présente également des défauts puisque les modèles apprennent à partir d'attaques déjà connues, et n'effectuent donc pas réellement de détection d'anomalies. C'est pourquoi une nouvelle solution basée sur l'apprentissage non supervisé est proposée. Elle utilise l'analyse de l'en-tête des protocoles réseau pour modéliser le comportement normal du trafic. Les anomalies détectées sont ensuite regroupées en attaques ou ignorées lorsqu'elles sont isolées. Enfin, la détection la congestion réseau est étudiée. Le taux d'utilisation de la bande passante entre les différents liens est prédit afin de corriger les problèmes avant qu'ils ne se produisent<br>In recent years, hacking has become an industry unto itself, increasing the number and diversity of cyber attacks. Threats on computer networks range from malware to denial of service attacks, phishing and social engineering. An effective cyber security plan can no longer rely solely on antiviruses and firewalls to counter these threats: it must include several layers of defence. Network-based Intrusion Detection Systems (IDSs) are a complementary means of enhancing security, with the ability to monitor packets from OSI layer 2 (Data link) to layer 7 (Application). Intrusion detection techniques are traditionally divided into two categories: signatured-based (or misuse) detection and anomaly detection. Most IDSs in use today rely on signature-based detection; however, they can only detect known attacks. IDSs using anomaly detection are able to detect unknown attacks, but are unfortunately less accurate, which generates a large number of false alarms. In this context, the creation of precise anomaly-based IDS is of great value in order to be able to identify attacks that are still unknown.In this thesis, machine learning models are studied to create IDSs that can be deployed in real computer networks. Firstly, a three-step optimization method is proposed to improve the quality of detection: 1/ data augmentation to rebalance the dataset, 2/ parameters optimization to improve the model performance and 3/ ensemble learning to combine the results of the best models. Flows detected as attacks can be analyzed to generate signatures to feed signature-based IDS databases. However, this method has the disadvantage of requiring labelled datasets, which are rarely available in real-life situations. Transfer learning is therefore studied in order to train machine learning models on large labeled datasets, then finetune them on benign traffic of the network to be monitored. This method also has flaws since the models learn from already known attacks, and therefore do not actually perform anomaly detection. Thus, a new solution based on unsupervised learning is proposed. It uses network protocol header analysis to model normal traffic behavior. Anomalies detected are then aggregated into attacks or ignored when isolated. Finally, the detection of network congestion is studied. The bandwidth utilization between different links is predicted in order to correct issues before they occur
38
Brogi, Guillaume. "Real-time detection of Advanced Persistent Threats using Information Flow Tracking and Hidden Markov Models." Thesis, Paris, CNAM, 2018. http://www.theses.fr/2018CNAM1167/document.
Full textAbstract:
Dans cette thèse, nous présentons les risques posés par les Menaces Persistentes Avancées (APTs) et proposons une approche en deux temps pour distinguer les attaques qui en font partie. Ce travail fait partie d'Akheros, un Système de Détection d'Intrusion (IDS) autonome développé par trois doctorants. L'idée est d'utiliser l'apprentissage machine pour détecté des évènements inattendus et vérifier s'ils posent un risque de sécurité. La dernière étape, et le sujet de cette thèse, est de mettre en évidence les APT. Les campagnes d'APT sont particulièrement dangereuses car les attaquants sont compétents et ont un but précis ainsi que du temps et de l'argent. Nous partons des résultats des parties précédentes d'Akheros: une liste d'évènements traduisible en flux d'information et qui indique quand des attaques sont détectées. Nous faisons ressortir les liens entre attaques en utilisant le Suivi de Flux d'Information: nous ajoutons une nouvelle teinte pour chaque attaque. Lors de la propagation, si une teinte se trouve en amont d'un flux qui fait partie d'une attaque, alors les deux attaques sont liés. Certaines attaques se trouvent liées par erreur car les évènements que nous utilisons ne sont pas assez précis, d'où l'approche en deux temps. Dans le cas où certaines attaques ne sont pas détectées, la teinte de cette attaque n'est pas créée, cependant, les autres teintes sont propagées normalement, et l'attaque précédent l'attaque non détectée sera liée à l'attaque lui faisant suite. Le deuxième temps de l'approche est de retirer les liens erronés. Nous