To see the other types of publications on this topic, follow the link: Détection d'intrusion.
Dissertations / Theses on the topic 'Détection d'intrusion'
Create a spot-on reference in APA, MLA, Chicago, Harvard, and other styles
Consult the top 50 dissertations / theses for your research on the topic 'Détection d'intrusion.'
Next to every source in the list of references, there is an 'Add to bibliography' button. Press on it, and we will generate automatically the bibliographic reference to the chosen work in the citation style you need: APA, MLA, Harvard, Chicago, Vancouver, etc.
You can also download the full text of the academic publication as pdf and read online its abstract whenever available in the metadata.
Browse dissertations / theses on a wide variety of disciplines and organise your bibliography correctly.
1
Totel, Eric. "Techniques de détection d'erreur appliquées à la détection d'intrusion." Habilitation à diriger des recherches, Université Rennes 1, 2012. http://tel.archives-ouvertes.fr/tel-00763746.
Full textAbstract:
Ce document constitue un dossier de demande d'inscription a l'Habilitation a Diriger des Recherches. Il résume 10 années d'activités professionnelles passées en tant qu'enseignant-chercheur sur le campus de Rennes de Supelec. Ce document est constitue de deux parties. La première partie propose une présentation du candidat qui prend la forme d'un curriculum vitæ, d'une présentation des activités d'enseignement et d'une présentation des activités de recherche. L'ensemble se termine par une liste de publications. La seconde partie est une synthèse d'une partie des activités de recherche menées ces dix dernières années. Un état de l'art pose les concepts sur lesquels reposent ces travaux. Ensuite quatre activités de recherche sont présentées, chacune d'elle mettant en évidence la pertinence de certaines techniques de détection d'erreur dans le domaine de la détection d'intrusion.
2
Gad, El Rab Mohammed. "Evaluation des systèmes de détection d'intrusion." Phd thesis, Université Paul Sabatier - Toulouse III, 2008. http://tel.archives-ouvertes.fr/tel-00366690.
Full textAbstract:
Cette thèse vise à contribuer à l'amélioration des méthodes d'évaluation des systèmes de détection d'intrusion (en anglais, Intrusion Detection Systems ou IDS). Ce travail est motivé par deux problèmes actuels : tout d'abord, l'augmentation du nombre et de la complexité des attaques que l'on observe aujourd'hui nécessite de faire évoluer les IDS pour leur permettre de les détecter. Deuxièmement, les IDS actuels génèrent de trop fréquentes fausses alertes, ce qui les rend inefficaces voir inutiles. Des moyens de test et d'évaluation sont nécessaires pour déterminer la qualité de détection des IDS et de leurs algorithmes de détection. Malheureusement, il n'existe pas actuellement de méthode d'évaluation satisfaisante. En effet, les méthodes employées jusqu'ici présentent trois défauts majeurs : 1) une absence de méthodologie rigoureuse, 2) l'utilisation de données de test non représentatives, et 3) l'utilisation de métriques incorrectes. Partant de ce constat, nous proposons une démarche rigoureuse couvrant l'ensemble de l'évaluation des IDS. Premièrement, nous proposons une méthodologie d'évaluation qui permet d'organiser l'ensemble du processus d'évaluation. Deuxièmement, afin d'obtenir des données de test représentatives, nous avons défini une classification des types d'attaques en fonction des moyens de détection utilisés par les IDS. Cela permet non seulement de choisir les attaques à inclure dans les données de test mais aussi d'analyser les résultats de l'évaluation selon les types d'attaques plutôt que sur chaque attaque individuellement. Troisièmement, nous avons analysé un grand nombre d'attaques réelles et de " maliciels " connus, tels que les virus et les vers. Grâce à cette analyse, nous avons pu construire un modèle générique de processus d'attaques qui met en évidence la dynamique des activités d'attaque. Ce modèle permet de générer un nombre important de scénarios d'attaques à la fois réalistes et variés. Les méthodes proposées ont été expérimentées su r deux systèmes de détection d'intrusion très différents, pour montrer la généralité de notre démarche. Les résultats montrent que l'approche proposée permet de surmonter les deux défauts principaux des évaluations existantes, à savoir l'absence de méthodologie et l'utilisation de données non représentatives. Elle permet en particulier de mieux gérer le processus d'évaluation et de choisir les cas de test pertinents pour les types d'IDS et les objectifs de l'évaluation, tout en couvrant une large partie de l'espace d'attaques.
3
Gadelrab, Mohammed El-Sayed Gadelrab. "Évaluation des systèmes de détection d'intrusion." Toulouse 3, 2008. http://thesesups.ups-tlse.fr/435/.
Full textAbstract:
Cette thèse vise à contribuer à l'amélioration des méthodes d'évaluation des systèmes de détection d'intrusions (en anglais, Intrusion Detection Systems ou IDS). Ce travail est motivé par deux problèmes actuels : tout d'abord, l'augmentation du nombre et de la complexité des attaques que l'on observe aujourd'hui nécessite de faire évoluer les IDS pour leur permettre de les détecter. Deuxièmement, les IDS actuels génèrent de trop fréquentes fausses alertes, ce qui les rend inefficaces, voir inutiles. Des moyens de test et d'évaluation sont donc nécessaires pour déterminer la qualité de détection des IDS et de leurs algorithmes de détection. Malheureusement, aucune méthode d'évaluation satisfaisante n'existe de nos jours. En effet, les méthodes employées jusqu'ici présentent trois défauts majeurs : 1) une absence de méthodologie rigoureuse d'évaluation, 2) l'utilisation de données de test non représentatives, et 3) l'utilisation de métriques incorrectes. Partant de ce constat, nous proposons une démarche rigoureuse couvrant l'ensemble des étapes de l'évaluation des IDS. Premièrement, nous proposons une méthodologie d'évaluation qui permet d'organiser l'ensemble du processus d'évaluation. Deuxièmement, afin d'obtenir des données de test représentatives, nous avons défini une classification des types d'attaques en fonction des moyens de détection utilisés par les IDS. Cela permet non seulement de choisir les attaques à inclure dans les données de test, mais aussi d'analyser les résultats de l'évaluation selon les types d'attaques plutôt que pour chaque attaque individuellement. Troisièmement, nous avons analysé un grand nombre d'attaques réelles et de programmes malveillants (communément appelés maliciels) connus, tels que les virus et les vers. Grâce à cette analyse, nous avons pu construire un modèle générique de processus d'attaques qui met en évidence la dynamique des activités d'attaque. Ce modèle permet de générer un nombre important de scénarios d'attaques, qui soient le plus possible représentatifs et variés. Pour montrer la faisabilité de notre approche, nous avons appliqué expérimentalement les étapes de notre démarche à deux systèmes différents de détection d'intrusions. .This thesis contributes to the improvement of intrusion detection system (IDS) evaluation. The work is motivated by two problems. First, the observed increase in the number and the complexity of attacks requires that IDSes evolve to stay capable of detecting new attack variations efficiently. Second, the large number of false alarms that are generated by current IDSes renders them ineffective or even useless. Test and evaluation mechanisms are necessary to determine the quality of detection of IDSes or of their detection algorithms. Unfortunately, there is currently no IDS evaluation method that would be unbiased and scientifically rigorous. During our study, we have noticed that current IDS evaluations suffer from three major weaknesses: 1) the lack of a rigorous methodology; 2) the use of non-representative test datasets; and 3) the use of incorrect metrics. From this perspective, we have introduced a rigorous approach covering most aspects of IDS evaluation. In the first place, we propose an evaluation methodology that allows carrying out the evaluation process in a systematic way. Secondly, in order to create representative test datasets, we have characterized attacks by classifying attack activities with respect to IDS-relevant manifestations or features. This allows not only to select attacks that will be included in the evaluation dataset but also to analyze the evaluation result with respect to attack classes rather than individual attack instances. Third, we have analyzed a large number of attack incidents and malware samples, such as viruses and worms. Thanks to this analysis, we built a model for the attack process that exhibits the dynamics of attack activities. This model allows us to generate a large number of realistic and diverse attack scenarios. The proposed methods have been experimented on two very different IDSes to show how general is our approach. The results show that the proposed approach allows overcoming the two main weaknesses of existing evaluations, i. E. , the lack of a rigorous methodology and the use of non-representative datasets. .
4
Helluy-Lafont, Étienne. "Sécurité et détection d'intrusion dans les réseaux sans fil." Thesis, Lille, 2021. http://www.theses.fr/2021LILUI017.
Full textAbstract:
Cette thèse porte sur la sécurité des communications sans fil, appliquée aux équipementstels que les téléphones mobiles, les ordinateurs portables, ou les objets communicants relevant de l’internet des objets.Aujourd’hui, les communications sans fil sont réalisées à l’aide de composants intégrés (modem), qui peuvent eux-même être la cible d’attaques. Effectivement, ces modem peuvent contenir des logiciels, au code fermé, qui sont peu audités et peuvent recéler des vulnérabilités. Au cours de cette thèse, nous avons poursuivi deux approches complémentaires qui visent à adresser le problème de la sécurité des modem sans fil. La première consiste à détecter les attaques pour mitiger les risques posés par les vulnérabilité ; la seconde àsavoir identifier et à corriger ces vulnérabilités afin d’éliminer les risques. Les modem sans fil posent des contraintes particulières pour les systèmes de détection d’intrusion (IDS). De fait, si le modem risque d’être compromis, le système d’exploitation (OS) ne peut pas faire confiance aux informations qu’il remonte : le modem n’est pas fiable. Il est ainsi délicat de détecter des attaques sans fil depuis l’OS, car il ne dispose d’aucune source d’information fiable sur laquelle baser cette détection. Dans ce contexte, il est préférable de réaliser la détection d’intrusion au niveau du réseau, en capturant directement les signaux échangés sans fil. Cependant, il n’est pastoujours simple de récupérer les signaux qui nous intéressent. Aujourd’hui, les équipements supportent une multitude de normes de communication différentes. Cette hétérogénéité représente un défi pour les solutions de capture. De plus, certains protocoles se prêtent malà une capture passive de leurs échanges, et sont parfois même spécifiquement conçus pour l’empêcher. Enfin, les données sont généralement chiffrées, ce qui constitue un obstacle supplémentaire pour les IDS. Les radio logicielles peuvent répondre en partie aux défis posés par cette diversité. Elles se composent d’une partie matérielle, mais surtout de logiciel, qui peut être adapté pourrecevoir des signaux de n’importe quel standard - dans les limites du matériel. Dans cette thèse, nous présentons une radio-logicielle spécialement concue pour permettre la capture et l’analyse d’une bande de fréquence donnée, afin d’identifier et d’étiqueter les signaux présents. Il s’agit d’une brique élémentaire pour construire des systèmes de détection d’intrusion sans-fil. Par ailleurs, les radio-logicielles traitent les signaux au niveau de leur représentation physique. Cela leur permet de collecter des informations supplémentaires, qui n’auraient pas été accessibles si on avait utilisé un modem conventionnel pour capturer les signaux. Dans cette thèse, nous décrivons des méthodes permettant d’identifier le modèle d’un appareil Bluetooth en analysant la représentation physique des paquets qu’il transmet.Dans la seconde partie de cette thèse, nous avons analysé les micrologiciels de plusieurs modem Bluetooth, afin d’identifier des vulnérabilités permettant d’en prendre le contrôle à distance. Cela nous a permis de découvrir plusieurs vulnérabilités exploitables dans desmodem très largement utilisés. Dans un second temps, nous avons développé un modem Bluetooth libre et open-source qui permet d’interagir avec de véritables modem pour faciliter la recherche et développement sur leur sécuritéThis thesis focuses on the security of wireless communications, as used on devices such as mobile phones, laptops, or connected devices that make up the Internet of Things. Nowadays, wireless communications are carried out using integrated components (modem), which can themselves be the target of attacks. Indeed, these modems contain Closed Source software, that are poorly audited, and may have flaws. During this thesis, we pursued two complementary approaches that aim to address the problem of wireless modems security. The first is to detect attacks in order to mitigate the risks posed by vulnerabilities ; the second is to identify and correct these vulnerabilities in order to eliminate the risks. Wireless modems pose particular constraints for Intrusion Detection Systems (IDS). In fact, if the modem is at risk of being compromised, the operating system (OS) cannot trust the information it is sending back : the modem is unreliable. This makes it difficult to detect wireless attacks from the OS, as it has no reliable source of information on whichto base detection. In this context, it is preferable to perform intrusion detection at the network level, by directly capturing the signals exchanged wirelessly. However, it is not always easy to recover the signals of interest. Today’s equipment supports a multitude of different communication standards. This heterogeneity represents a challenge for capture solutions. In addition, some protocols do not lend themselves well to passive capture of their exchanges, and are sometimes even specifically designed to prevent it. Finally, data is usually encrypted, which is an additional obstacle for intrusion detection systems. Software Defined Radio (SDR) can partly meet the challenges posed by this diversity. They consist of a hardware part, but above all of software, which can be adapted to receive signals of any standard - within the limits of the material. In this thesis, we present a SDR specifically designed to allow the capture and analysis of a given frequency band, in order to identify and label the signals present. It is an elementary building block for building wireless intrusion detection systems. In addition, software radio processes signals in terms of their physical representation. This allows them to collect additional information, which would not have been accessible if a conventional modem had been used to capture the signals. In this thesis, we describe methods to identify the model of a Bluetooth device by analysing the physical representation of the packets it transmits. In the second part of this thesis, we analysed the firmware of several Bluetooth modems, in order to identify vulnerabilities that would allow remote control. This allowed us to discover several exploitable vulnerabilities in widely used modems. Finally, we developeda free and open-source Bluetooth modem that allows interaction with real-world modems to facilitate research and development on their security
5
Nassar, Mohamed. "Monitorage et Détection d'Intrusion dans les Réseaux Voix sur IP." Phd thesis, Université Henri Poincaré - Nancy I, 2009. http://tel.archives-ouvertes.fr/tel-00376831.
Full textAbstract:
La Voix sur IP (VoIP) est devenue un paradigme majeur pour fournir des services de télécommunications flexibles tout en réduisant les coûts opérationnels. Le déploiement à large échelle de la VoIP est soutenu par l'accès haut débit à l'Internet et par la standardisation des protocoles dédiés. Cependant, la VoIP doit également faire face à plusieurs risques comprenant des vulnérabilités héritées de la couche IP auxquelles s'ajoutent des vulnérabilités spécifiques. Notre objectif est de concevoir, implanter et valider de nouveaux modèles et architectures pour assurer une défense préventive, permettre le monitorage et la détection d'intrusion dans les réseaux VoIP.Notre travail combine deux domaines: celui de la sécurité des réseaux et celui de l'intelligence artificielle. Nous renforcons les mécanismes de sécurité existants en apportant des contributions sur trois axes : Une approche basée sur des mécanismes d'apprentissage pour le monitorage de trafic de signalisation VoIP, un pot de miel spécifique, et un modèle de corrélation des évenements pour la détection d'intrusion. Pour l'évaluation de nos solutions, nous avons développés des agents VoIP distribués et gérés par une entité centrale. Nous avons développé un outil d'analyse des traces réseaux de la signalisation que nous avons utilisé pour expérimenter avec des traces de monde réel. Enfin, nous avons implanté un prototype de détection d'intrusion basé sur des règles de corrélation des événements.
6
Niang, Papa Maleye. "Langage déclaratif pour la détection d'intrusions." Thesis, Université Laval, 2014. http://www.theses.ulaval.ca/2014/30523/30523.pdf.
Full textAbstract:
Ce mémoire présente un langage déclaratif de description de scénarios et de modèles d’attaques, ainsi qu’un moteur de détection qui lui est associé. Le langage s’inspire fortement de l’état de l’art dans le domaine des IDS (système de détection d’intrusions) et il s’approprie les qualités de plusieurs de ses références telles que LTL, Snort, Lambda, ou Chronicle. Il représente aussi une évolution majeure de la première version introduite dans un précédent travail, dans le sens où nous avons introduit de nouveaux opérateurs, nous avons associé une sémantique formelle au langage, ainsi qu’un système de règles de réécriture permettant le calcul d’une forme normale ; nous offrons aussi la possibilité de définir des modèles d’attaques. Les modèles étant différents des scénarios, le comportement du moteur de détection a été enrichi, augmentant l’expressivité du langage par rapport à sa version initiale.
7
Korczynski, Maciej. "Classification de flux applicatifs et détection d'intrusion dans le trafic Internet." Phd thesis, Université de Grenoble, 2012. http://tel.archives-ouvertes.fr/tel-00858571.
Full textAbstract:
Le sujet de la classification de trafic r'eseau est d'une grande importance pourla planification de r'eseau efficace, la gestion de trafic 'a base de r'egles, la gestionde priorit'e d'applications et le contrˆole de s'ecurit'e. Bien qu'il ait re¸cu une atten-tion consid'erable dans le milieu de la recherche, ce th'eme laisse encore de nom-breuses questions en suspens comme, par exemple, les m'ethodes de classificationdes flux de trafics chiffr'es. Cette th'ese est compos'ee de quatre parties. La premi'erepr'esente quelques aspects th'eoriques li'es 'a la classification de trafic et 'a la d'etec-tion d'intrusion. Les trois parties suivantes traitent des probl'emes sp'ecifiques declassification et proposent des solutions pr'ecises.Dans la deuxi'eme partie, nous proposons une m'ethode d''echantillonnage pr'ecisepour d'etecter les attaques de type "SYN flooding"et "portscan". Le syst'eme examineles segments TCP pour trouver au moins un des multiples segments ACK provenantdu serveur. La m'ethode est simple et 'evolutive, car elle permet d'obtenir unebonne d'etection avec un taux de faux positif proche de z'ero, mˆeme pour des tauxd''echantillonnage tr'es faibles. Nos simulations bas'ees sur des traces montrent quel'efficacit'e du syst'eme propos'e repose uniquement sur le taux d''echantillonnage,ind'ependamment de la m'ethode d''echantillonnage.Dans la troisi'eme partie, nous consid'erons le probl'eme de la d'etection et de laclassification du trafic de Skype et de ses flux de services tels que les appels vocaux,SkypeOut, les vid'eo-conf'erences, les messages instantan'es ou le t'el'echargement defichiers. Nous proposons une m'ethode de classification pour le trafic Skype chiffr'ebas'e sur le protocole d'identification statistique (SPID) qui analyse les valeurs statis-tiques de certains attributs du trafic r'eseau. Nous avons 'evalu'e notre m'ethode surun ensemble de donn'ees montrant d'excellentes performances en termes de pr'eci-sion et de rappel. La derni'ere partie d'efinit un cadre fond'e sur deux m'ethodescompl'ementaires pour la classification des flux applicatifs chiffr'es avec TLS/SSL.La premi'ere mod'elise des 'etats de session TLS/SSL par une chaˆıne de Markov ho-mog'ene d'ordre 1. Les param'etres du mod'ele de Markov pour chaque applicationconsid'er'ee diff'erent beaucoup, ce qui est le fondement de la discrimination entreles applications. La seconde m'ethode de classification estime l''ecart d'horodatagedu message Server Hello du protocole TLS/SSL et l'instant d'arriv'ee du paquet.Elle am'eliore la pr'ecision de classification des applications et permet l'identificationviiefficace des flux Skype. Nous combinons les m'ethodes en utilisant une ClassificationNaive Bay'esienne (NBC). Nous validons la proposition avec des exp'erimentationssur trois s'eries de donn'ees r'ecentes. Nous appliquons nos m'ethodes 'a la classificationde sept applications populaires utilisant TLS/SSL pour la s'ecurit'e. Les r'esultatsmontrent une tr'es bonne performance.
8
Studnia, Ivan. "Détection d'intrusion pour des réseaux embarqués automobiles : une approche orientée langage." Thesis, Toulouse, INSA, 2015. http://www.theses.fr/2015ISAT0048/document.