utilisons un Modèle de Markov Caché pour représenter les APTs et retirons les campagnes qui ne suivent pas le modèle. Ceci fonctionne car les APTs, quoique toutes différentes, passent par les mêmes phases. Ces phases sont les états cachés du modèle. Les observations sont les types d'attaques effectuées pendant ces phases. De plus, les actions futures des attaquants dépendent des résultats de l'action en cours, ce qui satisfait l'hypothèse de Markov. Le score utilisé pour classer les campagnes potentielles de la plus proche d'une APT à la plus éloigné est basé sur un algorithme de Viterbi modifié pour prendre en compte les attaques non détectées potentielles<br>In this thesis, we present the risks posed by Advanced Persitent Threats (APTs) and propose a two-step approach for recognising when detected attacks are part of one. This is part of the Akheros solution, a fully autonomous Intrusion Detection System (IDS) being developed in collaboration by three PhD students. The idea is to use machine learning to detect unexpected events and check if they present a security risk. The last part, and the subject of this thesis, is the highlighting of APT. APTs campaigns are particularly dangerous because they are performed by skilled attackers with a precise goal and time and money on their side.We start with the results from the previous part of the Akheros IDS: a list of events, which can be translated to flows of information, with an indication for events found to be attacks. We find links between attacks using Information Flow Tracking. To do so, we create a new taint for each detected attack and propagate it. Whenever a taint is on the input of an event that is part of another attack, then the two attacks are linked. However, the links are only potential because the events used are not precise enough, which leads to erroneously propagated taints. In the case of an undetected attack, no taint is created for that attack, but the other taints are still propagated as normal so that previous attack is still linked to the next attack, only skipping the undetected one. The second step of the approach is to filter out the erroneous links. To do so, we use a Hidden Markov Model to represent APTs and remove potential attack campaign that do not fit the model. This is possible because, while each APT is different, they all go through the same phases, which form the hidden states of our model. The visible observations are the kind of attacks performed during these phases. In addition, the results in one phase dictate what the attackers do next, which fits the Markov hypothesis. The score used to rank potential attack campaign from most likely an APT to least likely so is based on a customised Viterbi algorithm in order to take into account potentially undetected attacks
39
Azzouni, Abdelhadi. "Smart and secure network softwarization." Electronic Thesis or Diss., Sorbonne université, 2018. http://www.theses.fr/2018SORUS259.
Full textAbstract:
La tendance récente vers la “Softwarization” des réseaux entraîne un changement techno-économique sans précédent dans les secteurs des TIC (technologies de l'information et de la communication). En séparant le matériel sur lequel fonctionnent les fonctions/services réseau et le logiciel qui réalise et contrôle de ces fonctions/services, les réseaux logiciels (ou SDN, Software-Defined Networking) et la virtualisation des fonctions réseau (NFV, Network Function Virtualization) créent un écosystème ouvert qui réduit considérablement le coût de provisionnement des réseaux et change la façon dont les opérateurs gèrent et exploitent leurs réseaux. Les paradigmes SDN et NFV introduisent plus de flexibilité et permettent un meilleur contrôle, ainsi les technologies associées devraient dominer une grande partie du marché du réseautage dans les prochaines années (estimé à 3,68 milliards USD en 2017 et prévu par certains pour atteindre 54 milliards USD d'ici 2022 à un taux de croissance annuel composé (TCAC) de 71,4%). Cependant, l'un des soucis majeurs des opérateurs à propos de Network Softwarization est la sécurité. Dans cette thèse, nous avons d'abord conçu et implémenté un framework de test de pénétration (pentesting) pour les contrôleurs SDN. Nous avons proposé un ensemble d'algorithmes pour l'empreinte digitale d'un contrôleur SDN distant, i.e. sans avoir besoin d’une connexion directe au contrôleur. En utilisant notre framework, les opérateurs réseau peuvent évaluer la sécurité de leurs déploiements SDN (y compris Opendaylight, Floodlight et Cisco Open SDN Controller) avant de les mettre en production. Deuxièmement, nous avons étudié le problème de découverte de topologie dans les réseaux SDN. Nous avons constaté des problèmes de sécurité, ainsi que de performance, majeurs autour du protocole OFDP (OpenFlow Topology Discovery Protocol). Afin de résoudre ces problèmes majeurs, nous avons conçu et implémenté un nouveau protocole, sécurisé et efficace, pour la découverte de topologie dans les réseaux OpenFlow. Notre protocole est appelé sOFTDP; secure and efficient OpenFlow Topology Discovery Protocol. sOFTDP nécessite des modifications minimales à la conception de base du commutateur OpenFlow et s'avère plus sûr que le OFDP traditionnel et les améliorations plus récente sur OFDP. En outre, sOFTDP surpasse OFDP de plusieurs ordres de grandeur en terme de performance, ce que nous avons confirmé par des tests approfondis. Le deuxième axe de notre recherche dans cette thèse est la gestion intelligente et automatique des réseaux logiciels. Inspirés par les avancées récentes dans les techniques d'apprentissage automatique, notamment les réseaux de neurones profonds (DNN, Deep Neural Networks), nous avons créé un moteur d'ingénierie de trafic pour le SDN appelé NeuRoute, entièrement basé sur les DNN. Les contrôleurs SDN/OpenFlow actuels utilisent par défaut un routage basé sur l'algorithme de Dijkstra pour les chemins les plus courts mais fournissent des API pour développer des applications de routage personnalisées. NeuRoute est un framework de routage dynamique indépendant du contrôleur qui (i) prédit la matrice de trafic en temps réel, (ii) utilise un réseau neuronal pour apprendre les caractéristiques du trafic et (iii) génère automatiquement des règles de routage pour optimiser le débit du trafic. [...]<br>The recent trend toward Network Softwarization is driving an unprecedented technoeconomic shift in the Telecom and ICT (Information and Communication Technologies) industries. By separating the hardware on which network functions/services run and the software that realizes and controls the network functions/services, Software-Defined Networking (SDN) and Network Function Virtualization (NFV) are creating an open ecosystem that drastically reduces the cost of building networks and changes the way operators operate their networks. SDN and NFV paradigms add more flexibility and enable more control over networks, thus, related technologies are expected to dominate a large part of the networking market in the next few years (estimated at USD 3.68B in 2017 and forecasted by some to reach 54B USD by 2022 at a Compound Annual Growth Rate (CAGR) of 71.4%). However, one of the major operators’ concerns about Network Softwarization is security. In this thesis, we have first designed and implemented a pentesting (penetration testing) framework for SDN controllers. We have proposed a set of algorithms to fingerprint a remote SDN controller without having direct connection to it. Using our framework, network operators can evaluate the security of their SDN deployments (including Opendaylight, Floodlight and Cisco Open SDN Controller) before putting them into production. Second, we have studied the Topology Discovery problem in SDN controllers and discovered major security (as well as performance) issues around the current de-facto OpenFlow Topology Discovery Protocol (OFDP). In order to fix these major issues, we have designed and implemented a new secure and efficient OpenFlow Topology Discovery Protocol (called sOFTDP). sOFTDP requires minimal changes to the OpenFlow switch design and is shown to be more secure than previous workarounds on traditional OFDP. Also, sOFTDP outperforms OFDP by several orders of magnitude which we confirmed by extensive experiments. The second axis of our research in this thesis is smart management in softwarized networks. Inspired by the recent breakthroughs in machine learning techniques, notably, Deep Neural Networks (DNNs), we have built a traffic engineering engine for SDN called NeuRoute, entirely based on DNNs. Current SDN/OpenFlow controllers use a default routing based on Dijkstra’s algorithm for shortest paths, and provide APIs to develop custom routing applications. NeuRoute is a controller-agnostic dynamic routing framework that (i) predicts traffic matrix in real time, (ii) uses a neural network to learn traffic characteristics and (iii) generates forwarding rules accordingly to optimize the network throughput. NeuRoute is composed of two main components: NeuTM and NeuRoute-TRU. NeuTM is a traffic matrix (TM) prediction framework that uses Long Short Term Memory (LSTM) Neural Network architecture to learn long-range traffic dependencies and characteristics then accurately predicts future TMs. NeuRoute-TRU is a path selection engine that computes optimal paths for traffic matrices predicted by NeuTM. NeuRoute-TRU achieves the same results as the most efficient dynamic routing heuristic but in much less execution time
40
Rachedi, Abderrezak. "Contributions à la sécurité dans les réseaux mobiles ad Hoc." Phd thesis, Université d'Avignon, 2008. http://tel.archives-ouvertes.fr/tel-00683602.