Full textAbstract:
Les calculateurs embarqués dans les automobiles, ou ECU (Electronic Control Unit) sont responsables d’un nombre croissant de fonctionnalités au sein du véhicule. Pour pouvoir coordonner leurs actions, ces calculateurs s’échangent des données via des bus de communication et forment ainsi un véritable réseau embarqué. Si historiquement ce réseau pouvait être considéré comme un système fermé, l’apparition de nombreux moyens de communication dans les automobiles a ouvert ce réseau au monde extérieur et fait émerger de nombreuses problématiques de sécurité dans ce domaine.Nos travaux s’inscrivent dans une démarche de mise en place de moyens de sécurité-immunité dans les réseaux automobiles. La thématique de la sécurité-immunité dans l’automobile étant un sujet relativement récent, un effort particulier a été apporté à la définition du contexte. Ainsi, dans ce manuscrit, nous décrivons les menaces qui peuvent cibler ces systèmes embarqués, proposons une classification des scénarios d’attaques puis présentons les différents mécanismes de sécurité pouvant être appliqués aux systèmes embarqués d’une automobile.Ensuite, afin de compléter les mesures de sécurité préventives mises en place pour empêcher un attaquant de pénétrer au coeur du réseau embarqué, nous proposons dans cette thèse un système de détection d’intrusion pour les réseaux automobiles embarqués. Celui-ci, conçu à partir des spécifications du ou des systèmes à surveiller, intègre notamment des mécanismes permettant d’effectuer une corrélation des messages observés sur le réseau afin d’identifier des séquences de messages suspectes. Après avoir décrit formellement le fonctionnement de notre système de détection, nous présentons de premières expérimentations visant à valider notre méthode et à évaluer ses performancesIn today’s automobiles, embedded computers, or ECUs (Electronic Control Units) are responsible for an increasing number of features in a vehicle. In order to coordinate their actions, these computers are able to exchange data over communication buses, effectively constituting an embedded network. While this network could previously be considered a closed system, the addition of means of communication in automobiles has opened this network to the outside world, thus raising many security issues.Our research work focuses on these issues and aims at proposing efficient architectural security mechanisms for protecting embedded automotive networks. The security of embedded automotive systems being a relatively recent topic, we first put a strong focus on defining the context. For that purpose, we describe the threats that can target a car’s embedded systems, provide a classification of the possible attack scenarios and present a survey of protection mechanisms in embedded automotive networks.Then, in order to complement the preventive security means that aim at stopping an attacker from entering the embedded network, we introduce an Intrusion Detection System (IDS) fit for vehicular networks. Leveraging the high predictability of embedded automotive systems, we use language theory to elaborate a set of attack signatures derived from behavioral models of the automotive calculators in order to detect a malicious sequence of messages transiting through the internal network. After a formal description of our IDS, we present a first batch of experiments aimed at validating our approach and assessing its performances
9
Genetay, Edouard. "Quelques problématiques autour du clustering : robustesse, grande dimension et détection d'intrusion." Thesis, Rennes, École Nationale de la Statistique et de l'Analyse de l'Information, 2022. http://www.theses.fr/2022NSAIM001.
Full textAbstract:
Le clustering vise à regrouper les données observées en différents sous-ensembles partageant des propriétés similaires. Le plus souvent ce regroupement se fait via l’optimisation d’un critère choisi à l’avance. Dans cette thèse CIFRE, nous avons étudié le clustering sous trois aspects différents.Dans une première partie, nous proposons une méthode d’estimation robuste de K centroïdes basé sur le critère, dit des « K-means ». Nous proposons également une méthode d’initialisation robuste de la procédure. D’une part, la robustesse des procédures proposées a été testée par de nombreuses simulations numériques. D’autre part, nous avons montré un théorème donnant la vitesse de convergence d’un estimateur idéalisé en présence d’outliers ainsi qu’un théorème donnant le breakdown point de la méthode. Dans une seconde partie nous nous plaçons dans le cadre d’un mélange équilibré de deux gaussiennes isotropes, centré en l’origine, afin de fournir la première analyse théorique d’un estimateur de clustering basé sur un critère d’entropie conditionnelle. Nous montrons que le critère est localement convexe, offrant d’une part des vitesses d’apprentissage rapide et d’autre part une inégalité oracle en grande dimension, lorsque le vecteur moyen de séparation est sparse.Dans une troisième partie, plus pratique et consacrée à des graphes en cybersécurité, nous regardons si l’évolution du nombre de clusters obtenus par une méthode d’optimisation de modularité peut révéler des anomalies causées par une intrusion dans un système informatiqueClustering aims at grouping observed data into different subsets sharing similar properties. Most often this clustering is done through the optimization of a criterion chosen in advance. In this CIFRE thesis, we have studied clustering under three different aspects.In a first part, we propose a robust estimation method of K centroids based on the so-called "K-means" criterion. We also propose a robust initialization method for the procedure. On the one hand, the robustness of the proposed procedures has been tested by numerous numerical simulations. On the other hand, we have shown a theorem giving the rate of convergence of an idealized estimator in the presence of outliers and a theorem giving the breakdown point of the method.In a second part, we place ourselves in the framework of a balanced mixture of two isotropic Gaussians, centered at the origin, in order to provide the first theoretical analysis of a clustering estimator based on a conditional entropy criterion. We show that the criterion is locally convex, offering on the one hand fast learning rates and on the other hand an oracle inequality in high dimension when the mean separation vector is sparse.In a third part, more practical and devoted to graphs in cybersecurity, we investigate whether the evolution of the number of clusters obtained by a modularity optimization method can reveal anomalies caused by an intrusion in a computer system
10
Asselin, Eric. "Système de détection d'intrusion adapté au système de communication aéronautique ACARS." Thesis, Toulouse, INPT, 2017. http://www.theses.fr/2017INPT0058.
Full textAbstract:
L’aviation civile moderne dépend de plus en plus sur l’interconnexion de tous les acteurs qu’il soit avionneur, équipementier, contrôleur aérien, pilote, membre d’équipage ou compagnie aérienne. Ces dernières années, de nombreux travaux ont été réalisés dans le but de proposer des méthodes pour simplifier la tache des pilotes, de mieux contrôler et optimiser l’espace aérien, de faciliter la gestion des vols par les compagnies aériennes et d’optimiser les taches de maintenance entre les vols. De plus, les compagnies aériennes cherchent non seulement a offrir a ses passagers, de plus en plus exigeants, des services de divertissements, de messagerie et de navigation sur le Web mais également des services de connexion a Internet pour leurs propres appareils. Cette omniprésence de connectivité dans le domaine aéronautique a ouvert la voie a un nouvel ensemble de cyber-menaces. L’industrie doit donc être en mesure de déployer des mécanismes de sécurité qui permettent d’offrir les mêmes garanties que la sûreté de fonctionnement tout en permettant de répondre aux nombreux besoins fonctionnels de tous les acteurs. Malgré tout, il existe peu de solutions permettant l’analyse et la détection d’intrusion sur les systèmes avioniques embarqués. La complexité des mises a jour sur de tel système rend difficile l’utilisation de mécanismes strictement a base de signatures alors il est souhaitable que des mécanismes plus "intelligents", a l’abri de l’évolution des menaces, puissent être développés et mis en place. Cette thèse s’inscrit dans une démarche de mise en place de mécanismes de sécurité pour les communications entre le sol et l’avion, et plus particulièrement un système de détection d’intrusion pour le système de communication aéronautique ACARS visant a protéger les fonctions Air Traffic Control (ATC) et Aeronautical Operational Control (AOC) embarquées dans l’avion. Fonde sur la détection d’anomalie, un premier modèle propose permet de discriminer les messages ACARS anormaux a l’aide d’une technique empruntée a la classification de texte, les n-grammes. Un second modèle propose, également fonde sur la détection d’anomalie, permet de modéliser, a l’aide des chaines de Markov, l’ensemble des messages échanges entre le bord et le sol durant un vol complet permettant de détecter des messages ne faisant pas partie d’une communication normale. Une dernière contribution consiste en une alternative a la courbe ROC pour évaluer les performances d’un système de détection d’intrusion lorsque le jeu de données disponible contient seulement des instances normalesModern civil aviation is increasingly dependent on the interconnection of all players, be it aircraft manufacturers, air traffic controllers, pilots, crew members or airlines. In recent years, much work has been done to propose methods to simplify the task of pilots, to better control and optimize airspace, to facilitate the management of flights by airlines and to optimize the maintenance tasks between flights. In addition, airlines are seeking not only to provide more demanding passengers with entertainment, messaging and web browsing services, but also Internet connection services for their own devices. This omnipresence of connectivity in the aeronautical field has paved the way for a new set of cyber threats. The industry must therefore be able to deploy security mechanisms inline with safety requirements while allowing the many functional needs of all actors. Despite this, there are few solutions for intrusion detection and analysis on avionics systems. The complexity of updates on such a system makes it difficult to use strictly signature-based mechanisms, so it is desirable that more "smart" mechanisms, threats evolution proof, be developed and deployed. This thesis is part of an approach to put in place security mechanisms for communications between the ground and the airplane, and more particularly an intrusion detection system for the aeronautical communication system ACARS to protect the Air Traffic Control (ATC) and Aeronautical Operational Control (AOC) functions. Based on anomaly detection technique, a first proposed model makes it possible to discriminate the abnormal ACARS messages using a technique borrowed from the text classification, n-grams. A second proposed model, also based on anomaly detection technique, allows to model a sequence of messages, using Markov chains, exchanged between the ground and the airplane during a flight, allowing to detect messages not taking part of a normal communication. The last contribution consists of an alternative to the ROC curve to evaluate the performance of an intrusion detection system when the available data set contains only normal instances
11
Gherbi, Elies. "Apprentissage automatique pour la détection d'intrusion dans les systèmes du transport intelligent." Electronic Thesis or Diss., université Paris-Saclay, 2021. http://www.theses.fr/2021UPASG037.
Full textAbstract:
De nombreuse avancée et innovations technologiques sont introduites dans le monde de l'automobile. Plusieurs domaines scientifiques et applicatifs contribuent à l'amélioration de ces avancées. L'une des dimensions importantes est la cybersécurité. Effectivement, les véhicules autonomes seront sujets aux cyberattaques et les cybers criminels pourraient pirater les systèmes d'exploitation des véhicules et perturber leur fonctionnement et mettre en danger la sûreté des passagers. Ainsi, la cybersécurité reste un obstacle à surmonter pour sécuriser les véhicules et permettre aux innovations technologiques dans le domaine des transports d'apporter des solutions aux problèmes de la société et éviter leur détournement à des fins malicieuses. En effet, la conception actuelle et future des véhicules autonomes implique de nombreuses interfaces de communication, la communication dans le véhicule entre les différents systèmes embarqués, les communications Vehicle-to-X (V2X) entre le véhicule et d'autres véhicules et structures connectés sur les routes. Plusieurs mécanismes de défense sont implémentés pour répondre aux normes de sécurité (antivirus, pare-feu, etc.), mais nous ne pouvons pas être sûrs que toutes les failles possibles sont couvertes, spécialement dans des systèmes complexes comme les voitures autonomes. Le système de détection d'intrusion a été introduit dans le monde IT pour évaluer l'état du réseau et détecter tous les comportements malveillants. Le monde l'IT a connu beaucoup plus d'expérience en termes de mécanisme de défense qui peut inspirer la cybersécurité des transports intelligent (voiture autonome), néanmoins, ces dernières requirent leurs propres besoins et contraintes liées à la sûreté et aussi à leur architecture system. L'état actuel de l'évolution des véhicules a été rendu possible grâce à des innovations successives dans de nombreux domaines industriels et de recherche. L'intelligence artificielle en fait partie, ses différentes techniques permettent d'apprendre et de mettre en oeuvre des tâches complexe tel que la conduite autonome. Cette thèse vise à développer un system intelligent de détection d'intrusion en utilisant l'apprentissage automatique dans un contexte automobile. L'objectif est d'évaluer l'impact de l'apprentissage automatique sur l'amélioration de la sécurité des véhicules futurs (autonomes). Notre objectif principal est la sécurité des communications entres les différents systèmes dans la voiture. Dans ce but, nous menons une enquête empirique pour déterminer les besoins sous-jacents et les contraintes qu'exigent les systèmes embarqués. Nous passons en revue la littérature d'apprentissage profond pour la détection d'anomalie, on note qu'il y a un manque d'étude personnalisée sur le système de détection d'intrusion de véhicule autonome utilisant l'apprentissage profond. Dans de telles applications, les données sont déséquilibrées : le taux d'exemples normal est beaucoup plus élevé que les exemples anormaux. L'émergence du réseau antagoniste (GAN) a récemment apporté de nouveaux algorithmes pour la détection des anomalies. Nous développons une approche antagoniste (adversarial) pour la détection des anomalies, basée sur un Encoding Adversarial Network (EAN). L'architecture future des réseaux embarqués dans les véhicules est composée de différents sous-systèmes. Chaque sous-système est responsable de services spécifiques qui assurent le fonctionnement autonome du véhicule. Pour des raisons fonctionnelles et de sécurité, les sous-systèmes sont isolés, formant une architecture de communication hiérarchiquesde l'ensemble du système. Dans cette thèse, nous concevons un IDS distribué qui s'adapte à l'architecture embarquée et à ses contraintes et réduit le taux de surcharge de communicationinduit par le traitement de l'IDSDespite all the different technological innovations and advances in the automotive field, autonomous vehicles are still in the testing phase. Many actors are working on several improvements in many domains to make autonomous cars the safest option. One of the important dimensions is cybersecurity. Autonomous vehicles will be prone to cyberattacks, and criminals might be motivated to hack into the vehicles' operating systems, steal essential passenger data, or disrupt its operation and jeopardize the passenger's safety. Thus, cybersecurity remains one of the biggest obstacles to overcome to ensure vehicles safety and the contribution that this technology can bring to society. Indeed, the actual and future design and implementation of Autonomous Vehicles imply many communication interfaces, In-vehicle communication of the embedded system, Vehicle-to-X (V2X) communications between the vehicle and other connected vehicles and structures on the roads. Even though the cybersecurity aspect is incorporated by design, meaning that the system needs to satisfy security standards (anti-virus, firewall, etc.), we cannot ensure that all possible breaches are covered. The Intrusion Detection System (IDS) has been introduced in the IT world to assess the state of the network and detect if a violation occurs. Many experiences and the history of IT have inspired the cybersecurity for autonomous vehicles. Nevertheless, autonomous vehicles exhibit their own needs and constraints. The current state of vehicles evolution has been made possible through successive innovations in many industrial and research fields. Artificial Intelligence (AI) is one of them. It enables learning and implementing the most fundamental self-driving tasks. This thesis aims to develop an intelligent invehicle Intrusion detection system (IDS) using machine learning (ml) from an automotive perspective, to assess and evaluate the impact of machine learning on enhancing the security of future vehicle intrusion detection system that fits in-vehicle computational constraints. Future In-vehicle network architecture is composed of different subsystems formed of other ECUs (Electronic Controller Units). Each subsystem is vehicles. Our primary focus is on In-vehicle communication security. We conduct an empirical investigation to determine the underlying needs and constraints that in-vehicle systems require. First, we review the deep learning literature for anomaly detection and studies on autonomous vehicle intrusion detection systems using deep learning. We notice many works on in-vehicle intrusion detection systems, but not all of them consider the constraints of autonomous vehicle systems. We conduct an empirical investigation to determine the underlying needs and constraints that in-vehicle systems require. We review the deep learning literature for anomaly detection, and there is a lack of tailored study on autonomous vehicle intrusion detection systems using Deep Learning (DL). In such applications, the data is unbalanced: the rate of normal examples is much higher than the anomalous examples. The emergence of generative adversarial networks (GANs) has recently brought new algorithms for anomaly detection. We develop an adversarial approach for anomaly detection based on an Encoding adversarial network (EAN). Considering the behaviour and the lightweight nature of in-vehicle networks, we show that EAN remains robust to the increase of normal examples modalities, and only a sub-part of the neural network is used for the detection phase. Controller Area Network (CAN) is one of the mostused vehicle bus standards designed to allow microcontrollers and devices to communicate. We propose a Deep CAN intrusion detection system framework. We introduce a Multi-Variate Time Series representation for asynchronous CAN data. We show that this representation enhances the temporal modelling of deep learning architectures for anomaly detection
12
Bouzida, Yacine. "Application de l'analyse en composante principale pour la détection d'intrusion et détection de nouvelles attaques par apprentissage supervisé." Télécom Bretagne, 2006. http://www.theses.fr/2006TELB0009.
Full textAbstract:
La détection d'intrusion est un mécanisme essentiel pour la protection des systèmes d'information. En plus des méthodes préventives, les systèmes de détection d'intrusion sont largement déployés par les administrateurs de sécurité. Cette thèse présente deux applications différentes de l'analyse en composante principale pour la détection d'intrusion. Elle propose aussi une nouvelle approche basée sur l'apprentissage supervisé afin de détecter les nouvelles attaques. Dans la première application, l'analyse en composante principale est utilisée pour distinguer les comportements normaux des utilisateurs des comportements malveillants. Dans la seconde application, elle est utilisée comme une méthode de réduction avant d'appliquer les modèles de classification qui fournissent des signatures d'intrusion. Un autre résultat de cette thèse est l'amélioration des techniques d'apprentissage supervisé pour la détection de nouvelles attaques. Les résultats des différentes expérimentations basées sur l'analyse en composante principale et celles relatives à l'amélioration des techniques supervisées pour la détection d'intrusion sont présentés et discutés.
13
Roux, Jonathan. "Détection d'intrusion dans des environnements connectés sans-fil par l'analyse des activités radio." Thesis, Toulouse 3, 2020. http://www.theses.fr/2020TOU30011.