Full textAbstract:
La thèse se focalise sur la sécurité dans les réseaux mobiles ad hoc (MANET : Mobile Ad hoc NETwork) [RFC 2501]. L'absence d'une gestion centrale des fonctionnalités du réseau rend ces réseaux beaucoup plus vulnérables aux attaques que les réseaux sans fil (WLAN) et filaires (LAN). Malheureusement, les protocoles de sécurité qui existent actuellement ne sont pas conçus pour un tel environnement (dynamique). Ils ne prennent pas la contrainte des ressources en considération car non seulement l'environnement est dynamique, mais les ressources sont aussi limitées (mémoire, capacité de calcul et surtout énergie), ce qui complique davantage la problématique, car on sait bien que les solutions de sécurité sont gourmandes en terme de ressources. Cependant, en raison de l'importance des domaines d'application des réseaux mobiles ad hoc comme les opérations militaires (communication entre les avions, les voitures et le personnel et opérations de secours, situations d'urgence en cas de sinistre, etc . . .), il faut relever le défi, car concevoir un mécanisme de sécurité infaillible pour les réseaux mobiles ad hoc est nécessaire. L'objectif principal de la thèse consiste à étudier les solutions susceptibles d'assurer la sécurité dans les réseaux mobiles ad hoc, en proposant une architecture hiérarchique distribuée qui permet d'établir une infrastructure dynamique à clé publique. Cette architecture doit supporter les différentes caractéristiques de ces réseaux (absence d'une unité centrale de gestion de réseau, topologie réseau dynamique, etc . . .). Dans ce but, un modèle de confiance adapté à l'environnement dynamique pour assurer l'évolution des niveaux de confiance des nœuds est établi. De plus, les vulnérabilités au niveau des autorités de certification sont prises en compte dans le nouveau concept de DDMZ (zone dynamique démilitarisée) que nous proposons. Dans le but de sécuriser les nœuds dont le rôle est crucial au sein du réseau, leur identité doit être cachée. C'est pourquoi le concept d'anonymat est introduit. Un protocole d'authentification anonyme est proposé. De plus, nous nous inspirons du modèle militaire pour mettre en place un mécanisme de camouflage qui cache le rôle des nœuds sensibles. Pour entretenir le modèle de confiance, un mécanisme de surveillance est indispensable. Il est adapté aux contraintes de l'environnement sans fil dynamique et réduit le taux de fausses alarmes (faux positifs). Il est fondé sur une approche inter-couches et un modèle probabiliste pour améliorer l'observation du nœud surveillant. Pour faire face aux attaques intelligentes de type inter-couches, une étude des vulnérabilités au niveau des couches inférieures comme la couche MAC est menée. Ensuite, des mécanismes de prévention et de détection sont analysés et évalués. La performance de ces mécanismes est évaluée avec la prise en compte des métriques primordiales pour les réseaux mobiles ad hoc, telles que la consommation d'énergie, la mobilité, la densité des nœuds et du trafic, etc . . .
41
Hasrouny, Hamssa. "Gestion de confiance et solutions de sécurité pour les réseaux véhiculaires." Thesis, Evry, Institut national des télécommunications, 2018. http://www.theses.fr/2018TELE0001/document.
Full textAbstract:
Les réseaux véhiculaires sont constitués de véhicules capables de s’échanger des informations par voie radio afin d'améliorer la sécurité routière (diffusion de messages d'alerte en cas d’accident ou de ralentissement anormal, conduite collaborative entre véhicules…) ou de permettre aux passager d’accéder à l’Internet (applications de réseaux collaboratifs, jeux interactifs, gestion des espaces libres dans les parkings…). Malheureusement, les messages liés à la sécurité routière échangés entre les véhicules peuvent être falsifiés ou éliminés par des entités malveillantes afin de causer des accidents et mettre en péril la vie des personnes. Dans cette thèse, nous nous concentrons particulièrement sur la définition, conception et l’évaluation d’une solution de sécurité pour les communications entre véhicules afin d’assurer une communication sécurisée et un bon niveau de confiance entre les différents véhicules participants. En adoptant un modèle basé sur la formation de groupes, nous procédons à l'évaluation de niveau de confiance des véhicules participants à ces réseaux et nous développons un modèle de confiance qui sert à analyser leurs comportements dans leurs groupes respectifs tout en respectant la vie privée des participants et en maintenant une surcharge minimale dans le réseau. Ensuite, nous proposons un modèle hiérarchique et modulaire permettant la détection de comportement malveillant et la gestion de la révocation des certificats des véhicules concernés<br>VANETs (Vehicular Ad-hoc Networks) consist of vehicles capable of exchanging information by radio to improve road safety (alerts in case of accidents or in case of abnormal slowdowns, collaborative driving…) or allow internet access for passengers (collaborative networks, infotainment, etc.). Road safety messages exchanged between vehicles may be falsified or eliminated by malicious entities in order to cause accidents and endanger people life. In this thesis, we focus on defining, designing and evaluating a security solution for V2V communications in VANET, to ensure a secure communication and a good level of confidence between the different participating vehicles. Adopting a group-based model, we consider the Trustworthiness evaluation of vehicles participating in VANET and we develop a Trust Model to analyze the behavior of the vehicles in the group while preserving the privacy of the participants and maintaining low network overhead. We then propose a hierarchical and modular framework for Misbehavior Detection and Revocation Management
42
Boudjelida, Abdelhamid. "Développement de modèles graphiques et logiques non classiques pour le traitement des alertes et la gestion des préférences." Thesis, Artois, 2013. http://www.theses.fr/2013ARTO0404.
Full textAbstract:
Face aux problèmes quotidiens, on se retrouve souvent confrontés à des situations où la prise de décision est nécessaire. Prendre une décision c'est agir en fonction des choix, préférences et connaissances des agents sur le monde. L'intelligence artificielle a donné naissance à de nombreux outils de représentation permettant d'exprimer les préférences et les connaissances des agents. Malheureusement, les approches existantes ne sont pas totalement satisfaisantes. Ainsi le but de la première partie de cette thèse est de proposer une approche permettant l'intégration des connaissances des experts aux modèles graphiques probabilistes utilisées pour des tâches de classification tels que les réseaux Bayésiens. Les performances des modèles développés sont évaluées concrètement sur des problèmes de détection d'intrusions et de corrélation d'alertes dans le domaine de la sécurité informatique. La deuxième partie concerne la gestion des préférences complexes en présence des contraintes fonctionnelles dans des environnements incertains et la proposition d'une nouvelle logique non classique pour la représentation et le raisonnement sur les préférences en présence des contraintes dans de tels environnements. Les travaux menés dans cette deuxième partie sont testés sur un système de réservation électronique utilisé par le CNRS<br>In real life, we often find our self confronted to situations where decision making is necessary. Make a decision is to act according to the choices and preferences of agents as well as their knowledge on the world. Artificial Intelligence gave rise to many tools of representation and expression of agents' preferences and knowledge. Unfortunately, existing approaches are not completely satisfactory. Thus, the goal of the first part of this thesis is to propose an approach allowing the integration of experts' knowledge to the probabilistic graphical models used for classification tasks such as Bayesian networks. The performances of the developed models are concretely evaluated on problems of intrusions detection and alerts correlation in the field of computer security. The second part of this thesis relates to complex preferences handling in presence of functional constraints in uncertain environments and proposes a new non-classical logic for representing and reasoning with preferences in such environments. The works leaded in this second part, are tested on an electronic travel-agency system used by CNRS
43
Yahi-mechouche, Safa. "Raisonnement en présence d'incohérence : de la compilation de bases de croyances stratifiées à l'inférence à partir de bases de croyances partiellement pré-ordonnées." Thesis, Artois, 2009. http://www.theses.fr/2009ARTO0409/document.
Full textAbstract:
Nous nous intéressons dans cette thèse aux approches basées sur la restauration de la cohérence à partir de bases de croyances stratifiées ainsi qu'à partir de bases de croyances partiellement préordonnées (BCPP). Dans le premier cas, nous nous attaquons aux problèmes de complexité en proposant trois nouvelles approches de compilation que nous qualifions de flexibles en étant paramétrées par n'importe quel langage cible de compilation. La première concerne l'inférence possibiliste et s'adapte facilement à l'inférence linéaire. La seconde approche se rapporte à l'inférence lexicographique et se base sur la notion de contraintes de cardinalité Booléennes. Nous introduisons aussi une nouvelle compilation pour l'inférence MSP (pour Minimum de Specificity Principle). En ce qui concerne le raisonnement à partir de BCPPs qui offrent plus de flexibilité dans de nombreuses situations, notre première contribution consiste en l'introduction d'une extension de l'inférence lexicographique classique qui revêt un vif intérêt. La seconde contribution dans ce même cadre, est l'étude comparative des différentes relations d'inférence à partir de BCPPs relativement à la complexité, les propriétés logiques et la prudence. Une dernière contribution est l'application du raisonnement en présence d'incohérence dans le cadre de la détection d'intrusions coopérative. En effet, nous proposons une nouvelle approche de corrélation d'alertes. Cette approche se base sur le raisonnement à partir de BCPPs exprimées en logiques de description qui sont bien adaptées à la représentation des informations structurées tout en garantissant la décidabilité du raisonnement<br>In this thesis, we are interested in coherence based approaches from both stratified belief bases and partially preordered belief bases (PPBB). In the first case, we tackle the complexity problems by proposing three new compilation approaches. The first one is about the possibilistic inference and applies easily to linear inference. The second approach is relative to lexicographic inference and is based on Boolean cardinality constraints. We also introduce a novel compilation approach for MSP entailment (MSP for Minimum Specificity Principle). As to reasoning from PPBBs which offer much more flexibility in many situations, our first contribution consists in extending the lexicographic inference which has interesting properties. The second contribution is a comparative study of the different inference relations from PPBBs with respect to three key dimensions, namely the complexity, the logical properties and the cautiousness. The last contribution is the application of reasoning under inconsistency in the case of intrusion detection. More precisely, we propose a new correlation approach. This latter is based on reasoning from PPBBs expressed in description logics, which are suitable to represent structured informations by ensuring the decidability of reasoning
44
Bayou, Lyes. "Assessment and enforcement of wireless sensor network-based SCADA systems security." Thesis, Ecole nationale supérieure Mines-Télécom Atlantique Bretagne Pays de la Loire, 2018. http://www.theses.fr/2018IMTA0083/document.