Full textAbstract:
Le déploiement massif des objets connectés, formant l'Internet des Objets ou IoT, bouleverse aujourd'hui les environnements réseaux traditionnels. Ces objets, auparavant exempts de connectivité, sont désormais susceptibles d'introduire des vulnérabilités supplémentaires dans les environnements qui les intègrent. La littérature dresse aujourd'hui un portrait peu flatteur de la sécurité de ces objets, qui constituent de plus en plus des cibles de choix pour les attaquants, qui y voient de nouvelles surfaces exploitables pour s'introduire dans les environnements auparavant sécurisés. En outre, les moyens de communications non-filaires utilisés par ces objets sont nombreux, avec des caractéristiques très hétérogènes à tous les niveaux protocolaires, notamment en terme de fréquences utilisées, qui rendent complexes l'analyse et la surveillance des environnements qui s'en équipent. Ces problématiques, et notamment l'hétérogénéité forte de ces nombreux protocoles, remettent en question les solutions traditionnelles permettant d'assurer la sécurité des échanges effectués. Or, l'explosion du nombre de ces objets impose d'adapter ou de proposer des architectures de sécurité qui soient adaptées à ces nouvelles problématiques. Dans cette thèse, nous nous intéressons à la surveillance et à la détection d'anomalies pouvant survenir sur les moyens de communications sans-fil utilisés dans l'IoT, quels qu'ils soient. Nous avons relevé un manque crucial de solutions ayant la capacité d'analyser tous les échanges, et ce, qu'importe le protocole utilisé. Pour y répondre, nous proposons une architecture de sécurité basée sur le monitoring des signaux radios physiques, permettant de s'affranchir de la connaissance des protocoles et donc d'être générique. Son objectif est d'apprendre le modèle des comportements radios légitimes d'un environnement à l'aide de sondes radios, puis d'identifier les déviations vis-à-vis de ce modèle, pouvant correspondre à des anomalies ou des attaques. La description de cette architecture est la première contribution de cette thèse. Nous avons ensuite étudié l'applicabilité de notre solution dans différents contextes, chacun ayant ses caractéristiques propres. La première étude, correspondant à notre deuxième contribution, consiste à proposer une implémentation et un déploiement de notre approche dans les domiciles connectés. L'évaluation de celle-ci face à des attaques réelles injectées dans l'espace radio et ses résultats montrent la pertinence de notre approche dans ces environnements. [...]The massive deployment of connected objects, forming the Internet of Things (IoT), is now disrupting traditional network environments. These objects, previously connectivity-free, are now likely to introduce additional vulnerabilities into the environments that integrate them. The literature today paints an unflattering picture of the security of these objects, which are increasingly becoming prime targets for attackers who see them as new exploitable surfaces to penetrate previously secure environments. In addition, the wireless means of communication used by these objects are numerous, with very heterogeneous characteristics at all protocol levels. Particularly in terms of the frequencies used, which make it difficult to analyse and monitor the environments that are equipped with them. These issues, and in particular the strong heterogeneity of these numerous protocols, call into question the traditional solutions used to ensure the security of the exchanges carried out. However, the explosion in the number of these objects requires security architectures that are adapted to these new issues. In this thesis, we are interested in monitoring and detecting anomalies that may occur in any wireless means of communication used in the IoT. We found a critical lack of solutions with the ability to analyze all exchanges, regardless of the protocol used. To answer this question, we propose a new security architecture based on the monitoring of physical radio signals, making it possible to free oneself from protocol knowledge and therefore to be generic. Its objective is to learn the model of legitimate radio behaviour in an environment using radio probes, then to identify deviations from this model, which may correspond to anomalies or attacks. The description of this architecture is the first contribution of this thesis. We then studied the applicability of our solution in different contexts, each with its own characteristics. The first study, corresponding to our second contribution, consists in proposing an implementation and deployment of our approach in connected homes. The evaluation of the latter in the face of real attacks injected into radio space and its results show the relevance of our approach in these environments. Finally, the last contribution studies the adaptation and deployment of our generic solution to professional environments where the presence of expert users promotes the integration of advanced diagnostic information to identify the origins of an anomaly. The subsequent evaluation and the results associated with each of the diagnostic mechanisms implemented demonstrate the value of our approach in heterogeneous environments
14
Nganyewou, Tidjon Lionel. "Modélisation formelle des systèmes de détection d'intrusions." Electronic Thesis or Diss., Institut polytechnique de Paris, 2020. http://www.theses.fr/2020IPPAS021.
Full textAbstract:
L'écosystème de la cybersécurité évolue en permanence en termes du nombre, de la diversité, et de la complexité des attaques. De ce fait, les outils de détection deviennent inefficaces face à certaines attaques. On distingue généralement trois types de système de détection d'intrusions: détection par anomalies, détection par signatures et détection hybride. La détection par anomalies est fondée sur la caractérisation du comportement habituel du système, typiquement de manière statistique. Elle permet de détecter des attaques connues ou inconnues, mais génère aussi un très grand nombre de faux positifs. La détection par signatures permet de détecter des attaques connues en définissant des règles qui décrivent le comportement connu d'un attaquant. Cela demande une bonne connaissance du comportement de l'attaquant. La détection hybride repose sur plusieurs méthodes de détection incluant celles sus-citées. Elle présente l'avantage d'être plus précise pendant la détection. Des outils tels que Snort et Zeek offrent des langages de bas niveau pour l'expression de règles de reconnaissance d'attaques. Le nombre d'attaques potentielles étant très grand, ces bases de règles deviennent rapidement difficiles à gérer et à maintenir. De plus, l'expression de règles avec état dit stateful est particulièrement ardue pour reconnaître une séquence d'événements. Dans cette thèse, nous proposons une approche stateful afin d'identifier des attaques complexes. Nous considérons l'approche diagramme état-transition hiérarchique, en utilisant les ASTDs. Les ASTDs permettent de représenter de façon graphique et modulaire une spécification, ce qui facilite la maintenance et la compréhension des règles. Nous étendons la notation ASTD avec de nouvelles fonctionnalités pour représenter des attaques complexes. Ensuite, nous spécifions plusieurs attaques avec la notation étendue et exécutons les spécifications obtenues sur des flots d'événements à l'aide d'un interpréteur pour identifier des attaques. Nous évaluons aussi les performances de l'interpréteur avec des outils industriels tels que Snort et Zeek. Puis, nous réalisons un compilateur afin de générer du code exécutable à partir d'une spécification ASTD, capable d'identifier efficacement les séquences d'événementsThe cybersecurity ecosystem continuously evolves with the number, the diversity, and the complexity of cyber attacks. Generally, we have three IDS types: anomaly-based detection, signature-based detection, and hybrid detection. Anomaly detection is based on the usual behavior description of the system, typically in a static manner. It enables detecting known or unknown attacks, but generating also a large number of false positives. Signature based detection enables detecting known attacks by defining rules that describe known attacker's behavior. It needs a good knowledge of attacker behavior. Hybrid detection relies on several detection methods including the previous ones. It has the advantage of being more precise during detection. Tools like Snort and Zeek offer low level languages to represent rules for detecting attacks. The number of potential attacks being large, these rule bases become quickly hard to manage and maintain. Moreover, the representation of stateful rules to recognize a sequence of events is particularly arduous. In this thesis, we propose a stateful approach to identify complex attacks. We consider the hierarchical state-transition diagram approach, using the ASTDs. ASTDs allow a graphical and modular representation of a specification that facilitates maintenance and understanding of rules. We extend the ASTD notation with new features to represent complex attacks. Next, we specify several attacks with the extended notation and run the resulting specifications on event streams using an interpreter to identify attacks. We also evaluate the performance of the interpreter with industrial tools such as Snort and Zeek. Then, we build a compiler in order to generate executable code from an ASTD specification, able to efficiently identify sequences of events
15
Autrel, Fabien. "Fusion, corrélation pondérée et réaction dans un environnement de détection d'intrusions coopérative." Toulouse, ENSAE, 2005. http://www.theses.fr/2005ESAE0002.
Full textAbstract:
Les systèmes informatiques doivent respecter certaines propriétés telles que la confidentialité, l'intégrité et la disponibilité. Cependant, il existe des vulnérabilités qui permettent de violer la politique de sécurité. La détection d’intrusions a pour but de détecter l'exploitation de ces vulnérabilités. L'approché consistant à faire coopérer plusieurs sondes de détection d’intrusions permet d’améliorer le diagnostic fournit. Cette thèse développe les notions de fusion, corrélation pondérée et réaction. La fusion d’alerte regroupe les alertes redondantes pour les fusionner. La corrélation pondérée identifie des scénarios d'intrusions et sélectionne le plus plausible. La réaction bloque un scénario d'intrusions en cours d’exécution ou modifie l’état du système pour éliminer une vulnérabilité ou compenser les effets d’une attaque. Des résultats expérimentaux obtenus sur plusieurs scénarios d’intrusions à partir d’un prototype implantant les notions développées sont présentés.
16
Larroche, Corentin. "Network-wide intrusion detection through statistical analysis of event logs : an interaction-centric approach." Electronic Thesis or Diss., Institut polytechnique de Paris, 2021. http://www.theses.fr/2021IPPAT041.
Full textAbstract:
Les journaux d’événements sont des données structurées décrivant toutes sortes d’activités au sein d’un réseau informatique. En particulier, les comportements malveillants adoptés par d’éventuels attaquants sont susceptibles de laisser une trace dans ces journaux, rendant ces derniers utiles pour la supervision et la détection d’intrusion. Cependant, le volume considérable des journaux d’événements générés en production en rend l’analyse difficile. Cette problématique a suscité de nombreux travaux de recherche sur l’analyse statistique de journaux d’événements pour la détection d’intrusion.Cette thèse étudie certaines des principales difficultés rendant actuellement peu aisé le déploiementde telles approches. Tout d’abord, il n’est pas évident de construire une représentation abstraite des journaux d’événements : ces données sont complexes et peuvent être abordées sous de multiples perspectives, et il est donc difficile d’en capturer tout le sens dans un objet mathématique simple. Nous choisissons une approche centrée sur la notion d’interaction, motivée par l’idée que de nombreux événements malveillants peuvent être vus comme des interactions inattendues entre des entités (utilisateurs, hôtes, etc.). Tout en préservant les informations les plus cruciales, cette représentation rend cependant la modélisation statistique ardue. Nous proposons donc un modèle ad hoc ainsi que la procédure d’inférence associée, en nous inspirant de concepts tels que les modèles à espace d’états, le filtrage bayésien et l’apprentissage multitâche.Une autre caractéristique des journaux d’événements est qu’ils contiennent une large majorité d’événements bénins, dont certains sont incongrus bien que légitimes. Il n’est donc pas suffisant de détecter des événements anormaux, et nous étudions également la détection de clusters d’événementspotentiellement malveillants. Nous nous appuyons pour cela sur la notion de graphe d’événements afinde redéfinir les scores d’anormalité associés aux événements comme un signal structuré en graphe. Cela permet l’usage d’outils de traitement du signal afin de débruiter les scores d’anormalité produits par un modèle statistique. Enfin, nous proposons des méthodes efficaces pour la détection de cluster anormal dans un graphe de grande taille dont les sommets portent des observations scalairesEvent logs are structured records of all kinds of activities taking place in a computer network. In particular, malicious actions taken by intruders are likely to leave a trace in the logs, making this data source useful for security monitoring and intrusion detection. However, the considerable volume of real-world event logs makes them difficult to analyze. This limitation has motivated a fair amount of research on malicious behavior detection through statistical methods. This thesis addresses some of the challenges that currently hinder the use of this approach in realistic settings. First of all, building an abstract representation of the data is nontrivial: event logs are complex and multi-faceted, making it difficult to capture all the relevant information they contain in a simple mathematical object. We take an interaction-centric approach to event log representation, motivated by the intuition that malicious events can often be seen as unexpected interactions between entities (users, hosts, etc.). While this representation preserves critical information, it also makes statistical modelling difficult. We thus build an ad hoc model and design a suitable inference procedure, using elements of latent space modelling, Bayesian filtering and multi-task learning.Another key challenge in event log analysis is that benign events account for a vast majority of the data, including a lot of unusual albeit legitimate events. Detecting individually anomalous events is thus not enough, and we also deal with spotting clusters of potentially malicious events. To that end, we leverage the concept of event graph and recast event-wise anomaly scores as a noisy graph-structured signal. This allows us to use graph signal processing tools to improve anomaly scores provided by statistical models.Finally, we propose scalable methods for anomalous cluster detection in node-valued signals defined over large graphs
17
Ricard, Quentin. "Détection autonome de trafic malveillant dans les réseaux véhiculaires." Thesis, Toulouse 3, 2020. http://www.theses.fr/2020TOU30149.
Full textAbstract:
L'avènement des Systèmes de Transport Intelligents entraîne avec lui l'apparition, sur les routes du monde entier, de véhicules toujours plus connectés à leur environnement. En effet, ils intègrent désormais des dispositifs destinés à améliorer la sûreté des routes, à réduire l'impact environnemental du véhicule et à rendre les trajets plus agréables aux utilisateurs. Cependant, l'interconnexion des véhicules avec le reste du monde et en particulier grâce à l'utilisation des réseaux cellulaires entraîne aussi son lot de vulnérabilités. Les véhicules connectés devenus tributaires des informations captées sur le réseau, s'exposent à des dysfonctionnements dus aux canaux de communication, ou pire encore, aux actions d'acteurs malveillants du cyber-espace. Les réseaux classiques sont depuis longtemps confrontés à ces problèmes de sécurité. De nombreuses approches ont été imaginées afin de détecter les anomalies et tentatives d'intrusions dans les réseaux. Cependant, ces méthodes ne peuvent pas être directement appliquées au contexte véhiculaire. En effet, la nature des communications et des anomalies ainsi que l'exécution des dispositifs de détection à l'intérieur des véhicules sont des paramètres qui doivent être pris en compte. Ce constat nous amène à proposer un nouveau système de détection d'anomalies spécifique aux communications des véhicules connectés et à leurs vulnérabilités. Sa détection repose sur la création de fenêtres de description instantanée du trafic liées entre elles par des relations modélisées sous la forme d'une ontologie. Grâce à ces relations, les résultats de la détection sont alimentés par le contexte des échanges du véhicule au moment de l'anomalie. Le diagnostic de l'administrateur est ainsi rendu plus aisé et nous assurons une traçabilité de la détection. Nous évaluons les performances de notre système grâce à un jeu de données issu d'un outil que nous avons conçu. Celui-ci génère des communications, anomalies et attaques conformes à ce qu'il serait observable sur les réseaux cellulaires de véhicules. Nous cherchons à évaluer notre système en fonction de ses capacités de détection de différents types d'anomalies et d'attaques en minimisant le nombre de faux positifs. Nous comparons les résultats de deux algorithmes non-supervisés utilisés pour la phase de détection HTM et LSTMThe growth of intelligent transport systems brings new highly connected vehicles on the roads of the world. These vehicles now embed new devices and services meant to increase road safety, reduce the environmental impact of the vehicles and improve the user experience. However, these new communication channels between vehicles and the rest of the world, especially cellular networks bring new vulnerabilities. Vehicles are now depending on the information provided by the network and are therefore subject to malfunction and anomalies due to such network. Worse, they become vulnerable to malicious actors of the cyber-space. Mainstream information networks have been confronted with security problems for a long time. Numerous approaches have been designed in order to detect anomalies an intrusion inside such networks. However, these methods cannot be applied directly to the automotive context. In fact, the specific nature of the communications, the anomalies and the execution of intrusion detection systems inside the vehicles must be considered. Therefore, we present a new anomaly detection system dedicated to vehicular networks and their vulnerabilities. Our detection is based on the creation of instantaneous description windows that are linked together thanks to an ontology. Thanks to these relations, the results of the detection are fed with the communication context of the vehicle during an anomaly. Consequently, the diagnostic from the administrator is made easier and we ensure the traceability of the anomaly. We evaluate the performances of our system thanks to a dataset produced by our tool named Autobot. It produces realistic communications, anomalies and attacks on cellular vehicular networks. We aim to evaluate our system based on the quality of the detection of different kinds of attacks while minimizing the number of false positives. We compare the results of two unsupervised machine learning algorithms that are used during the detection named HTM and LSTM
18
Majorczyk, Frédéric. "Détection d'intrusions comportementale par diversification de COTS : application au cas des serveurs web." Phd thesis, Université Rennes 1, 2008. http://tel.archives-ouvertes.fr/tel-00355366.
Full textAbstract:
L'informatique et en particulier l'Internet jouent un rôle grandissant dans notre société. Un grand nombre d'applications critiques d'un point de vue de leur sécurité sont déployées dans divers domaines comme le domaine militaire, la santé, le commerce électronique, etc. La sécurité des systèmes informatiques devient alors une problématique essentielle tant pour les individus que pour les entreprises ou les états. Il est donc important de définir une politique de sécurité pour ces systèmes et de veiller à son respect. Néanmoins les mécanismes de sécurité préventifs mis en place ne sont pas incontournables. Il est nécessaire de mettre en œuvre des outils permettant de détecter toute violation de la politique de sécurité, c'est-à-dire toute intrusion. Ces outils sont appelés des systèmes de détection d'intrusions ou IDS. Souvent en collaboration avec les IDS, il est possible de mettre en place des outils et techniques de tolérance aux intrusions. Ces outils et techniques ont pour objectif que les intrusions affectant un composant du système n'entrainent pas de violations de la politique de sécurité du système global.Notre travail s'inscrit dans le domaine de la détection d'intrusions, de manière essentielle, et permet une certaine tolérance aux intrusions. Contrairement aux méthodes de détection classiques en détection comportementale pour lesquelles il est nécessaire de définir et construire un modèle de référence du comportement de l'entité surveillée, nous avons suivi une méthode issue de la sureté de fonctionnement fondée sur la programmation N-versions pour laquelle le modèle de référence est implicite et est constitué par les autres logiciels constituant l'architecture. Nous proposons l'utilisation de COTS en remplacement des versions spécifiquement développées car développer N-versions est couteux et est réservé à des systèmes critiques du point de vue de la sécurité-innocuité. D'autres travaux et projets ont proposé des architectures fondées sur ces idées. Nos contributions se situent à différents niveaux. Nous avons pris en compte dans notre modèle général de détection d'intrusions les spécificités liées à l'utilisation de COTS en lieu et place de versions spécifiquement développées et proposé deux solutions pour parer aux problèmes induits par ces spécificités. Nous avons proposé deux approches de détection d'intrusions fondées sur cette architecture : l'une suivant une approche de type boite noire et l'autre suivant une approche de type boite grise. Notre méthode de type boite grise peut, en outre, aider l'administrateur de sécurité à effectuer un premier diagnostic des alertes. Nous avons réalisé une implémentation de ces deux approches dans le cadre des serveurs web et avons évalué pratiquement la pertinence et de la fiabilité de ces deux IDS.
19
Damien, Aliénor. "Sécurité par analyse comportementale de fonctions embarquées sur plateformes avioniques modulaires intégrées." Thesis, Toulouse, INSA, 2020. http://www.theses.fr/2020ISAT0001.
Full textAbstract:
Aujourd’hui, le transport aérien est l’un des modes de transport les plus sûrs pour lequel les risques d'incidents depuis les débuts de l'aviation ne cessent de diminuer. Ces dernières décennies ont vu les systèmes avioniques évoluer (connectivité, partage de ressources, COTS) afin d’améliorer l’expérience passager et réduire les coûts. Si ces évolutions sont maîtrisées d’un point de vue safety, elles induisent néanmoins de nouveaux vecteurs d’attaque d’un point de vue security. Au regard des attaques récentes sur des systèmes embarqués ou critiques, il devient primordial d’anticiper ce type de menace pour l'avionique. Récemment, plusieurs études ont vu le jour concernant la sécurité des systèmes avioniques. La plupart se concentrent sur les interfaces de l’aéronef (moyens de communication ou de mises à jour logicielles) ou sur la phase de développement (analyses de risques, tests de vulnérabilités). Quelques travaux proposent des mesures de défense en profondeur (durcissement d’OS, détection d’intrusion), notamment pour se protéger d’attaquants internes.Dans cette thèse, nous prenons l’hypothèse qu’une application malveillante s’est introduite sur un calculateur avionique. Plus précisément, nous étudions donc la mise en place d’un système de détection d’intrusion au sein d’un calculateur avionique. Étant donné l’environnement considéré, nous avons formalisé six objectifs spécifiques relatifs à l’efficacité de détection, la durée de vie de l’aéronef, les performances, l’impact temps-réel, l’impact sur la sûreté, et la certification. Pour y répondre, nous proposons une approche complète permettant d’intégrer un système de détection d’intrusion sur un calculateur, en se basant sur le processus de développement IMA (Integrated Modular Avionics). Cette approche propose de modéliser le comportement normal d’une application avionique pendant la phase d’intégration, en s’appuyant sur les caractéristiques statiques et déterministes des applications avioniques, et sur les moyens déjà existants pour la safety. Ce modèle de comportement normal est ensuite embarqué à bord de l’aéronef et permet de détecter toute déviation de comportement pendant la phase d’opération. En complément, une fonction d’analyse d’anomalies embarquée offre un premier niveau de diagnostic à bord, et une certaine flexibilité une fois l’aéronef en opération.Cette approche a été implémentée sur deux cas d’étude afin de valider sa faisabilité et d’évaluer ses capacités de détection et sa consommation de ressources. Un outil d’injection d’attaque a été réalisé afin de pallier au manque de moyens existants pour tester notre approche. Plusieurs solutions de détection comportementale ont été proposées et évaluées, en se basant sur deux types de modèles : OCSVM et Automate temporisé. Deux implémentations sur calculateur embarqué ont permis d’observer de très bons résultats en termes d’efficacité de détection et d’utilisation des ressources. Enfin, l’implémentation de la fonction d’analyse d’anomalies et les expérimentations associées ont donné des résultats encourageants quant à la possibilité d’embarquer un tel système sur un aéronefToday, air transportation is one of the safest transportation modes, with a continuous reduction in the risk of accidents since the early days of aviation. In recent decades, several advances have been achieved in avionics systems (such as connectivity, resource sharing, COTS) to improve the passenger experience and reduce costs. While these evolutions have been well managed from safety point of view, nevertheless, from the security point of view, they have led to new attack vectors. Considering recent attacks on embedded or critical systems, it is becoming essential to anticipate the potential malicious modification of an aircraft application in future systems. Recently, several studies have been carried out to improve aircraft security. Most of them focus on the aircraft interfaces (communication means or software updates) or on the development phase (risk analysis, vulnerability tests). A few works proposed in-depth defense measures (OS hardening, intrusion detection), in particular to protect against internal attackers.In this thesis, we assume that a malicious application was introduced inside an avionics computer. More specifically, we study the development of an intrusion detection system within an avionics computer. Taking into account the specific constraints related to avionics applications, we have formalized six specific objectives to develop such solution, related to detection efficiency, aircraft lifetime, performance, real-time impact, safety impact, and certification. To fulfill these objectives, this thesis presents a comprehensive approach to integrate an anomaly-based intrusion detection system into an avionics computer, based on the IMA (Integrated Modular Avionics) development process. The normal behavior of an avionics application is modeled during the integration phase, based on the static and deterministic characteristics of avionics applications, and on the existing means that have been developed for safety. This model of normal behavior is then embedded onboard the aircraft and allows to detect any deviation of behavior during the operation phase. In addition, an on-board anomaly analysis function offers a first level of on-board diagnosis and some flexibility once the aircraft is in operation.This approach has been implemented on two case studies to validate its feasibility and assess its detection capabilities and resource consumption. Firstly, an attack injection tool was developed in order to compensate for the lack of existing means to test our approach. Then, several behavioral detection solutions were proposed and evaluated, based on two types of models: OCSVM and Timed Automata. Two of them were implemented in an embedded prototype, and provided very good results in terms of detection efficiency and resource consumption. Finally, the anomaly analysis function has also been implemented, and the associated experiments showed encouraging results regarding the possibility to embed such a system onboard an aircraft
20
Briffaut, Jérémy. "Formalisation et garantie de propriétés de sécurité système : application à la détection d'intrusions." Phd thesis, Université d'Orléans, 2007. http://tel.archives-ouvertes.fr/tel-00261613.