Full textAbstract:
La sécurité des systèmes de contrôle industriel est une préoccupation majeure. En effet, ces systèmes gèrent des installations qui jouent un rôle économique important. En outre, attaquer ces systèmes peut non seulement entraîner des pertes économiques, mais aussi menacer des vies humaines. Par conséquent, et comme ces systèmes dépendent des données collectées, il devient évident qu’en plus des exigences de temps réel, il est important de sécuriser les canaux de communication entre ces capteurs et les contrôleurs principaux. Ces problèmes sont plus difficiles à résoudre dans les réseaux de capteurs sans fil (WSN). Cette thèse a pour but d’aborder les questions de sécurité des WSN. Tout d’abord, nous effectuons une étude de sécurité approfondie du protocole WirelessHART. Ce dernier est le protocole leader pour les réseaux de capteurs sans fil industriels (WISN). Nous évaluons ses forces et soulignons ses faiblesses et ses limites. En particulier, nous décrivons deux vulnérabilités de sécurité dangereuses dans son schéma de communication et proposons des améliorations afin d’y remédier. Ensuite, nous présentons wIDS, un système de détection d’intrusion (IDS) multicouches qui se base sur les spécifications, spécialement développé pour les réseaux de capteurs sans fil industriels. L’IDS proposé vérifie la conformité de chaque action effectuée par un noeud sans fil sur la base d’un modèle formel du comportement normal attendu<br>The security in Industrial Control Systems is a major concern. Indeed, these systems manage installations that play an important economical role. Furthermore, targeting these systems can lead not only to economical losses but can also threaten human lives. Therefore, and as these systems depend on sensing data, it becomes obvious that additionally to real-time requirement, it is important to secure communication channels between these sensors and the main controllers. These issues are more challenging inWireless Sensor Networks (WSN) as the use of wireless communications brings its own security weaknesses. This thesis aims to address WSN-based security issues. Firstly, we conduct an in-deep security study of the WirelessHART protocol. This latter is the leading protocol for Wireless Industrial Sensor Networks (WISN) and is the first international approved standard. We assess its strengths and emphasize its weaknesses and limitations. In particular, we describe two harmful security vulnerabilities in the communication scheme of WirelessHART and propose improvement in order to mitigate them. Secondly, we present wIDS, a multilayer specification based Intrusion Detection System (IDS) specially tailored for Wireless Industrial Sensor Networks. The proposed IDS checks the compliance of each action performed by a wireless node based on a formal model of the expected normal behavior
45
Morais, Anderson. "Distributed and cooperative intrusion detection in wireless mesh networks." Phd thesis, Institut National des Télécommunications, 2012. http://tel.archives-ouvertes.fr/tel-00789724.
Full textAbstract:
Wireless Mesh Network (WMN) is an emerging technology that is gaining importance among traditional wireless communication systems. However, WMNs are particularly vulnerable to external and insider attacks due to their inherent attributes such as open communication medium and decentralized architecture. In this research, we propose a complete distributed and cooperative intrusion detection system for efficient and effective detection of WMN attacks in real-time. Our intrusion detection mechanism is based on reliable exchange of network events and active cooperation between the participating nodes. In our distributed approach, Intrusion Detection Systems (IDSs) are independently placed at each mesh node to passively monitor the node routing behavior and concurrently monitor the neighborhood behavior. Based on that, we first implement a Routing Protocol Analyzer (RPA) that accuracy generates Routing Events from the observed traffic, which are then processed by the own node and exchanged between neighboring nodes. Second, we propose a practical Distributed Intrusion Detection Engine (DIDE) component, which periodically calculates accurate Misbehaving Metrics by making use of the generated Routing Events and pre-defined Routing Constraints that are extracted from the protocol behavior. Third, we propose a Cooperative Consensus Mechanism (CCM), which is triggered among the neighboring nodes if any malicious behavior is detected. The CCM module analyzes the Misbehaving Metrics and shares Intrusion Detection Results among the neighbors to track down the source of intrusion. To validate our research, we implemented the distributed intrusion detection solution using a virtualized mesh network platform composed of virtual machines (VMs) interconnected. We also implemented several routing attacks to evaluate the performance of the intrusion detection mechanisms
46
Hauser, Christophe. "A basis for intrusion detection in distributed systems using kernel-level data tainting." Phd thesis, Supélec, 2013. http://tel.archives-ouvertes.fr/tel-01066750.
Full textAbstract:
Modern organisations rely intensively on information and communicationtechnology infrastructures. Such infrastructures offer a range of servicesfrom simple mail transport agents or blogs to complex e-commerce platforms,banking systems or service hosting, and all of these depend on distributedsystems. The security of these systems, with their increasing complexity, isa challenge. Cloud services are replacing traditional infrastructures byproviding lower cost alternatives for storage and computational power, butat the risk of relying on third party companies. This risk becomesparticularly critical when such services are used to host privileged companyinformation and applications, or customers' private information. Even in thecase where companies host their own information and applications, the adventof BYOD (Bring Your Own Device) leads to new security relatedissues.In response, our research investigated the characterization and detection ofmalicious activities at the operating system level and in distributedsystems composed of multiple hosts and services. We have shown thatintrusions in an operating system spawn abnormal information flows, and wedeveloped a model of dynamic information flow tracking, based on taintmarking techniques, in order to detect such abnormal behavior. We trackinformation flows between objects of the operating system (such as files,sockets, shared memory, processes, etc.) and network packetsflowing between hosts. This approach follows the anomaly detection paradigm.We specify the legal behavior of the system with respect to an informationflow policy, by stating how users and programs from groups of hosts areallowed to access or alter each other's information. Illegal informationflows are considered as intrusion symptoms. We have implemented this modelin the Linux kernel (the source code is availableat http://www.blare-ids.org), as a Linux Security Module (LSM), andwe used it as the basis for practical demonstrations. The experimentalresults validated the feasibility of our new intrusion detection principles.
47
Ben, Mustapha Yosra. "Alert correlation towards an efficient response decision support." Thesis, Evry, Institut national des télécommunications, 2015. http://www.theses.fr/2015TELE0007/document.
Full textAbstract:
Les SIEMs (systèmes pour la Sécurité de l’Information et la Gestion des Événements) sont les cœurs des centres opérationnels de la sécurité. Ils corrèlent un nombre important d’événements en provenance de différents capteurs (anti-virus, pare-feux, systèmes de détection d’intrusion, etc), et offrent des vues synthétiques pour la gestion des menaces ainsi que des rapports de sécurité. La gestion et l’analyse de ce grand nombre d’alertes est une tâche difficile pour l’administrateur de sécurité. La corrélation d’alertes a été conçue afin de remédier à ce problème. Des solutions de corrélation ont été développées pour obtenir une vue plus concise des alertes générées et une meilleure description de l’attaque détectée. Elles permettent de réduire considérablement le volume des alertes remontées afin de soutenir l’administrateur dans le traitement de ce grand nombre d’alertes. Malheureusement, ces techniques ne prennent pas en compte les connaissances sur le comportement de l’attaquant, les fonctionnalités de l’application et le périmètre de défense du réseau supervisé (pare-feu, serveurs mandataires, Systèmes de détection d’intrusions, etc). Dans cette thèse, nous proposons deux nouvelles approches de corrélation d’alertes. La première approche que nous appelons corrélation d’alertes basée sur les pots de miel utilise des connaissances sur les attaquants recueillies par le biais des pots de miel. La deuxième approche de corrélation est basée sur une modélisation des points d’application de politique de sécurité<br>Security Information and Event Management (SIEM) systems provide the security analysts with a huge amount of alerts. Managing and analyzing such tremendous number of alerts is a challenging task for the security administrator. Alert correlation has been designed in order to alleviate this problem. Current alert correlation techniques provide the security administrator with a better description of the detected attack and a more concise view of the generated alerts. That way, it usually reduces the volume of alerts in order to support the administrator in tackling the amount of generated alerts. Unfortunately, none of these techniques consider neither the knowledge about the attacker’s behavior nor the enforcement functionalities and the defense perimeter of the protected network (Firewalls, Proxies, Intrusion Detection Systems, etc). It is still challenging to first improve the knowledge about the attacker and second to identify the policy enforcement mechanisms that are capable to process generated alerts. Several authors have proposed different alert correlation methods and techniques. Although these approaches support the administrator in processing the huge number of generated alerts, they remain limited since these solutions do not provide us with more information about the attackers’ behavior and the defender’s capability in reacting to detected attacks. In this dissertation, we propose two novel alert correlation approaches. The first approach, which we call honeypot-based alert correlation, is based on the use of knowledge about attackers collected through honeypots. The second approach, which we call enforcement-based alert correlation, is based on a policy enforcement and defender capabilities’ model
48
Ben, Younes Romdhane. "Étude et mise en œuvre d'une méthode de détection d'intrusions dans les réseaux sans-fil 802.11 basée sur la vérification formelle de modèles." Mémoire, 2007. http://www.archipel.uqam.ca/711/1/M10124.pdf.