Full textAbstract:
Dans cette thèse, nous nous intéressons à la garantie des propriétés d'intégrité et de confidentialité d'un système d'information.Nous proposons tout d'abord un langage de description des activités système servant de base à la définition d'un ensemble de propriétés de sécurité.
Ce langage repose sur une notion de dépendance causale entre appels système et sur des opérateurs de corrélation.
Grâce à ce langage, nous pouvons définir toutes les propriétés de sécurité système classiquement rencontrées dans la littérature, étendre ces propriétés et en proposer de nouvelles.
Afin de garantir le respect de ces propriétés, une implantation de ce langage est présentée.
Nous prouvons que cette implantation capture toutes les dépendances perceptibles par un système.
Cette méthode permet ainsi d'énumérer l'ensemble des violations possibles des propriétés modélisables par notre langage.
Notre solution exploite la définition d'une politique de contrôle d'accès afin de calculer différents graphes.
Ces graphes contiennent les terminaux du langage et permettent de garantir le respect des propriétés exprimables.
Nous utilisons alors cette méthode pour fournir un système de détection d'intrusion qui détecte les violations effectives des propriétés.
L'outil peut réutiliser les politiques de contrôle d'accès disponibles pour différents systèmes cibles DAC (Windows, Linux) ou MAC tels que SELinux et grsecurity.
Cet outil a été expérimenté sur un pot de miel durant plusieurs mois et permet de détecter les violations des propriétés souhaitées.
21
Kabir-Querrec, Maëlle. "Cyber sécurité des systèmes industriels pour les smart-grids : détection d'intrusion dans les réseaux de communication IEC 61850." Thesis, Université Grenoble Alpes (ComUE), 2017. http://www.theses.fr/2017GREAT032/document.
Full textAbstract:
Les systèmes de contrôle et d'automatisation industriels (IACS - Industrial Control and Automation Systems) reposent largement et de plus en plus sur les Technologies de l'Information et de la Communication. A l'origine, les IACS utilisaient des protocoles propriétaires sur des réseaux fermés, assurant ainsi une sécurité par obscurité et isolement. Mais les technologies et les usages ont évolué et cette sécurité intrinsèque n'existe plus désormais. Cette évolution concerne entre autre le domaine électrique : le réseau électrique devenant le "smart grid".Le standard IEC 61850 est un pilier pour le développement du smart grid. Il a pour objectif de rendre possible l'interopérabilité dans les "Systèmes et réseaux de communication pour l'automatisation des services de distribution d'énergie". Pour cela, la norme définit un modèle de données commun ainsi qu'une pile de protocoles répondant à divers besoins de communication.Le standard IEC 61850 n'aborde pas la question de la cyber sécurité malgré une prise de conscience générale qu'un risque cyber pèse sur les IACS.Ces travaux de recherche proposent de répondre à cette question de la cyber sécurité par de la détection d'intrusion dans les réseaux IEC 61850, et plus précisément dans les communications temps-réel GOOSE. L'idée est d'exploiter au maximum les sources d'informations que sont les spécifications du protocole et la configuration du système pour développer un système de détection d'intrusion réseau (NIDS - Network Intrusion Detection System) sur mesure. Cette approche comportementale déterministe est un gage de précision de détection.Ce manuscrit compte quatre chapitres. Les deux premiers consistent en un état de l'art détaillé sur les NIDS pour les IACS d'une part, et l'analyse du risque cyber d'autre part. Les deux autres chapitres présentent les contributions proprement dites de ces travaux de thèse. Le chapitre 3 explore tout d'abord le risque cyber pesant sur un poste électrique et pouvant compromettre la sûreté de fonctionnement du système. Dans un deuxième temps, est proposée une extension du modèle de données IEC 61850 dédiées à la détection d'intrusion dans les communication GOOSE. Le chapitre 4 commence avec la démonstration expérimentale de la faisabilité d'une attaque de type injection de données sur le protocole GOOSE, puis explique comment utiliser les fichiers de configuration du système pour spécifier les règles de détection. Un analyseur syntaxique pour le protocole GOOSE a été intégré à l'analyseur de trafic open source Bro, permettant l'implémentation d'un algorithme de détectionInformation and Communication Technologies have been pervading Industrial Automation and Control Systems (IACS) for a few decades now. Initially, IACS ran proprietary protocols on closed networks, thus ensuring some level of security through obscurity and isolation. Technologies and usages have evolved and today this intrinsic security does not exist any longer, though. This transition is in progress in the electricity domain, the power infrastructure turning into the "smart grid".The IEC 61850 standard is key to the smart grid development. It is aimed at making interoperability possible in ``Communication networks and systems for power utility automation''. It thus defines a common data object model and a stack of protocols answering different purposes.Although the cyber risk in IACS is now widely acknowledged, IEC 61850 does not address cyber security in any way whatsoever.This work tackles the question of cyber security through network intrusion detection in IEC 61850 networks, and more specifically in real-time GOOSE communications. The idea is to get the most out of the protocol specifications and system configuration while developing a tailored NIDS. This enables detection accuracy
22
Hauser, Christophe. "Détection d'intrusions dans les systèmes distribués par propagation de teinte au niveau noyau." Phd thesis, Université Rennes 1, 2013. http://tel.archives-ouvertes.fr/tel-00932618.
Full textAbstract:
Modern organisations rely intensively on information and communication technology infrastruc- tures. Such infrastructures offer a range of services from simple mail transport agents or blogs to complex e-commerce platforms, banking systems or service hosting, and all of these depend on distributed systems. The security of these systems, with their increasing complexity, is a chal- lenge. Cloud services are replacing traditional infrastructures by providing lower cost alternatives for storage and computational power, but at the risk of relying on third party companies. This risk becomes particularly critical when such services are used to host privileged company information and applications, or customers' private information. Even in the case where companies host their own information and applications, the advent of BYOD (Bring Your Own Device) leads to new security related issues. In response, our research investigated the characterization and detection of malicious activities at the operating system level and in distributed systems composed of multiple hosts and services. We have shown that intrusions in an operating system spawn abnormal information flows, and we developed a model of dynamic information flow tracking, based on taint marking techniques, in order to detect such abnormal behavior. We track information flows between objects of the operating system (such as files, sockets, shared memory, processes, etc.) and network packets flowing between hosts. This approach follows the anomaly detection paradigm. We specify the legal behavior of the system with respect to an information flow policy, by stating how users and programs from groups of hosts are allowed to access or alter each other's information. Illegal information flows are considered as intrusion symptoms. We have implemented this model in the Linux kernel4 , as a Linux Security Module (LSM), and we used it as the basis for practical demonstrations. The experimental results validated the feasibility of our new intrusion detection principles. This research is part of a joint research project between Supélec (École supérieure d'éléctricité) and QUT (Queensland University of Technology).
23
Voron, Jean-Baptiste. "Construction automatique et particularisée de systèmes de détection d'intrusion pour les systèmes parallèles à l'aide de réseaux de Petri." Paris 6, 2009. http://www.theses.fr/2009PA066700.
Full textAbstract:
La surveillance et la maintenance des systèmes informatiques entraînent des coûts prohibitifs. Cela est dû en grande partie à la complexité des applications actuelles ainsi qu’à leurs fréquentes mises à jour. Les administrateurs de tels systèmes ne peuvent donc pas répondre efficacement aux impératifs de sécurité si on considère le nombre élevé de failles à contrôler et l'incroyable sophistication et rapidité de propagation des attaques. Les systèmes de détection d'intrusion mettent en oeuvre un processus de surveillance et d’analyse des événements survenant sur un système, dans le but de découvrir des attaques compromettant sa confidentialité, son intégrité ou sa disponibilité. En plus des problèmes caractéristiques tels que les taux de faux positifs et de faux négatifs lors de la phase de surveillance ou l’incapacité à détecter de nouvelles formes d’intrusions, d’autres limitations d’origine structurelle existent. Ainsi, rares sont les travaux qui traitent de la protection des applications fortement multi-threadées ou qui proposent une implémentation efficace des méthodes de détection proposées. L’objectif de cette thèse est de concevoir et de réaliser une solution qui construit automatiquement un système de surveillance dédié à un programme. Dans cette optique, nous proposons d’extraire, grâce à une analyse statique du code source du programme à surveiller, plusieurs modèles comportementaux exprimés en réseaux de Petri. Une fois réduits et assemblés, ces modèles peuvent être soumis aux techniques actuelles de vérification formelle et permettent finalement la génération automatique d’un système de surveillance dédié au programme initial.
24
Alattar, Mouhannad. "Supervision de la sécurité pour des réseaux ad hoc mobiles : un système léger, robuste, et fiable de détection d'intrusion." Thesis, Besançon, 2013. http://www.theses.fr/2013BESA2036/document.
Full textAbstract:
Les réseaux mobiles ad hoc, appelé généralement MANET ( Mobile Ad hoc NETwork ) continuent augmenter leur présence dans notre vie. Ils deviennent une pierre angulaire du commerce, de la société, de l'armée, de la science, et même des applications de future. Cependant, ces réseaux opèrent souvent dans des environnements ouverts, ce qui les rend particulièrement vulnérables aux nombreux menaces. Ainsi, les méthodes traditionnelles de sécuriser les réseaux s'appuyant sur les techniques de prévention, par exemple le pare-feu et le cryptage, ne sont plus suffisants et doivent être enrichies par des mécanismes réactifs comme le système de détection d'intrusions (ou Intrusion Detection System(IDS)). Concevoir un IDS pour les MANETs est assez difficile parce qu'il doit à la fois assurer une précision de détection élevée, prendre en compte les ressources limitées (en terme de mémoire, de batteries et la bande passante), et adapter à la nature dynamique de ces réseaux. En plus, le système de détection ne devrait pas être une cible d'attaques ou la falsification. Nous avons proposé dans cette thèse un système robuste, léger et efficace de détection qui répond aux exigences de MANETs. Nous avons d'abord étudié les attaques qui menacent les MANETs, en se concentrant sur les attaques visant le protocole de routage OLSR (Optimized Link State Routing). Ensuite, nous présentons notreIDS qui offre un taux élevé d'attaques ainsi que le maintien efficacement les ressources limitées du réseau. A cet effet, notre système analyse les traces de routage au lieu de surveiller le trafic afin d'identifier tout évidence d’activité suspecte. Après, il fait correspondre les évidences à un ensemble de signatures prédéfinies; une signature est perçue comme étant un ensemble partiellement ordonné d’événements caractérisant une intrusion. En outre, notre IDS dépend du degré de suspicion des évidences afin de manière à efficacement limiter le nombre et la durée de ses opérations coûteuses entermes de ressources. Vers une meilleure gestion des ressources disponibles, nous utilisons également l'intervalle deconfiance pour mesurer la fiabilité de détection. Cette mesure statistique permet à: (i) éviter le gaspillage de ressources résultant de collecte et de traitement des évidences redondantes, et (ii) prendre correctement la décision liées à la détection, par exemple déclarer le noeud suspect comme étant un intrus. Afin d'améliorer la robustesse de notre IDS, nous le couple avec un modèle de crédit basé sur l'entropie. Ce modèle surveille le comportement des noeuds lors de la détection afin d’assigner un crédit pour chaque noeud dans le réseau. Notre IDS se base sur les crédits attribuées aux noeuds afin de réduire les effets néfastes des évidences falsifiées fournies par les noeuds méfiants. Le modèle decrédit proposé prend en compte le niveau de risque des attaques. Plus précisément, le taux de perte de crédit d'un noeud méfiants est relié aux conséquences de l'attaque dont ce noeud a essayé d'aider. Notre IDS et les modèles couplés ont été expérimentées sur différents scénarios de la mobilité et de la densité. Les résultats montrent que notre détecteur offrent un taux de détection élevé, en combinaison avec un entretien remarquable des ressources disponibles. De plus, il présente une robustesse importante contre les faux évidences de détectionMobile Ad hoc NETworks (referred to as MANETs) continue increasing their presence in our every day life. They become a corner stone in the commercial, the society, the military, the science, and even the next-generation applications. However, these networks mostly operate over open environments and are therefore vulnerable to a large body of threats. Traditional ways of securing networks relying on preventive techniques, e.g., firewall and encryption, are not sufficient and should henceforth be coupled with a reactive security solution, e.g., the Intrusion Detection Systems (IDSs). Designing anIDS for MANETs is quite challenging because such IDS must not only ensure a high detection accuracy but also take into account the limited resources (e.g., battery life and bandwidth) and the dynamic nature of these networks. Moreover, the designed IDS itself should not be a target of attacks and/or falsification. In this thesis, we respond to these requirements by proposing a lightweight and robust Intrusion Detection System (IDS), dedicated to protecting MANETs. We first explore the space of attacks that threaten MANETs, focusing on the attacks targeting the Optimized Link State Routing protocol. We then introduce our IDS that offers a high rate of attacks along with maintaining efficiently the limited resources in the network. Indeed, contrary to existing systems that monitor the packets going through the host, our system distinguishes itself by parsing and analyzing logs in order to identify patterns of misuse. It further depends on the level of suspicion andgravity involved so as to efficiently restrict the number and the duration of its costly operations, in terms of resources. Towards a better management of the available resources, we also use the confidence interval as a measure of detection reliability. This statistical measure allows our IDS to: (i) identify the redundant evidences, hence the waste of resources resulting from gathering and processing them is avoided, and (ii) correctly make the critical detection-related decisions. In order to enhance the robustness of our IDS, we couple it with an entropy-based trust model that assigns, based on theirunlawful participation in the detection, a low trustworthiness to the misbehaving nodes. Thanks to the estimated trustworthiness, our IDS reduces the bad effects of the falsified feedback provided by the distrustful nodes. The proposed trust model is a risk-aware whereas the higher the risk of an attack, the higher (resp. the lower) is the trust in the nodes which help in detecting (resp. colluding) it. The proposed IDS and the coupled models have been experimented on different scenarios of mobility and density. The results show that our detector offer a high detection rate along with a remarkablemaintenance of the available resources. Moreover, it presents a significant robustness against the falsified detection-related evidences
25
Chaabouni, Nadia. "Détection et prévention des intrusions pour les systèmes IoT en utilisant des techniques d’apprentissage." Thesis, Bordeaux, 2020. http://www.theses.fr/2020BORD0070.
Full textAbstract:
Avec l'expansion de l'Internet des objets (IoT) et l'évolution des techniques d'attaque, la sécurité de l'IoT est devenue une préoccupation très importante. OneM2M est une initiative de standardisation mondiale pour l'IoT. Par conséquent, sa sécurité implique la sécurité de l'écosystème IoT. C'est pourquoi nous concentrons nos travaux sur la sécurité de ce standard. Dans cette thèse, nous proposons un système de détection et de prévention des intrusions (IDPS), basé sur les techniques d’apprentissage, pour les systèmes IoT utilisant oneM2M. Afin d'adopter les technologies émergentes et surtout avec ses résultats intéressants déjà éprouvés dans le domaine de la sécurité, les techniques d’apprentissage sont utilisées dans notre stratégie IDPS. Notre système oneM2M-IDPS détecte les menaces potentielles et y répond immédiatement. Il détecte et classifie les menaces sur trois niveaux d’apprentissage différents et réagit rapidement par des actions appropriées. OneM2M-IDPS ne traite pas seulement les menaces connues (attaques de sécurité et comportements anormaux), il est également capable de détecter les menaces inconnues (zero-day). De plus, l'IDPS est équipé d'un module d'apprentissage continu qui lui permet d'apprendre en permanence de nouveaux comportements afin d'être à jourWith the expansion of the Internet of Things (IoT) and the evolution of attack techniques, IoT security has become a more critical concern. OneM2M is a global standardization initiative for the IoT, therefore its security implies the security of the IoT ecosystem. Hence, we focus our work on the security of the oneM2M standard. In this thesis, we propose an Intrusion Detection and Prevention System (IDPS) based on Machine Learning (ML) for the oneM2M-based IoT systems. In order to adopt emerging technologies and especially with its interesting results already proven in the security domain, ML techniques are used in our IDPS strategy. Our oneM2M-IDPS detects potential threats and responds immediately. It detects and classifies threats on three different ML levels and reacts quickly with appropriate actions. OneM2M-IDPS not only handles known threats (security attacks and abnormal behaviors), it is also able to detect unknown/zero-day threats. In addition, the IDPS is equipped with a continuous learning module that allows it to continuously learn new behaviors in order to be up to date
26
Mao, Yuxiao. "Détection dynamique d'attaques logicielles et matérielles basée sur l'analyse de signaux microarchitecturaux." Thesis, Toulouse, INSA, 2022. http://www.theses.fr/2022ISAT0015.
Full textAbstract:
Les systèmes informatiques ont évolué rapidement ces dernières années, ces évolutions touchant toutes les couches des systèmes informatiques, du logiciel (systèmes d'exploitation et logiciels utilisateur) au matériel (microarchitecture et technologie des puces). Si ce développement a permis d'accroître les fonctionnalités et les performances, il a également augmenté la complexité des systèmes (rendant plus difficile la compréhension globale du système), et par la-même augmenté la surface d'attaque pour les pirates. Si les attaques ont toujours ciblé les vulnérabilités logicielles, au cours des deux dernières décennies, les attaques exploitant les vulnérabilités matérielles des systèmes informatiques sont devenues suffisamment graves pour ne plus être ignorées. En 2018, par exemple, la divulgation des attaques Spectre et Meltdown a mis sur le devant de la scène les problèmes que peuvent poser certaines optimisations faites dans la microarchitecture des systèmes. Malheureusement, la détection et la protection contre ces attaques se révèlent particulièrement complexes, et posent donc aujourd'hui de nombreux défis : (1) le niveau élevé de complexité et de variabilité de la microarchitecture implique une grande difficulté à identifier les sources de vulnérabilité; (2) les contremesures impliquant une modification de la microarchitecture peuvent impacter significativement les performances globales du système complet; et (3) les contremesures doivent pouvoir s'adapter à l'évolution des attaques. Pour donner des éléments de réponse, cette thèse s'est intéressée à l'utilisation des informations qui sont disponibles au niveau de la microarchitecture pour construire des méthodes de détection efficaces.Ces travaux ont en particulier abouti à la construction d'un framework permettant la détection d'attaques qui laissent des empreintes au niveau de la couche microarchitecturale. Ce framework propose : (1) d'utiliser les informations microarchitecturales pour la détection des attaques, couvrant efficacement les attaques visant les vulnérabilités microarchitecturales; (2) de proposer une méthodologie pour aider les concepteurs dans le choix des informations pertinentes à extraire de la microarchitecture; (3) d'utiliser des connexions dédiées pour la transmission de ces informations microarchitecturales afin de garantir une haute bande passante; et (4) d'utiliser du matériel reconfigurable en conjonction avec du logiciel pour implémenter la logique de détection des attaques. Cette combinaison de logiciel et matériel reconfigurable (constituant le module de détection) permet à la fois de réduire l'impact sur les performances grâce à de l'accélération matérielle, et de mettre à jour la logique de détection afin de s'adapter à l'évolution des menaces par la reconfiguration au cours du cycle de vie du système. Nous présentons en détails les changements requis au niveau de la microarchitecture et du système d'exploitation, la méthodologie pour sélectionner les informations microarchitecturales appropriées, l'intégration de ce framework dans un système informatique spécifique, ainsi que la description du fonctionnement du système final pendant son cycle de vie. Cette thèse décrit pour finir deux cas d'étude menés sur un prototype (basé sur un coeur RISC-V) sur un FPGA, et montre comment des logiques relativement simples implantées dans le module de détection nous ont permis de détecter des attaques de classes différentes (attaque visant les caches et attaques de type ROP) sur un système complet exécutant un système d'exploitation, via l'exploitation d'informations provenant de la microarchitectureIn recent years, computer systems have evolved quickly. This evolution concerns different layers of the system, both software (operating systems and user programs) and hardware (microarchitecture design and chip technology). While this evolution allows to enrich the functionalities and improve the performance, it has also increased the complexity of the systems. It is difficult, if not impossible, to fully understand a particular modern computer system, and a greater complexity also stands for a larger attack surface for hackers. While most of the attacks target software vulnerabilities, over the past two decades, attacks exploiting hardware vulnerabilities have emerged and demonstrated their serious impact. For example, in 2018, the Spectre and Meltdown attacks have been disclosed, that exploited vulnerabilities in the microarchitecture layer to allow powerful arbitrary reads, and highlighted the security issues that can arise from certain optimizations of system microarchitecture. Detecting and preventing such attacks is not intuitive and there are many challenges to deal with: (1) the great difficulty in identifying sources of vulnerability implied by the high level of complexity and variability of different microarchitectures; (2) the significant impact of countermeasures on overall performance and on modifications to the system's hardware microarchitecture generally not desired; and (3) the necessity to design countermeasures able to adapt to the evolution of the attack after deployment of the system. To face these challenges, this thesis focuses on the use of information available at the microarchitecture level to build efficient attack detection methods.In particular, we describe a framework allowing the dynamic detection of attacks that leave fingerprints at the system's microarchitecture layer. This framework proposes: (1) the use microarchitectural information for attack detection, which can effectively cover attacks targeting microarchitectural vulnerabilities; (2) a methodology that assists designers in selecting relevant microarchitectural information to extract; (3) the use of dedicated connections for the transmission of information extracted, in order to ensure high transmission bandwidth and prevent data loss; and (4) the use of reconfigurable hardware in conjunction with software to implement attack detection logic. This combination (composing to the so-called detection module) reduces the performance overhead through hardware acceleration, and allows updating detection logic during the system lifetime with reconfiguration in order to adapt to the evolution of attacks. We present in detail the proposed architecture and modification needed on the operating system, the methodology for selecting appropriate microarchitectural information and for integrating this framework into a specific computer system, and we describe how the final system integrating our detection module is able to detect attacks and adapt to attack evolution. This thesis also provides two use-case studies implemented on a prototype (based on a RISC-V core with a Linux operating system) on an FPGA. It shows that, thanks to the analysis of microarchitectural information, relatively simple logic implemented in the detection module is sufficient to detect different classes of attacks (cache side-channel attack and ROP attack)
27
Seng, Sorithy. "Sonde de détection d'intrusion réseau avec suivi d'état de protocole et détection d'anomalie, de la modélisation à la combinaison entre des méthodes de spécification et de fouille de données (data mining)." Electronic Thesis or Diss., Institut polytechnique de Paris, 2024. http://www.theses.fr/2024IPPAS023.
Full textAbstract:
Cette thèse se positionne dans le contexte des sondes de détection d'intrusion réseaux (NIDS). Elle part du constat que la grande majorité des NIDS disposent d'une vision statique des échanges réseaux : ils analysent les paquets réseaux sans tenir compte des échanges de paquets précédents. Cette vision statique limite leurs capacités à détecter des attaques se déroulant dans le temps et mettant en œuvre plusieurs paquets réseaux. Il existe bien évidemment des NIDS capables de détecter des attaques s'étalant sur plusieurs paquets, mais cela est en général réalisé à l'aide d'artifices non triviaux qui, s'ils ne sont pas correctement utilisés, peuvent pénaliser les performances globales du NIDS. Cette thèse vise alors à pallier en partie cette limitation en ajoutant aux NIDS des capacités de suivi d'état des protocoles de communication. Un tel suivi d'état permettrait d'offrir un contexte à chaque paquet, grâce à une historisation des échanges réseaux sous la forme d'états cohérents au sein de sessions d'un protocole de communication. En plus du contexte d'un paquet, un tel suivi d'état des protocoles permettrait d'identifier toute déviation au modèle du protocole et ainsi de détecter des anomalies. Pour explorer cette piste, cette thèse propose d'étudier les deux objectifs suivants:- Réaliser un état de l'art sur les NIDS et la modélisation de protocole: les travaux similaires, identifier les langages, vérifier que le suivi d'état est pertinent. Expérimenter cette piste de suivi d'état des protocoles à l'aide d'un prototype.- Définir une méthode d'inférence d'un modèle de protocole à partir d'un jeu de données. Enfin, l'état de l'art montre que, par rapport aux systèmes d'information tertiaires, les systèmes d'information industriels disposent d'un besoin accru en surveillance et que le suivi d'état et plus globalement les méthodes de détection par comportement sont plus efficaces. Un focus sera donc fait sur les cas d'usage industriels. L'état de l'art sur les NIDS en général et sur la modélisation de protocole met en évidence la pertinence d'un suivi d'état et de positionner notre proposition de suivi d'état au sein d'un NIDS parmi les moteurs de détection d'anomalie par spécification de protocole (behavior-specification-based). Il a aussi permis d'identifier plusieurs langages de modélisation tels que les ASTD (Algebraic State Transition Diagrams), les Statecharts de Harel ou LOTOS. Une nouvelle méthode d'inférence d'un modèle de protocole est proposée. Elle consiste à dériver un modèle de protocole existant en le confrontant à un cas d'usage représenté par un jeu de données, afin de définir un nouveau modèle, spécialisé sur un cas d'usage. Un prototype a été développé et une expérimentation a été réalisée à l'aide du protocole POP3.Enfin, un paradoxe a été constaté lors de l'état de l'art: depuis près de 20 ans, la littérature scientifique sur les IDS s'est essentiellement concentrée sur les méthodes basées sur les anomalies et démontre des résultats bien meilleurs que les méthodes basées sur les signatures. Or actuellement sur le marché, il n'y a que très peu de solutions s'appuyant sur des méthodes basées sur les anomalies. Ainsi, de façon connexe aux objectifs principaux de la thèse, une étude complémentaire a été réalisée et propose trois nouveaux critères de comparaison des IDS qui pourraient expliquer la faible adoption des méthodes basées sur les anomalies : la qualité d'explication des moteurs de détection, la qualité et la richesse des bases de connaissances, la facilité d'utilisationThis thesis is positioned in the context of network intrusion detection systems (NIDS). It starts from the observation that the vast majority of NIDS have a static view of network exchanges: they analyze network packets without taking into account previous packet exchanges. This static view limits their ability to detect attacks that occur over time and involve multiple network packets. There are obviously NIDS capable of detecting attacks spread over several packets, but this is generally achieved using non-trivial tricks which, if not used correctly, can penalize the overall performance of the NIDS.This thesis then aims to partially overcome this limitation by adding state tracking capabilities of communication protocols to NIDS. Such state tracking would provide a context for each packet, thanks to a history of network exchanges in the form of coherent states within sessions of a communication protocol. In addition to the context of a packet, such state tracking of protocols would identify any deviation from the protocol model and thus detect anomalies.To explore this path, this thesis proposes to study the following two objectives:- Carry out a state of the art on NIDS and protocol modeling: similar works, identify languages, verify that state tracking is relevant. Experiment this path of protocol state tracking using a prototype.- Define a method of inferring a protocol model from a dataset.Finally, the state of the art shows that, compared to tertiary information systems, industrial information systems have an increased need for surveillance and that state tracking and more generally behavior detection methods are more effective. A focus will therefore be made on industrial use cases.The state of the art highlights the relevance of state monitoring and positions our state monitoring proposal within a NIDS among the anomaly detection engines by protocol specification (behavior-specification-based). It also identified several modeling languages such as ASTD (Algebraic State Transition Diagrams), Harel's Statecharts or LOTOS.A functional prototype of protocol state monitoring has been developed. It consists of an extension plugin for the open source NIDS Zeek. The industrial communication protocols ModbusTCP and ISO 60870-5-104 have been modeled. The modeling language used relies on Harel's Statecharts, notably using the standard SCXML format. Experimentations validated the proper functioning of state monitoring confirmed that any deviation from the model does indeed generate an anomaly and proposed additional context to the packet for the detection engine.A new method of inferring a protocol model is proposed. It consists of deriving an existing protocol model by confronting it with a use case represented by a dataset, in order to define a new model, specialized on a use case. A prototype was developed and an experiment was carried out using the POP3 protocol.Finally, a paradox was observed during the state of the art: for nearly 20 years, scientific literature on IDS has mainly focused on anomaly-based methods and demonstrates much better results than signature-based methods. But currently on the market, there are very few solutions based on anomaly-based methods. Thus, in connection with the main objectives of the thesis, a complementary study has been done and proposes three new IDS comparison criteria that could explain the low adoption of anomaly-based methods: the quality of explanation of detection engines, the quality and richness of knowledge bases and ease of use
28
Lourme, Olivier. "Détection d'intrusions réaliste dans les maisons connectées à l'aide d'indicateurs physiques volatiles." Electronic Thesis or Diss., Université de Lille (2022-....), 2023. http://www.theses.fr/2023ULILB024.
Full textAbstract:
Au sein de l'Internet des Objets, le secteur de la maison connectée est en plein essor. Pour quelques dizaines d'euros, chacun peut s'équiper de solutions domotiques intelligentes commandables à distance. Ces écosystèmes sont cela dit vulnérables à des attaques variées en raison A) d'une conception essentiellement guidée par le coût, générant des objets contraints sans implémentation de sécurité viable possible, B) de l'utilisation par ces objets de protocoles de communication sans-fil hétérogènes, dispersant les efforts de sécurisation, et C) de la gestion de ces objets par des consommateurs non-experts, adeptes du « setup and forget ».Contrairement à l'informatique traditionnelle où les solutions de protection sont répandues, nous faisons le constat de l'absence de proposition commerciale équivalente dans la maison connectée. Dans cette thèse, nous nous interrogeons sur les conditions de l'adoption à grande échelle de solutions de sécurité de type Systèmes de Détection d'Intrusion (IDS), visant à protéger les objets contraints déjà déployés. Ainsi, une première contribution recense les caractéristiques des maisons connectées pour les croiser avec des taxonomies d'IDS, afin de proposer les critères qualitatifs d'une solution de sécurité domestique réaliste.Par la suite, afin de faciliter la conception d'IDS, une deuxième contribution met à disposition de la communauté scientifique un jeu de données Zigbee, participant à la fourniture d'outils couvrant les principaux protocoles de la maison connectée. Toutes les trames échangées par 10 objets pendant 10 jours ont été capturées par 4 sondes distribuées dans un domicile-test. Des attaques ont été introduites afin d'établir et comparer différentes stratégies de détection. Outre une redondance des données de couche MAC, le jeu de données tire son originalité de l'extraction par chaque sonde du RSSI (Received Signal Strength Indicator) de chaque trame. Cette grandeur de couche physique, accessible à peu de frais dans les technologies sans-fil, permet de participer à l'identification de nœuds fixes. Par la suite, on peut imaginer d'identifier robustement chaque objet par une empreinte de couche physique faite d'un tuple de RSSI, complexe à imiter par un attaquant.Enfin, dans une troisième contribution, nous exploitons le jeu de données pour proposer un IDS détectant les attaques d'usurpation d'identité, favorisées par le fait que des piles de protocoles n'intègrent que peu ou pas d'authentification sur leur couche MAC. Pour les détecter, la cohérence de l'identifiant de couche MAC et de l'empreinte précédente à base de RSSI peut être considérée mais ce n'est plus possible quand les environnements sont sans cesse redessinés par les habitants qui y évoluent, les RSSI devenant volatiles. En fournissant des séries temporelles de RSSI en entrée d'un algorithme d'apprentissage non supervisé, nous établissons pour chaque couple (objet, sonde) un modèle des séquences RSSI normales. Les déviations par rapport au modèle permettent de détecter une attaque. Les métriques de détection obtenues, très intéressantes en regard de la faible complexité de l'architecture initiale envisagée, ainsi que les évaluations de l'autonomie et du coût de la solution laissent entrevoir une diffusion de tels systèmes dans les maisons connectéesWithin the Internet of Things, the smart home sector is booming. For a few tens of euros, everyone can be equipped with smart-home automation solutions that can be controlled remotely. However, these ecosystems are vulnerable to various attacks due to A) an essentially cost-driven design, generating constrained devices with too few resources for viable security implementations, B) the use by these devices of multiple wireless communication protocols, dispersing security efforts, and C) the management of these devices by non-expert consumers, following a “setup and forget” policy.Unlike traditional IT where protection solutions are widespread, we note the absence of an equivalent commercial proposal in smart-home environments. In this thesis, we question the conditions for a large-scale adoption of security solutions such as Intrusion Detection Systems (IDS), aiming at protecting constrained devices already deployed. Thus, a first contribution identifies the characteristics of smart homes to cross them with IDS taxonomies, in order to propose the qualitative criteria of a realistic domestic security solution.Subsequently, in order to facilitate the design of IDS, a second contribution provides the scientific community with a Zigbee dataset, participating to the availability of tools covering the main protocols found in smart homes. All the frames exchanged by 10 devices during 10 days were captured by 4 probes distributed in a test house. Attacks have been introduced in order to establish and compare different detection strategies. In addition to MAC layer data redundancy, the dataset derives its originality from the extraction by each probe of the RSSI (Received Signal Strength Indicator) of each frame. This physical layer feature, accessible easily in most wireless technologies, allows to participate to the identification of fixed nodes. Later, one can imagine identifying each device more robustly by a physical layer fingerprint made of a tuple of several RSSIs, a complex combination to imitate by an attacker.Finally, in a third contribution, we exploit the dataset to propose several IDSs detecting spoofing attacks, favored by the fact that several protocol stacks integrate little or no authentication on their MAC layer. To detect them, the consistency of the MAC layer identifier and the previous RSSI-based fingerprint can be considered, but this is no longer possible when the environments are constantly redrawn by the evolving inhabitants, as the RSSI becomes volatile. By providing RSSI time series as input to an unsupervised learning algorithm, we establish for each (device, probe) pair a model of normal RSSI sequences. Deviations from this model help detect an attack. The obtained detection metrics, which are very interesting given the low complexity of the initial considered architecture, as well as the evaluations of the autonomy and cost of the solution, suggest the spread of such systems in smart homes
29
Zribi, Rimeh. "Approche logique pour l'analyse de traces d'exécutions." Thesis, Université Laval, 2013. http://www.theses.ulaval.ca/2013/29873/29873.pdf.
Full textAbstract:
Les techniques traditionnelles de détection d'intrusions s'appuient sur différentes approches
permettant d'identifier une utilisation non prévue et non autorisée de différentes ressources
d'un système informatique. Afinn de détecter ces comportements, nous décrivons dans ce mémoire
une approche logique de détection d'intrusions basée sur l'identification, dans des traces
d'exécutions, de violations de politiques de sécurité données. Le modèle développé spécifie
l'état des ressources d'un système ainsi que les effets des différents appels système sur cet
état. Le système obtenu, qui s'apparente à un système expert, s'appuie sur un ensemble de
règles logiques décrivant les connaissances d'un expert en sécurité informatique. Tout comportement
illégal, c'est-à-dire non conforme aux politiques de sécurité considérées, est signalé
et est considéré comme une tentative d'intrusion. Le système implémenté est capable de détecter
une large classe d'attaques puisque l'approche développée ne se base pas sur certaines
séquences particulières d'actions déjà recensées, mais plutôt sur les effets des différentes actions
effectuées. De plus, il est capable de détecter de nouveaux comportements malveillants
non préalablement identifiés.Traditional techniques for intrusion detection based on different approaches for identifying unintended and unauthorized use of dfferent resources of a computer system. To detect these behaviors, we describe in this paper a logical approach to intrusion detection based on the identification, in execution traces, of violations of given security policies. The developed model specifies the state of system resources as well as the effects of different system calls on this state. The resulting system, which is similar to an expert system, relies on a set of logical rules describing the knowledge of an expert in computer security. Any illegal behavior, that means not conform to the considered security policies, is reported and is considered as an intrusion attempt. The implemented system is able to detect a wide class of attacks since the approach is not based on some particular sequences of actions already identified, but rather on the effects of different actions performed. In addition, it is able to detect new malicious behavior not previously identified.
30
Waly, Hashem. "Automated Fault Identification - Kernel Trace Analysis." Thesis, Université Laval, 2011. http://www.theses.ulaval.ca/2011/28246/28246.pdf.
Full text
31
Angoustures, Mark. "Extraction automatique de caractéristiques malveillantes et méthode de détection de malware dans un environnement réel." Electronic Thesis or Diss., Paris, CNAM, 2018. http://www.theses.fr/2018CNAM1221.