Full textAbstract:
Malgré de nombreuses lacunes au niveau sécurité, les équipements sans-fil deviennent omniprésents: au travail, au café, à la maison, etc. Malheureusement, pour des raisons de convivialité, de simplicité ou par simple ignorance, ces équipements sont souvent configurés sans aucun service de sécurité, sinon un service minimal extrêmement vulnérable. Avec de telles configurations de base, plusieurs attaques sont facilement réalisables avec des moyens financiers négligeables et des connaissances techniques élémentaires. Les techniques de détection d'intrusions peuvent aider les administrateurs systèmes à détecter des comportements suspects et à prévenir les tentatives d'intrusions. Nous avons modifié et étendu un outil existant (Orchids), basé sur la vérification de modèles, pour détecter des intrusions dans les réseaux sans-fil. Les attaques sont décrites de façon déclarative, à l'aide de signatures en logique temporelle. Nous avons tout d'abord développé et intégré, dans Orchids, notre propre module spécialisé dans l'analyse des événements survenant sur un réseau sans-fil 802.11. Par la suite, nous avons décrit, à l'aide de signatures, un certain nombre d'attaques, notamment, ChopChop - à notre connaissance, nous somme les premiers à détecter cette attaque -, ARP Replay, et la deauthentication flooding. Ces attaques ont ensuite été mises en oeuvre, puis détectées avec succès dans un environnement réel (trois machines: client, pirate et détecteur d'intrusion, plus un point d'accès). ______________________________________________________________________________ MOTS-CLÉS DE L’AUTEUR : Sécurité, Détection d'intrusions, Réseaux sans-fil, Vérification de modèles.
49
Lahrouni, Youssef. "Détection d'intrusions dans les réseaux véhiculaires sans fil." Thèse, 2017. http://depot-e.uqtr.ca/8197/1/031872964.pdf.
Full text
50
Yuan, Wei. "An intrusion detection system on network security for web application." Mémoire, 2006. http://www.archipel.uqam.ca/4835/1/M9921.pdf.
Full textAbstract:
For the last 15 years, significant amount of resources are invested to enhance the security at system and network level, such as firewalls, IDS, anti-virus, etc. IT infrastructure tends to be more and more secure than ever before. As an ever-increasing number of businesses move to take advantage of the Internet, web applications are becoming more prevalent and increasingly more sophisticated, and as such they are critical to almost all major online businesses. The very nature of web applications, their abilities to collect, process and disseminate information over the Internet, exposes thern to rnalicious hackers. However, the traditional security solutions such as firewall, network and host IDS, do not provide comprehensive protection against the attacks common in the web applications. The thesis concentrates on the research of an advanced intrusion detection framework. An intrusion detection framework was designed which works along with any custom web application to collect and analyze HTTP traffic with various advanced algorithms. Two intrusion detection algorithms are tested and adopted in the framework. Pattern Matching is the most popular intrusion detection technology adopted by most of the commercial intrusion detection system. Behavior Modeling is a new technology that can dynamically adapt the detection algorithms in accordance with the application behavior. The combination of the two intrusion technologies has dramatically reduced false positive and false negative alarms. Moreover, a Servlet filter-based Web Agent is used to capture HTTP request. An isolated Response Module is developed to execute pre-defined action according to the analysis result. A database is involved to provide persistence support for the framework. Also, several simulation experiments are developed for evaluating the efficiency of detecting capability.
______________________________________________________________________________