Full textAbstract:
Pour faire face au volume considérable de logiciels malveillants, les chercheurs en sécurité ont développé des outils dynamiques automatiques d’analyse de malware comme la Sandbox Cuckoo. Ces types d’analyse sont partiellement automatiques et nécessite l’intervention d’un expert humain en sécurité pour détecter et extraire les comportements suspicieux. Afin d’éviter ce travail fastidieux, nous proposons une méthodologie pour extraire automatiquement des comportements dangereux données par les Sandbox. Tout d’abord, nous générons des rapports d’activités provenant des malware depuis la Sandbox Cuckoo. Puis, nous regroupons les malware faisant partie d’une même famille grâce à l’algorithme Avclass. Cet algorithme agrège les labels de malware donnés par VirusTotal. Nous pondérons alors par la méthode TF-IDF les comportements les plus singuliers de chaque famille de malware obtenue précédemment. Enfin, nous agrégeons les familles de malware ayant des comportements similaires par la méthode LSA.De plus, nous détaillons une méthode pour détecter des malware à partir du même type de comportements trouvés précédemment. Comme cette détection est réalisée en environnement réel, nous avons développé des sondes capables de générer des traces de comportements de programmes en exécution de façon continue. A partir de ces traces obtenues, nous construisons un graphe qui représente l’arbre des programmes en exécution avec leurs comportements. Ce graphe est mis à jour de manière incrémentale du fait de la génération de nouvelles traces. Pour mesurer la dangerosité des programmes, nous exécutons l’algorithme PageRank thématique sur ce graphe dès que celui-ci est mis à jour. L’algorithme donne un classement de dangerosité des processus en fonction de leurs comportements suspicieux. Ces scores sont ensuite reportés sur une série temporelle pour visualiser l’évolution de ce score de dangerosité pour chaque programme. Pour finir, nous avons développé plusieurs indicateurs d’alertes de programmes dangereux en exécution sur le systèmeTo cope with the large volume of malware, researchers have developed automatic dynamic tools for the analysis of malware like the Cuckoo sandbox. This analysis is partially automatic because it requires the intervention of a human expert in security to detect and extract suspicious behaviour. In order to avoid this tedious work, we propose a methodology to automatically extract dangerous behaviors. First of all, we generate activity reports from malware from the sandbox Cuckoo. Then, we group malware that are part of the same family using the Avclass algorithm. We then weight the the most singular behaviors of each malware family obtained previously. Finally, we aggregate malware families with similar behaviors by the LSA method.In addition, we detail a method to detect malware from the same type of behaviors found previously. Since this detection isperformed in real environment, we have developed probes capable of generating traces of program behaviours in continuous execution. From these traces obtained, we let’s build a graph that represents the tree of programs in execution with their behaviors. This graph is updated incrementally because the generation of new traces. To measure the dangerousness of programs, we execute the personalized PageRank algorithm on this graph as soon as it is updated. The algorithm gives a dangerousness ranking processes according to their suspicious behaviour. These scores are then reported on a time series to visualize the evolution of this dangerousness score for each program. Finally, we have developed several alert indicators of dangerous programs in execution on the system
32
Palisse, Aurélien. "Analyse et détection de logiciels de rançon." Thesis, Rennes 1, 2019. http://www.theses.fr/2019REN1S003/document.
Full textAbstract:
La thèse s'intéresse aux logiciels de rançon, présente une plateforme d'analyse automatique et propose des contre-mesures. Nos contre-mesures sont conçues pour être temps réel et déployées sur une machine, c'est-à-dire ''End-Hosts''. En 2013 les logiciels de rançon font de nouveau parler d'eux, pour finalement devenir une des menaces les plus sérieuses à partir de 2015. Un état de l'art détaillé des contre-mesures existantes est fourni. On peut ainsi situer les contributions de cette thèse par rapport à la littérature. Nous présentons également une plateforme d'analyse automatique de logiciels malveillants composée de machines nues. L'objectif est de ne pas altérer le comportement des échantillons analysés. Une première contre-mesure basée sur l'utilisation d'une librairie cryptographique par les logiciels de rançon est proposée. Celle-ci peut être facilement contournée. Nous proposons donc une seconde contre-mesure générique et agnostique. Cette fois, des indicateurs de compromission sont utilisés pour analyser le comportement des processus sur le système de fichiers. Nous détaillons comment de manière empirique nous avons paramétré cette contre-mesure pour la rendre~: utilisable et efficace. Un des challenges de cette thèse étant de faire concilier performance, taux de détection et un faible taux de faux positifs. Enfin, les résultats d'une expérience utilisateur sont présentés. Cette expérience analyse le comportement des utilisateurs face à une menace. En dernière partie, nous proposons des améliorations à nos contributions mais aussi des pistes à explorerThis phD thesis takes a look at ransomware, presents an autonomous malware analysis platform and proposes countermeasures against these types of attacks. Our countermeasures are real-time and are deployed on a machine (i.e., end-hosts). In 2013, the ransomware become a hot subject of discussion again, before becoming one of the biggest cyberthreats beginning of 2015. A detailed state of the art for existing countermeasures is included in this thesis. This state of the art will help evaluate the contribution of this thesis in regards to the existing current publications. We will also present an autonomous malware analysis platform composed of bare-metal machines. Our aim is to avoid altering the behaviour of analysed samples. A first countermeasure based on the use of a cryptographic library is proposed, however it can easily be bypassed. It is why we propose a second generic and agnostic countermeasure. This time, compromission indicators are used to analyse the behaviour of process on the file system. We explain how we configured this countermeasure in an empiric way to make it useable and effective. One of the challenge of this thesis is to collate performance, detection rate and a small amount of false positive. To finish, results from a user experience are presented. This experience analyses the user's behaviour when faced with a threat. In the final part, I propose ways to enhance our contributions but also other avenues that could be explored
33
Angoustures, Mark. "Extraction automatique de caractéristiques malveillantes et méthode de détection de malware dans un environnement réel." Thesis, Paris, CNAM, 2018. http://www.theses.fr/2018CNAM1221.
Full textAbstract:
Pour faire face au volume considérable de logiciels malveillants, les chercheurs en sécurité ont développé des outils dynamiques automatiques d’analyse de malware comme la Sandbox Cuckoo. Ces types d’analyse sont partiellement automatiques et nécessite l’intervention d’un expert humain en sécurité pour détecter et extraire les comportements suspicieux. Afin d’éviter ce travail fastidieux, nous proposons une méthodologie pour extraire automatiquement des comportements dangereux données par les Sandbox. Tout d’abord, nous générons des rapports d’activités provenant des malware depuis la Sandbox Cuckoo. Puis, nous regroupons les malware faisant partie d’une même famille grâce à l’algorithme Avclass. Cet algorithme agrège les labels de malware donnés par VirusTotal. Nous pondérons alors par la méthode TF-IDF les comportements les plus singuliers de chaque famille de malware obtenue précédemment. Enfin, nous agrégeons les familles de malware ayant des comportements similaires par la méthode LSA.De plus, nous détaillons une méthode pour détecter des malware à partir du même type de comportements trouvés précédemment. Comme cette détection est réalisée en environnement réel, nous avons développé des sondes capables de générer des traces de comportements de programmes en exécution de façon continue. A partir de ces traces obtenues, nous construisons un graphe qui représente l’arbre des programmes en exécution avec leurs comportements. Ce graphe est mis à jour de manière incrémentale du fait de la génération de nouvelles traces. Pour mesurer la dangerosité des programmes, nous exécutons l’algorithme PageRank thématique sur ce graphe dès que celui-ci est mis à jour. L’algorithme donne un classement de dangerosité des processus en fonction de leurs comportements suspicieux. Ces scores sont ensuite reportés sur une série temporelle pour visualiser l’évolution de ce score de dangerosité pour chaque programme. Pour finir, nous avons développé plusieurs indicateurs d’alertes de programmes dangereux en exécution sur le systèmeTo cope with the large volume of malware, researchers have developed automatic dynamic tools for the analysis of malware like the Cuckoo sandbox. This analysis is partially automatic because it requires the intervention of a human expert in security to detect and extract suspicious behaviour. In order to avoid this tedious work, we propose a methodology to automatically extract dangerous behaviors. First of all, we generate activity reports from malware from the sandbox Cuckoo. Then, we group malware that are part of the same family using the Avclass algorithm. We then weight the the most singular behaviors of each malware family obtained previously. Finally, we aggregate malware families with similar behaviors by the LSA method.In addition, we detail a method to detect malware from the same type of behaviors found previously. Since this detection isperformed in real environment, we have developed probes capable of generating traces of program behaviours in continuous execution. From these traces obtained, we let’s build a graph that represents the tree of programs in execution with their behaviors. This graph is updated incrementally because the generation of new traces. To measure the dangerousness of programs, we execute the personalized PageRank algorithm on this graph as soon as it is updated. The algorithm gives a dangerousness ranking processes according to their suspicious behaviour. These scores are then reported on a time series to visualize the evolution of this dangerousness score for each program. Finally, we have developed several alert indicators of dangerous programs in execution on the system
34
Duraz, Robin. "Trustable machine learning for intrusion detection systems." Electronic Thesis or Diss., Ecole nationale supérieure Mines-Télécom Atlantique Bretagne Pays de la Loire, 2024. https://theses.hal.science/tel-04929212.
Full textAbstract:
Les systèmes de détection d'intrusion sont des composants essentiels à la défense de notre écosystème numérique. Récemment, les avancées en apprentissage automatique ont permis de développer de nouveaux types de système de détection d'intrusion, permettant de s'éloigner du besoin de créer des règles de détection de plus en plus complexes. Ces systèmes de détection utilisant l'apprentissage automatique sont capables d'apprendre de façon autonome différents comportements, à la condition d'avoir un jeu de données bien calibré. Le contexte de la cybersécurité amène des besoins spécifiques, des besoins qui sont différents des tâches d'apprentissage automatique les plus courantes : la reconnaissance d'images et le traitement du langage. Cela implique qu'il faut adapter les différents procédés utilisés en apprentissage automatique pour répondre à ces attentes. Étant dans un environnement ayant d'importants enjeux, les systèmes de détection d'intrusion devraient plutôt être utilisés pour aider à la prise de décisions, mais cela reste essentiel de pouvoir leur faire confiance. De ce fait, dans cette thèse, nous avons dans un premier temps développé une nouvelle métrique basée sur les scores CVSS, permettant d'intégrer des connaissances de cybersécurité dans le processus d'évaluation des systèmes de détection d'intrusion. Nous nous sommes ensuite concentrés sur le besoin de comprendre des décisions qui ne sont pas compréhensibles. Même si le domaine de l'explicabilité n'est pas assez avancé pour correctement expliquer ces décisions, cela reste possible de vérifier la confiance en celles-ci d'une façon plus robuste, amenant à examiner ou corriger d'éventuelles erreurs. Finalement, nous nous sommes efforcés de compléter les approches existantes en utilisant des techniques d'apprentissage automatique récentes pour augmenter la capacité à détecter de nouvelles cyberattaques. Toutes ces méthodes contribuent donc à créer des systèmes de détection d'intrusion utilisant l'apprentissage automatique qui sont plus fiablesIntrusion detection systems are essentiel components to defend our digital ecosystem. Recently, the advent of machine learning allowed to develop new types of intrusion detection systems, breaking away from the need to carefully craft more and more complex detection rules. These detection systems based on machine learning are able to autonomously learn to recognize different behaviors, given a sufficiently well designed dataset. The context of cybersecurity brings specific requirements to the task at hand, requirements that are different from machine learning's most developed tasks: image recognition and natural language processing. This implies adapting the different mechanisms employed in machine learning to cater to these requirements. Being used in a high stake environment, intrusion detection systems should be used to help in decision-making, yet it is still fundamental to be able to trust them. Therefore, in this thesis, we first developed a new metric based on CVSS scores, allowing to integrate cybersecurity knowledge into the evaluation process of intrusion detection systems. We then focused on how to increase confidence in otherwise incomprehensible decisions. While explainability has yet to be mature enough to properly explain decisions, it can still allow to check the confidence in the decision in a more robust way, leading to investigate or correct mistakes. Finally, we endeavored to complement current approaches, by increasing the ability to detect and differentiate new cyberattacks, leveraging novel machine learning techniques. All these methods thus contribute in making intrusion detection systems based on machine learning more trustable
35
Demay, Jonathan-Christofer. "Génération et évaluation de mécanismes de détection des intrusions au niveau applicatif." Phd thesis, Université Rennes 1, 2011. http://tel.archives-ouvertes.fr/tel-00659694.
Full textAbstract:
Le chapitre 2 présente la première partie importante de nos travaux : l'approche pour la détection que nous proposons. Nous avons tout d'abord expliqué les caractéristiques des attaques contre les données de calcul et en quoi ces dernières se distinguent des autres types d'attaque. Ceci nous a notamment permis de montrer que pour perpétuer une intrusion, un utilisateur malveillant va chercher à cibler un ensemble bien précis de données de calcul. À l'aide de la logique de Hoare, nous avons ensuite expliqué que le code source des applications peut contenir des informations qui peuvent être utilisées pour détecter ce type bien précis d'attaque. Nous avons détaillé cela sur un exemple d'exploitation de vulnérabilité. Puis, nous avons présenté notre modèle de détection. Nous l'avons tout d'abord présenté empiriquement sur un cas réel d'attaques contre les données de calcul. Pour cela, nous avons détaillé la vulnérabilité utilisée dans notre exemple ainsi que les différents scénarios d'attaque et comment des invariants portant sur certaines variables permettent de détecter ces attaques. Enfin, nous avons présenté formellement notre modèle de détection. Celui-ci correspond à l'ensemble des domaines de variation des variables qui influencent l'exécution des appels de fonction. Ces domaines de variation sont calculés juste avant les appels de fonction et uniquement pour les variables qui sont atteignables à ces endroits du code source. Nous avons ensuite présenté une méthode pour construire un tel modèle. Premièrement, nous proposons d'utiliser le graphe de dépendance du programme pour déterminer pour chaque appel de fonction l'ensemble des variables qui influencent son exécution. Deuxièmement, nous proposons d'utiliser l'interprétation abstraite pour calculer pour chacun de ces ensembles de variables leur domaine de variation. Pour finir, nous présentons une implémentation de notre approche que nous avons réalisée pour les programmes écrits en langage C. Nous détaillons d'abord la phase de construction du modèle qui repose sur un outil d'analyse statique existant, Frama-C. Nous détaillons ensuite la phase d'instrumentation, celle-ci ayant pour contrainte de ne pas modifier le processus original de compilation. Le chapitre 3 présente la seconde partie importante de nos travaux : l'approche pour l'évaluation que nous proposons. Nous commençons par aborder la problématique de la simulation des erreurs engendrées par les attaques contre les données de calcul. Pour cela, nous présentons d'abord le modèle de faute que nous proposons pour simuler ce type bien particulier d'attaques. Nous étudions les caractéristiques qui doivent être simulées, quel sera leur impact sur le programme et dans quel cas ces dernières peuvent être détectées. Nous expliquons ensuite comment nous proposons de construire notre modèle de simulation. La principale problématique ici est de savoir comment déterminer l'ensemble des cibles potentielles. Il s'agit du même ensemble de variables que pour la détection. Nous proposons donc à nouveau de nous reposer sur le graphe de dépendance du programme et d'embarquer les mécanismes d'injection au sein des applications. Nous expliquons ensuite comment notre modèle de faute peut être utilisé pour l'évaluation d'un système de détection d'intrusion. Nous posons comme objectif que le résultat obtenu doit être une sur-approximation du taux de faux négatifs réel. Cela implique que nous voulons placer le système de détection d'intrusion à évaluer dans la situation la moins favorable possible. Pour respecter cette contrainte, nous montrons que notre modèle de faute doit être utilisé pour simuler une intrusion qui ne nécessite qu'une seule exploitation de la vulnérabilité, que la vulnérabilité donne accès à l'ensemble de l'espace mémoire du processus et que l'exploitation ne vise qu'une seule variable. Nous présentons enfin les modifications que nous avons apportées à notre outil afin qu'il instrumente aussi les programmes pour l'injection et comment les mécanismes d'injection ainsi ajoutés doivent être utilisés. Le chapitre 4 présente la dernière partie de nos travaux : l'évaluation de notre système de détection d'intrusion, notamment à l'aide de notre modèle de simulation d'attaque. Nous commençons par présenter la plateforme de tests que nous avons développée autour de nos mécanismes d'injection. Il s'agit d'une plateforme qui automatise la réalisation de tests ainsi que l'analyse des résultats obtenus. Nous abordons tout d'abord les problématiques d'écriture des scénarios d'exécution et de collecte des informations. Les scénarios doivent permettre de couvrir suffisamment le code des programmes utilisés pour les tests. Nous avons choisi de mesurer ce taux de couverture en fonction des appels de fonction. Les informations collectées sont utilisées pour produire deux résultats : une sur-approximation du taux réel de faux négatifs et une évaluation du taux de détection pour les injections ayant provoqué une déviation comportementale. Pour finir, nous présentons les résultats de l'évaluation de notre système de détection d'intrusion. Nous commençons par donner les performances de l'analyse. On note que la durée d'analyse peut être très grande, notamment en fonction de la taille du code à analyser, mais qu'en fonction de la sémantique du code, deux programmes de taille similaire peuvent présenter des durées d'analyse complètement différentes. Puis, nous donnons le niveau de surcharge à l'exécution. On note que la surcharge induite par nos mécanismes de détection est très faible, toujours inférieure à 1%. Nous continuons avec les performances de la détection. Nous pouvons voir que les résultats de la détection varient grandement d'un programme à l'autre, malgré un taux d'instrumentation similaire. Ce qui change, c'est le nombre d'invariants vérifiés. On voit ici la limite de notre approche : si la sémantique du code original ne permet pas de calculer suffisamment d'invariants, l'efficacité de notre approche sera alors limitée. De plus, la propagation de l'erreur n'apporte que peu d'aide à notre modèle de détection. Dans tous les cas, nous avons pu vérifier que notre approche ne génère bien pas de faux positif.
36
Demay, Jonathan-Christofer. "Génération et évaluation de mécanismes de détection des intrusions au niveau applicatif." Phd thesis, Rennes 1, 2011. http://www.theses.fr/2011REN1S050.
Full textAbstract:
La plupart des mécanismes de détection des anomalies au niveau applicatif reposent sur la détection de la déviation du flot de contrôle d'un programme. Bien souvent, pour détecter cela, le mécanisme repose sur les séquences d'appels système des applications. Cependant, ces méthodes ne permettent pas de détecter les attaques par imitation ou bien les attaques qui modifient les paramètres des appels système. De telles attaques peuvent être réalisées en ciblant les données de calcul utilisées par les processus. Pour compléter ces mécanismes de détection, nous proposons une approche pour détecter la corruption de données de calcul qui influencent l'exécution des appels système. Cette approche repose sur la construction d'un modèle de comportement orienté autour des données et construit par analyse statique du code source. Nous avons implémenté notre approche pour les programmes écrits en langage C. Cette implémentation est utilisée pour illustrer la faisabilité de notre approche sur plusieurs exemples. Pour évaluer plus en détails notre mécanisme de détection, nous proposons aussi une approche pour la simulation d'attaques contre les données de calcul. Cette approche repose sur un modèle de faute qui reproduit l'état interne d'une application après ce type d'attaque. Nous avons implémenté une plateforme d'évaluation en combinant notre modèle de faute avec un mécanisme d'injection en mémoire. Cette plateforme est utilisée pour réaliser une campagne d'injections sur deux exemples afin d'évaluer les capacitées de détection de notre modèle orienté autour des donnéesLa plupart des mécanismes de détection des anomalies au niveau applicatif reposent sur la détection de la déviation du flot de contrôle d'un programme. Bien souvent, pour détecter cela, le mécanisme repose sur les séquences d'appels système des applications. Cependant, ces méthodes ne permettent pas de détecter les attaques par imitation ou bien les attaques qui modifient les paramètres des appels système. De telles attaques peuvent être réalisées en ciblant les données de calcul utilisées par les processus. Pour compléter ces mécanismes de détection, nous proposons une approche pour détecter la corruption de données de calcul qui influencent l'exécution des appels système. Cette approche repose sur la construction d'un modèle de comportement orienté autour des données et construit par analyse statique du code source. Nous avons implémenté notre approche pour les programmes écrits en langage C. Cette implémentation est utilisée pour illustrer la faisabilité de notre approche sur plusieurs exemples. Pour évaluer plus en détails notre mécanisme de détection, nous proposons aussi une approche pour la simulation d'attaques contre les données de calcul. Cette approche repose sur un modèle de faute qui reproduit l'état interne d'une application après ce type d'attaque. Nous avons implémenté une plateforme d'évaluation en combinant notre modèle de faute avec un mécanisme d'injection en mémoire. Cette plateforme est utilisée pour réaliser une campagne d'injections sur deux exemples afin d'évaluer les capacitées de détection de notre modèle orienté autour des données
37
Monzer, Mohamad-Houssein. "Model-based IDS design pour ICS." Thesis, Université Grenoble Alpes, 2020. http://www.theses.fr/2020GRALT056.
Full textAbstract:
Les systèmes industriels présentent des risques de sécurité liés à leurs vulnérabilités informatiques. Ces systèmes, répartis dans le monde, continuent d'être la cible d'attaques. Bien que les systèmes industriels partagent des vulnérabilités communes avec les systèmes informatiques, ils ont tendance à avoir plus de contraintes en raison de l'interaction entre les systèmes cyber et physiques.Les systèmes de détection d'intrusion donnent une visibilité au système et sont considérés comme l'une des solutions pour détecter les attaques ciblées. Il semble donc pertinent de s'appuyer sur un modèle physique du système cyber-physique pour obtenir un système de détection d'intrusion (IDS) pour les systèmes industriels. La plupart des IDS sont basés sur des règles qui définissent comment les attaques possibles sont détectées. Ces règles sont généralement utilisées pour décrire les scénarios d'attaque possibles sur les systèmes ou pour décrire le comportement normal du système. Cependant, la création et la maintenance manuels des règles pour un système complexe peuvent s'avérer être une tâche très difficile.Cette thèse propose une solution pour modéliser ICS et concevoir des IDS spécifiques pour les systèmes industriels. Un générateur de règles IDS basé sur un modèle est encore proposé, qui convertit un modèle de système en règles IDS basées sur des anomalies. Enfin, l'efficacité des règles générées est évaluéeIndustrial systems present security risks related to their IT vulnerabilities. These systems, spread over the world, continue to be targets of attacks. While Industrial systems share common vulnerabilities with IT systems, they tend to have more constraints due to the interaction between cyber and physical systems.Intrusion detection systems give visibility to the system and are considered as one of the solutions to detect targeting attacks. Hence, it seems relevant to rely on a physical model of the cyber-physical system to obtain an intrusion detection system (IDS) for industrial systems. Most IDSs are based on rules that define how possible attacks are detected. These rules are generally used to either describe possible attack scenarios on the systems or used to describe the normal system behavior of the system. However, manually creating and maintaining rules for a complex system can prove to be a very tedious and difficult task.This thesis proposes a solution to model ICS and to design specific IDS for industrial systems. A model-based IDS rule generator is also proposed, which converts a system model into anomaly-based IDS rules. Finally, the effectiveness of the generated rules is evaluated
38
Moussaileb, Routa. "Log analysis for malicious software detection." Thesis, Ecole nationale supérieure Mines-Télécom Atlantique Bretagne Pays de la Loire, 2020. http://www.theses.fr/2020IMTA0211.
Full textAbstract:
Les rançongiciels demeurent la menace informatique principale pour les particuliers, les entreprises et les gouvernements. Les conséquences de ces attaques peuvent causer des pertes irréversibles si les exigences des attaquants ne sont pas satisfaites à temps. Cette thèse cible les rançongiciels Windows. Ils affectent les données des utilisateurs sauvegardées sur les ordinateurs ainsi que de nombreux services publics. Quatre étapes de l’attaque des rançongiciels sont définies : infection, déploiement, destruction et transaction. Les contre-mesures sont regroupées selon les techniques utilisées et attribuées à chaque phase de l'attaque. Cette thèse présente trois contributions. Le premier mécanisme de détection est situé dans la couche du système de fichiers. Il est basé sur la traversée du système qui permet d’exposer les comportements malveillants. Cette thèse propose également une analyse du trafic réseau. Les échantillons sont collectés pour une détection au niveau des paquets. Une étude des notes de rançon est faite pour situer la contre-mesure réseau dans l'étape appropriée de l’intrusion. La dernière contribution donne un aperçu des attaques, particulièrement des Doxware. Un modèle de quantification qui explore le système de fichiers Windows à la recherche de données importantes est présenté et complémenté par les pots de miels pour protéger les fichiers sensibles. Enfin, cette thèse offre des perspectives permettant d'établir un meilleur plan d’action pour les chercheursRansomware remains the number one cyberthreat for individuals, enterprises, and governments. Malware’s aftermath can cause irreversible casualties if the requirements of the attackers are not met in time. This thesis targets Windows ransomware. It affects users’ data and undermines many public services. Four stages of this malware attack are defined: delivery, deployment, destruction, and dealing. The corresponding countermeasures are assigned to each phase of the attack and clustered according to the techniques used. This thesis presents three contributions. The first detection mechanism is located in the file system layer. It is based on the system traversal that is sufficient to highlight the malicious behavior. This thesis proposes also an analysis of the network traffic. It is generated by collected ransomware samples to perform a packet-level detection. A study of the ransom notes is made to define where it takes place in a ransomware workflow. The last contribution provides an insight into plausible attacks, especially Doxware. A quantification model that explores the Windows file system in search of valuable data is presented. It is based on the term frequency-inverse document frequency solution provided in the literature for information retrieval. Honeypot techniques are also used to protect the sensitive files of the users. Finally, this thesis provides future perspectives granting a better roadmap for researchers
39
Savary, Aymerick. "Détection de vulnérabilités appliquée à la vérification de code intermédiaire de Java Card." Thèse, Université de Sherbrooke, 2016. http://hdl.handle.net/11143/9584.
Full textAbstract:
La vérification de la résistance aux attaques des implémentations embarquées des vérifieurs de code intermédiaire Java Card est une tâche complexe. Les méthodes actuelles n'étant pas suffisamment efficaces, seule la génération de tests manuelle est possible. Pour automatiser ce processus, nous proposons une méthode appelée VTG (Vulnerability Test Generation, génération de tests de vulnérabilité). En se basant sur une représentation formelle des comportements fonctionnels du système sous test, un ensemble de tests d'intrusions est généré. Cette méthode s'inspire des techniques de mutation et de test à base de modèle. Dans un premier temps, le modèle est muté selon des règles que nous avons définies afin de représenter les potentielles attaques. Les tests sont ensuite extraits à partir des modèles mutants. Deux modèles Event-B ont été proposés. Le premier représente les contraintes structurelles des fichiers d'application Java Card. Le VTG permet en quelques secondes de générer des centaines de tests abstraits. Le second modèle est composé de 66 événements permettant de représenter 61 instructions Java Card. La mutation est effectuée en quelques secondes. L'extraction des tests permet de générer 223 tests en 45 min. Chaque test permet de vérifier une précondition ou une combinaison de préconditions d'une instruction. Cette méthode nous a permis de tester différents mécanismes d'implémentations de vérifieur de code intermédiaire Java Card. Bien que développée pour notre cas d'étude, la méthode proposée est générique et a été appliquée à d'autres cas d'études.
40
Amoordon, Andy. "Méthodes de détection d'attaques cybernétiques par une surveillance multicouches de communication." Electronic Thesis or Diss., Université de Lille (2022-....), 2022. http://www.theses.fr/2022ULILN042.
Full textAbstract:
Les réseaux sans-fil sont de plus en plus utilisés. La popularité de ces réseaux est due au fait que ces réseaux permettent de créer, modifier et étendre facilement un réseau informatique. Les réseaux sans-fil sont également particulièrement nécessaires pour relier des équipements mobiles tels que des montres connectées, voitures connectées, drones. Les réseaux sans-fil sont également utilisés dans le secteur du transport et de la sécurité pour relier les trains avec le centre de contrôle ou les caméras avec le centre d'enregistrement. Toutefois, contrairement aux réseaux filaires, dans les réseaux sans-fil, les transmissions ne sont pas isolées dans des câbles, mais transmises en utilisant généralement des antennes omnidirectionnelles. Pour ces raisons, il est plus facile d'écouter et d'émettre sans autorisation sur ces réseaux - les rendent ainsi plus vulnérables à certains types d'attaques. Dans cette thèse, nous nous sommes intéressés à la détection des trois différentes attaques sur les réseaux sans-fil IEEE 802.11 (Wi-Fi). Les trois attaques sont l'attaque par faux point d'accès et deux attaques de déni de service : notamment l'attaque par déauthentication et l'attaque par brouillage. Dans la littérature scientifique, les méthodes existantes proposent de détecter ces attaques de manière isolée et en analysant uniquement un ou deux indicateurs.Nous proposons une méthode utilisant des algorithmes de classification pour créer un modèle, capable de détecter les trois attaques en analysant quatre indicateurs simultanément. Le modèle peut également détecter les attaques lorsqu'elles sont réalisées de manière indépendante ou lorsqu'elles sont cumulées entre elles. Concernant les données utilisées pour créer le modèle, sur les trois types de trames qui peuvent être émis sur un réseau Wi-Fi, nous avons considéré exclusivement, les trames de gestion et plus particulièrement les trames de beacon. Les trames de beacon sont régulièrement émises même en l'absence de trafic utilisateur, ce qui rend le modèle plus efficace. Nous avons aussi considéré des variations concernant le débit du réseau (absence de trafic, trafic léger, moyen et intense) et la puissance du signal de brouillage (puissance forte, moyenne et faible). Les résultats montrent que le modèle arrive à détecter les attaques par faux point d'accès, par déauthentication, par brouillage (faible et moyenne puissance) avec grande précision et l'attaque par brouillage de forte puissance, avec une précision satisfaisante. Nous avons pu nettement augmenter la précision de détection de cette dernière variation en prenant en compte les trames de beacon d'un deuxième point d'accès éloigné du réseau. Enfin, nous avons aussi considéré le cas particulier des transmissions Wi-Fi sur la bande 5 GHz et les faux points d'accès fantômesWireless networks are nowadays indispensable components of telecommunication infrastructures. They offer flexibility, mobility and rapid expansion of telecommunication infrastructures. They are also particularly needed to connect mobile devices such as connected cars, watches and drones. Wireless networks are also used in the transport and security sector to connect trains and cameras to monitoring systems. However, in contrary to wired networks in which transmission are isolated in wires, in wireless networks, transmissions are emitted using omnidirectional antennas. This makes wireless networks more vulnerable to unauthorised listening, emission and some specific attacks. In this thesis, we have worked on the detection of three different types of attacks on IEEE 802.11 (Wi-Fi) networks. The three attacks are fake access points and two denial of service attacks namely, deauthentication and jamming attacks. In scientific literature, these three attacks are detected independently and using one or two indicators.We propose a method that uses classification algorithms to create a model that can detect the three attacks by analysing four indicators simultaneously. The model can detect the attacks when they are perpetuated independently and also when they are combined. Concerning data used to create the model, among the three different types of frames that can be transmitted on Wi-Fi networks, we have considered only management frames and more particularly, beacon frames. Beacon frames are sent at regular interval and even in the absence of user traffic. Therefore, basing the detection on the analysis of beacon frames leads to a more efficient detection. In this thesis, we have also considered variations in data rates (absence of user traffic, light, moderate and intense user traffic) and in jamming power (low, moderate and high jamming power). Results show that the model can detect fake access points, deauthentication and jamming attacks (low and moderate power) with high precision. The jamming attack with intense power is detected with satisfying precision. By considering the beacon frames of a farther second access point of the network, we have been able to increase detection precision in the latter case. Finally, we have considered special cases such as Wi-Fi transmissions in the 5 GHz band and the phantom fake access point attack
41
Pierrot, David. "Détection dynamique des intrusions dans les systèmes informatiques." Thesis, Lyon, 2018. http://www.theses.fr/2018LYSE2077.
Full textAbstract:
La démocratisation d’Internet, couplée à l’effet de la mondialisation, a pour résultat d’interconnecter les personnes, les états et les entreprises. Le côté déplaisant de cette interconnexion mondiale des systèmes d’information réside dans un phénomène appelé « Cybercriminalité ». Des personnes, des groupes mal intentionnés ont pour objectif de nuire à l’intégrité des systèmes d’information dans un but financier ou pour servir une cause. Les conséquences d’une intrusion peuvent s’avérer problématiques pour l’existence d’une entreprise ou d’une organisation. Les impacts sont synonymes de perte financière, de dégradation de l’image de marque et de manque de sérieux. La détection d’une intrusion n’est pas une finalité en soit, la réduction du delta détection-réaction est devenue prioritaire. Les différentes solutions existantes s’avèrent être relativement lourdes à mettre place aussi bien en matière de compétence que de mise à jour. Les travaux de recherche ont permis d’identifier les méthodes de fouille de données les plus performantes mais l’intégration dans une système d’information reste difficile. La capture et la conversion des données demandent des ressources de calcul importantes et ne permettent pas forcément une détection dans des délais acceptables. Notre contribution permet, à partir d’une quantité de données relativement moindre de détecter les intrusions. Nous utilisons les événements firewall ce qui réduit les besoins en terme de puissance de calcul tout en limitant la connaissance du système d’information par les personnes en charge de la détection des intrusions. Nous proposons une approche prenant en compte les aspects techniques par l’utilisation d’une méthode hybride de fouille de données mais aussi les aspects fonctionnels. L’addition de ces deux aspects est regroupé en quatre phases. La première phase consiste à visualiser et identifier les activités réseau. La deuxième phase concerne la détection des activités anormales en utilisant des méthodes de fouille de données sur la source émettrice de flux mais également sur les actifs visés. Les troisième et quatrième phases utilisent les résultats d’une analyse de risque et d’audit technique de sécurité pour une prioritisation des actions à mener. L’ensemble de ces points donne une vision générale sur l’hygiène du système d’information mais aussi une orientation sur la surveillance et les corrections à apporter. L’approche développée a donné lieu à un prototype nommé D113. Ce prototype, testé sur une plate-forme d’expérimentation sur deux architectures de taille différentes a permis de valider nos orientations et approches. Les résultats obtenus sont positifs mais perfectibles. Des perspectives ont été définies dans ce sensThe expansion and democratization of the digital world coupled with the effect of the Internet globalization, has allowed individuals, countries, states and companies to interconnect and interact at incidence levels never previously imagined. Cybercrime, in turn, is unfortunately one the negative aspects of this rapid global interconnection expansion. We often find malicious individuals and/or groups aiming to undermine the integrity of Information Systems for either financial gain or to serve a cause. The consequences of an intrusion can be problematic for the existence of a company or an organization. The impacts are synonymous with financial loss, brand image degradation and lack of seriousness. The detection of an intrusion is not an end in itself, the reduction of the delta detection-reaction has become a priority. The different existing solutions prove to be cumbersome to set up. Research has identified more efficient data mining methods, but integration into an information system remains difficult. Capturing and converting protected resource data does not allow detection within acceptable time frames. Our contribution helps to detect intrusions. Protect us against Firewall events which reduces the need for computing power while limiting the knowledge of the information system by intrusion detectors. We propose an approach taking into account the technical aspects by the use of a hybrid method of data mining but also the functional aspects. The addition of these two aspects is grouped into four phases. The first phase is to visualize and identify network activities. The second phase concerns the detection of abnormal activities using data mining methods on the source of the flow but also on the targeted assets. The third and fourth phases use the results of a risk analysis and a safety verification technique to prioritize the actions to be carried out. All these points give a general vision on the hygiene of the information system but also a direction on monitoring and corrections to be made.The approach developed to a prototype named D113. This prototype, tested on a platform of experimentation in two architectures of different size made it possible to validate our orientations and approaches. The results obtained are positive but perfectible. Prospects have been defined in this direction
42
Crémilleux, Damien. "Visualization for information system security monitoring." Thesis, CentraleSupélec, 2019. http://www.theses.fr/2019CSUP0013.
Full textAbstract:
Le centre opérationnel de sécurité, SOC, est un élément central pour la sécurité des systèmes d’information. Danscette thèse, nous nous intéressons à ses limites et proposons un nouveau processus et deux outils visuels pour yrépondre. Nos contributions permettent à la fois une meilleure collaboration entre les analystes travaillant ausein des SOCs, ainsi que de faciliter visuellement le triage des événements de sécurité au sein des systèmesd’informationsA security operations center, SOC, is a key element for the security of information systems. In this thesis, weexhibited the limitations of SOCs and proposed a process associated with two tools to answer them. Ourcontributions enable a better collaboration between the security analysts working in SOCs and facilitate securityevents triage thanks to visualization
43
Brogi, Guillaume. "Real-time detection of Advanced Persistent Threats using Information Flow Tracking and Hidden Markov Models." Electronic Thesis or Diss., Paris, CNAM, 2018. http://www.theses.fr/2018CNAM1167.
Full textAbstract:
Dans cette thèse, nous présentons les risques posés par les Menaces Persistentes Avancées (APTs) et proposons une approche en deux temps pour distinguer les attaques qui en font partie. Ce travail fait partie d'Akheros, un Système de Détection d'Intrusion (IDS) autonome développé par trois doctorants. L'idée est d'utiliser l'apprentissage machine pour détecté des évènements inattendus et vérifier s'ils posent un risque de sécurité. La dernière étape, et le sujet de cette thèse, est de mettre en évidence les APT. Les campagnes d'APT sont particulièrement dangereuses car les attaquants sont compétents et ont un but précis ainsi que du temps et de l'argent. Nous partons des résultats des parties précédentes d'Akheros: une liste d'évènements traduisible en flux d'information et qui indique quand des attaques sont détectées. Nous faisons ressortir les liens entre attaques en utilisant le Suivi de Flux d'Information: nous ajoutons une nouvelle teinte pour chaque attaque. Lors de la propagation, si une teinte se trouve en amont d'un flux qui fait partie d'une attaque, alors les deux attaques sont liés. Certaines attaques se trouvent liées par erreur car les évènements que nous utilisons ne sont pas assez précis, d'où l'approche en deux temps. Dans le cas où certaines attaques ne sont pas détectées, la teinte de cette attaque n'est pas créée, cependant, les autres teintes sont propagées normalement, et l'attaque précédent l'attaque non détectée sera liée à l'attaque lui faisant suite. Le deuxième temps de l'approche est de retirer les liens erronés. Nous utilisons un Modèle de Markov Caché pour représenter les APTs et retirons les campagnes qui ne suivent pas le modèle. Ceci fonctionne car les APTs, quoique toutes différentes, passent par les mêmes phases. Ces phases sont les états cachés du modèle. Les observations sont les types d'attaques effectuées pendant ces phases. De plus, les actions futures des attaquants dépendent des résultats de l'action en cours, ce qui satisfait l'hypothèse de Markov. Le score utilisé pour classer les campagnes potentielles de la plus proche d'une APT à la plus éloigné est basé sur un algorithme de Viterbi modifié pour prendre en compte les attaques non détectées potentiellesIn this thesis, we present the risks posed by Advanced Persitent Threats (APTs) and propose a two-step approach for recognising when detected attacks are part of one. This is part of the Akheros solution, a fully autonomous Intrusion Detection System (IDS) being developed in collaboration by three PhD students. The idea is to use machine learning to detect unexpected events and check if they present a security risk. The last part, and the subject of this thesis, is the highlighting of APT. APTs campaigns are particularly dangerous because they are performed by skilled attackers with a precise goal and time and money on their side.We start with the results from the previous part of the Akheros IDS: a list of events, which can be translated to flows of information, with an indication for events found to be attacks. We find links between attacks using Information Flow Tracking. To do so, we create a new taint for each detected attack and propagate it. Whenever a taint is on the input of an event that is part of another attack, then the two attacks are linked. However, the links are only potential because the events used are not precise enough, which leads to erroneously propagated taints. In the case of an undetected attack, no taint is created for that attack, but the other taints are still propagated as normal so that previous attack is still linked to the next attack, only skipping the undetected one. The second step of the approach is to filter out the erroneous links. To do so, we use a Hidden Markov Model to represent APTs and remove potential attack campaign that do not fit the model. This is possible because, while each APT is different, they all go through the same phases, which form the hidden states of our model. The visible observations are the kind of attacks performed during these phases. In addition, the results in one phase dictate what the attackers do next, which fits the Markov hypothesis. The score used to rank potential attack campaign from most likely an APT to least likely so is based on a customised Viterbi algorithm in order to take into account potentially undetected attacks
44
Monnet, Quentin. "Modèles et mécanismes pour la protection contre les attaques par déni de service dans les réseaux de capteurs sans fil." Thesis, Paris Est, 2015. http://www.theses.fr/2015PESC1023/document.
Full textAbstract:
Composés d'appareils fortement limités en ressources (puissance de calcul, mémoire et énergie disponible) et qui communiquent par voie hertzienne, les réseaux de capteurs sans fil composent avec leurs faibles capacités pour déployer une architecture de communication de manière autonome, collecter des données sur leur environnement et les faire remonter jusqu'à l'utilisateur. Des « transports intelligents » à la surveillance du taux de pollution environnemental, en passant par la détection d'incendies ou encore l'« Internet des objets », ces réseaux sont aujourd'hui utilisés dans une multitude d'applications. Certaines d'entre elles, de nature médicale ou militaire par exemple, ont de fortes exigences en matière de sécurité. Les travaux de cette thèse se concentrent sur la protection contre les attaques dites par « déni de service », qui visent à perturber le fonctionnement normal du réseau. Ils sont basés sur l'utilisation de capteurs de surveillance, qui sont périodiquement renouvelés pour répartir la consommation en énergie. De nouveaux mécanismes sont introduits pour établir un processus de sélection efficace de ces capteurs, en optimisant la simplicité de déploiement (sélection aléatoire), la répartition de la charge énergétique (sélection selon l'énergie résiduelle) ou encore la sécurité du réseau (élection démocratique basée sur un score de réputation). Sont également fournis différents outils pour modéliser les systèmes obtenus sous forme de chaines de Markov à temps continu, de réseaux de Petri stochastiques (réutilisables pour des opérations de model checking) ou encore de jeux quantitatifsMemory and little energy available), communicating through electromagnetic transmissions. In spite of these limitations, sensors are able to self-deploy and to auto-organize into a network collecting, gathering and forwarding data about their environment to the user. Today those networks are used for many purposes: “intelligent transportation”, monitoring pollution level in the environment, detecting fires, or the “Internet of things” are some example applications involving sensors. Some of them, such as applications from medical or military domains, have strong security requirements. The work of this thesis focuses on protection against “denial of service” attacks which are meant to harm the good functioning of the network. It relies on the use of monitoring sensors: these sentinels are periodically renewed so as to better balance the energy consumption. New mechanisms are introduced so as to establish an efficient selection process for those sensors: the first one favors the ease of deployment (random selection), while the second one promotes load balancing (selection based on residual energy) and the last one is about better security (democratic election based on reputation scores). Furthermore, some tools are provided to model the system as continuous-time Markov chains, as stochastic Petri networks (which are reusable for model checking operations) or even as quantitative games
45
Brogi, Guillaume. "Real-time detection of Advanced Persistent Threats using Information Flow Tracking and Hidden Markov Models." Thesis, Paris, CNAM, 2018. http://www.theses.fr/2018CNAM1167/document.
Full textAbstract:
Dans cette thèse, nous présentons les risques posés par les Menaces Persistentes Avancées (APTs) et proposons une approche en deux temps pour distinguer les attaques qui en font partie. Ce travail fait partie d'Akheros, un Système de Détection d'Intrusion (IDS) autonome développé par trois doctorants. L'idée est d'utiliser l'apprentissage machine pour détecté des évènements inattendus et vérifier s'ils posent un risque de sécurité. La dernière étape, et le sujet de cette thèse, est de mettre en évidence les APT. Les campagnes d'APT sont particulièrement dangereuses car les attaquants sont compétents et ont un but précis ainsi que du temps et de l'argent. Nous partons des résultats des parties précédentes d'Akheros: une liste d'évènements traduisible en flux d'information et qui indique quand des attaques sont détectées. Nous faisons ressortir les liens entre attaques en utilisant le Suivi de Flux d'Information: nous ajoutons une nouvelle teinte pour chaque attaque. Lors de la propagation, si une teinte se trouve en amont d'un flux qui fait partie d'une attaque, alors les deux attaques sont liés. Certaines attaques se trouvent liées par erreur car les évènements que nous utilisons ne sont pas assez précis, d'où l'approche en deux temps. Dans le cas où certaines attaques ne sont pas détectées, la teinte de cette attaque n'est pas créée, cependant, les autres teintes sont propagées normalement, et l'attaque précédent l'attaque non détectée sera liée à l'attaque lui faisant suite. Le deuxième temps de l'approche est de retirer les liens erronés. Nous utilisons un Modèle de Markov Caché pour représenter les APTs et retirons les campagnes qui ne suivent pas le modèle. Ceci fonctionne car les APTs, quoique toutes différentes, passent par les mêmes phases. Ces phases sont les états cachés du modèle. Les observations sont les types d'attaques effectuées pendant ces phases. De plus, les actions futures des attaquants dépendent des résultats de l'action en cours, ce qui satisfait l'hypothèse de Markov. Le score utilisé pour classer les campagnes potentielles de la plus proche d'une APT à la plus éloigné est basé sur un algorithme de Viterbi modifié pour prendre en compte les attaques non détectées potentiellesIn this thesis, we present the risks posed by Advanced Persitent Threats (APTs) and propose a two-step approach for recognising when detected attacks are part of one. This is part of the Akheros solution, a fully autonomous Intrusion Detection System (IDS) being developed in collaboration by three PhD students. The idea is to use machine learning to detect unexpected events and check if they present a security risk. The last part, and the subject of this thesis, is the highlighting of APT. APTs campaigns are particularly dangerous because they are performed by skilled attackers with a precise goal and time and money on their side.We start with the results from the previous part of the Akheros IDS: a list of events, which can be translated to flows of information, with an indication for events found to be attacks. We find links between attacks using Information Flow Tracking. To do so, we create a new taint for each detected attack and propagate it. Whenever a taint is on the input of an event that is part of another attack, then the two attacks are linked. However, the links are only potential because the events used are not precise enough, which leads to erroneously propagated taints. In the case of an undetected attack, no taint is created for that attack, but the other taints are still propagated as normal so that previous attack is still linked to the next attack, only skipping the undetected one. The second step of the approach is to filter out the erroneous links. To do so, we use a Hidden Markov Model to represent APTs and remove potential attack campaign that do not fit the model. This is possible because, while each APT is different, they all go through the same phases, which form the hidden states of our model. The visible observations are the kind of attacks performed during these phases. In addition, the results in one phase dictate what the attackers do next, which fits the Markov hypothesis. The score used to rank potential attack campaign from most likely an APT to least likely so is based on a customised Viterbi algorithm in order to take into account potentially undetected attacks
46
Jacq, Olivier. "Détection, analyse contextuelle et visualisation de cyber-attaques en temps réel : élaboration de la Cyber Situational Awareness du monde maritime." Thesis, Ecole nationale supérieure Mines-Télécom Atlantique Bretagne Pays de la Loire, 2021. http://www.theses.fr/2021IMTA0228.
Full textAbstract:
Dans une économie globalisée, le secteur maritime est essentiel au bon fonctionnement des économies et permet d’acheminer 90% des marchandises. Dans un contexte de forte numérisation, le niveau de cybersécurité du secteur maritime reste en retrait par rapport aux autres secteurs d'activité d'importance vitale. Au travers d’une analyse de bout en bout, cette thèse décrit les particularités des systèmes d’information maritimes et modélise le concept de Maritime Cyber Situational Awareness. Ensuite, une proposition d’architecture est décrite pour permettre l’acquisition de cet état de connaissance. Cette solution, éprouvée sur plate-forme, a permis de répondre à l’ensemble des critères d’élaboration. Enfin, les travaux soulignent et détaillent les spécificités du monde maritime pour tirer un profit maximal des données issues de la cybersurveillance. Les analyses et architectures de cette étude dans un contexte contraint pourront probablement être élargies à d’autres secteurs, comme par exemple les véhicules autonomes ou encore l’Internet des objetsIn a globalized economy, the maritime sector plays an essential role for the countries’ economies, drawing 90% of the global world trade. In a highly digitalized transformation context, the cybersecurity level of the maritime sector remains low compared to other essential sectors. Through an end-to-end analysis, this thesis aims at describing the unique combined characteristics of maritime information systems. Then, we apply situational awareness definition to maritime cybersecurity and model the concept of Maritime Cyber Situational Awareness. Then we describe the proposal of an architecture to achieve MCSA elaboration, which has been tested and proven on our experimental platform, taking into account the full requirements. Our work then analyses the particularities of the maritime world to streamline the collected data. The analysis and architectures of this study could also be opened and applied to other sectors, such as autonomous vehiclesand the Internet of Things (IoT)
47
Moudoud, Hajar. "Intégration de la Blockchain à l’Internet des Objets." Electronic Thesis or Diss., Troyes, 2022. http://www.theses.fr/2022TROY0006.
Full textAbstract:
L'Internet des objets (IdO) est en train de transformer l'industrie traditionnelle en une industrie intelligente où les décisions sont prises en fonction des données. L'IdO interconnecte de nombreux objets qui effectuent des tâches complexes. Toutefois, les caractéristiques intrinsèques de l'IdO entraînent plusieurs problèmes, tels que la décentralisation et les problèmes de confidentialité et sécurité. La blockchain est apparue comme une technologie clé pour relever les défis de l'IdO. En raison de ses caractéristiques saillantes telles que la décentralisation, l'immuabilité, et la sécurité, la blockchain a été proposée pour établir la confiance dans plusieurs applications, y compris l'IdO. L'intégration de la blockchain a l'IdO ouvre la porte à de nouvelles possibilités qui améliorent intrinsèquement la fiabilité, la réputation, et la transparence pour toutes les parties concernées, tout en permettant la sécurité. Cependant, les blockchains classiques sont coûteuses en calcul, ont une évolutivité limitée, et nécessitent une bande passante élevée, ce qui les rend inadaptées aux environnements IdO à ressources limitées. L'objectif principal de cette thèse est d'utiliser la blockchain comme un outil clé pour améliorer l'IdO. Pour atteindre notre objectif, nous relevons les défis de la fiabilité des données et de la sécurité de l'IdO en utilisant la blockchain ainsi que de nouvelles technologies émergentes, notamment l'intelligence artificielleThe Internet of Things (IoT) is transforming traditional industry into a smart industry where decisions are made based on data. The IoT interconnects many objects that perform complex tasks. However, the intrinsic characteristics of the IoT lead to several problems, such as decentralization and privacy and security issues. Blockchain has emerged as a key technology to address the challenges of IoT. Due to its salient features such as decentralization, immutability, and security, blockchain has been proposed to establish trust in several applications, including IoT. The integration of blockchain with IoT opens the door to new possibilities that inherently improve trustworthiness, reputation, and transparency for all parties involved, while enabling security. However, conventional blockchains are computationally expensive, have limited scalability, and require high bandwidth, making them unsuitable for resource constrained IoT environments. The main objective of this thesis is to use blockchain as a key tool to improve IoT. To achieve our goal, we address the challenges of data reliability and security in IoT by using blockchain as well as new emerging technologies, including artificial intelligence
48
Friji, Hamdi. "Graph neural network-based intrusion detection for secure edge networks." Electronic Thesis or Diss., Institut polytechnique de Paris, 2024. http://www.theses.fr/2024IPPAS030.
Full textAbstract:
Face à l'escalade de la complexité et à la fréquence des cyberattaques, cette thèse propose des approches innovantes pour la détection d'intrusion dans les réseaux, en exploitant les capacités avancées des réseaux de neurones en graphe (Graph Neural Networks, GNNs) et de nouvelles représentations sous forme de graphes. Nous commençons par une analyse critique des jeux de données et des représentations de réseaux actuels, en abordant des questions clés sur leur efficacité. Nous introduisons une nouvelle représentation des flux de communication sous forme de graphes, offrant une plus grande robustesse face aux manipulations de type attaques adversariales (adversarial attacks).Nous présentons ensuite l'un des premiers systèmes de détection d'intrusion utilisant notre représentation en graphe basée sur les GNNs. Ce système permet d'évaluer les comportements malveillants en capturant des motifs complexes souvent ignorés par les méthodes traditionnelles. Les résultats montrent que notre approche surpasse largement les solutions existantes basées sur l'apprentissage automatique et les GNNs en termes de précision et de robustesse.Pour relever les défis de la scalabilité et de l'efficacité dans les environnements à grande échelle, nous introduisons G-DEMIS (« Graph-based DEcentralized Multi-agent Intrusion detection System »), un système multi-agent décentralisé exploitant les GNNs pour une détection rapide des activités malveillantes. En agrégeant les informations locales à travers le réseau, G-DEMIS améliore la détection en temps réel tout en réduisant la consommation d'énergie de 58 % et le temps de réponse de 17,13 % par rapport aux approches centralisées. Enfin, nous proposons un algorithme innovant pour tracer les chemins de propagation des attaques, aidant à identifier les machines compromises dans le contexte des menaces persistantes avancées. Les travaux de cette thèse permettent non seulement de faire progresser l'état de l'art en matière de détection d'intrusions, mais ouvrent également la voie à de nouvelles avancées en cybersécuritéIn light of the escalating complexity and frequency of cyberattacks, this thesis presents innovative approachs to network intrusion detection that leverages the advanced capabilities of Graph Neural Networks (GNNs) and novel graph-based representations. To lay the foundation for our research, we first conduct a critical review of existing intrusion detection datasets and network representations, focusing on their effectiveness in addressing key research challenges. This thesis presents our insights and analysis of two widely used datasets: ToN IoT and CICIDS 2017, highlighting their strengths and limitations. Our approach introduces a new flow-based graph representation of communication flows, which enhances existing solutions by increasing robustness against adversarial attacks.First, we present one of the pioneering GNN-based intrusion detection systems, which utilizes our graph representation and GNN algorithms to compute maliciousness scores. This system captures complex relational patterns that traditional methods often overlook. Our findings demonstrate that this framework significantly outperforms the current state-of-the-art machine learning and GNN-based solutions in terms of both accuracy and robustness. Additionally, we propose a three-stage intrusion detection system inspired by the Lockheed Martin cyber kill chain, designed to detect advanced multi-step attacks. This system achieved an average F1-score of 94% on the ToN IoT dataset, surpassing traditional random forest models and demonstrating its effectiveness for real-world applications.To address scalability and efficiency challenges in large-scale environments, we introduce G-DEMIS, a Graph-based DEcentralized Multi-agent Intrusion detection System that enhances the use of GNNs for a fast detection of malicious activities. G-DEMIS employs a collaborative approach in which multiple agents monitor different network segments, aggregating local graph information to form a comprehensive view of the network. This framework not only enhances real-time detection capabilities but also reduces energy consumption by 58.08% and detection time by 17.13% compared to centralized models.Finally, we tackle the challenge of defending against Advanced Persistent Threats (APTs) by proposing a novel algorithm for reconstructing attack propagation paths. This algorithm assists engineers in identifying compromised machines following an APT attack by detecting and analyzing anomalous behaviors in the network, tracing the progression of the attack, and providing a detailed understanding of the attack paths.This thesis not only advances the current state of intrusion detection but also lays the foundation for future innovations in cybersecurity
49
Chamelot, Thomas. "Sécurisation de l’exécution des applications contre les attaques par injection de fautes par une contre-mesure intégrée au processeur." Electronic Thesis or Diss., Sorbonne université, 2022. http://www.theses.fr/2022SORUS417.
Full textAbstract:
Les systèmes embarqués numériques sont omniprésents dans notre environnement quotidien. Ces systèmes embarqués, par leur caractère nomade, sont particulièrement sensibles aux attaques dites par injection de fautes. Par exemple, un attaquant peut injecter une perturbation physique dans un circuit électronique pour compromettre les fonctionnalités de sécurité du système. Originellement utilisées pour compromettre des systèmes cryptographiques, ces attaques permettent aujourd'hui de cibler n'importe quel type de système. Ces attaques permettent notamment de compromettre l'exécution d'un programme. Dans ce manuscrit, nous introduisons une nouvelle propriété de sécurité pour protéger l'exécution des instructions dans la microarchitecture: l'intégrité d'exécution. À partir de cette propriété, nous décrivons le concept de SCI-FI, une contre-mesure qui assure la protection de l'intégralité du chemin d'instructions en assurant l'intégrité du code, du flot de contrôle et d'exécution. Pour cela, nous construisons un vecteur de bits que nous appelons pipeline state à partir de signaux de contrôle dans la microarchitecture. À partir du pipeline state, deux modules s'articulent pour assurer les propriétés de sécurité. Le premier module calcule une signature à partir du pipeline state assurant ainsi l'intégrité du code, du flot de contrôle et une partie de l'intégrité d'exécution. Le second module complète l'intégrité d'exécution dans la microarchitecture en utilisant un mécanisme de redondance. Nous proposons également le support et la sécurisation des branchements indirects et des interruptions, nécessaires pour la conception de systèmes embarqués. Nous réalisons deux imPlémentations de SCI-FI, l'une construite sur une primitive cryptographique assurant un niveau de sécurité maximal et l'autre plus légère construite sur une fonction CRC privilégiant les performances. Pour cela, nous intégrons SCI-FI dans un processeur RISC-V 32 bits et modifions la chaîne de compilation LLVM. Nous réalisons une analyse de sécurité des différents éléments qui composent SCI-FI dans chaque implémentation. Nous montrons ainsi que SCI-FI, même avec l'implémentation privilégiant les performances, est robuste face à un attaquant disposant de moyens d'injection de fautes à l'état de l'art. Enfin, nous évaluons les performances de nos implémentations par une synthèse dans un flot de conception ASIC et par l'exécution en simulation de la suite de test Embench-IOT. Nous montrons ainsi que SCI-FI a des performances équivalentes aux contre-mesures de l'état de l'art tout en assurant une propriété de sécurité supplémentaire, l'intégrité d'exécutionEmbedded systems are ubiquitous in our everyday life. Those embedded systems, by their nomadic nature, are particularly sensitive to the so-called fault injection attacks. For example, an attacker might inject a physical perturbation in an integrated circuit to compromise the security features of the system. Originally used to compromise cryptographic systems, those attacks can now target any kind of system. Notably, those attacks enable to compromise the execution of a program. In this manuscript, we introduce a new security property to protect the execution of instructions in the microarchitecture: execution integrity. From this property, we describe the concept of SCI-FI, a counter-measure that ensures the protection of the whole instruction path thanks to code, control-flow and execution integrity properties. We build SCI-FI around a bit vector that we call pipeline state and that is composed of microarchitecture control signals. Two modules interact around the pipeline state to ensure the security properties. The first module computes a signature from the pipeline state to ensure code and control-flow integrity and partially execution integrity. The second module completes the execution integrity support in the microarchitecture thanks to a redundancy mechanism. We also propose a solution for indirect branches and interrupts that are required to design embedded systems. We implement two versions of SCI-FI, one built around a cryptographic primitive which provides the best security level and another lighter one built around a CRC to maximize the performances. We integrate SCI-FI into a 32 bits RISC-V processor, and we modify the LLVM compiler. We analyze the security provided by our two implementations and we show that SCI-FI, even with the lightweight implementation, is robust against state-of-the-art attacker. Finally, we evaluate the performances of our implementations through an ASIC synthesis and through the execution of the benchmark suite Embench-IoT. We show that SCI-FI has comparable performances to state-of-the-art counter-measures while ensuring a new security property: execution integrity
50
Bréjon, Jean-Baptiste. "Quantification de la sécurité des applications en présence d'attaques physiques et détection de chemins d'attaques." Electronic Thesis or Diss., Sorbonne université, 2020. http://www.theses.fr/2020SORUS275.
Full textAbstract:
Les systèmes embarqués traitent et manipulent de plus en plus de données sensibles. La sécurité de ces systèmes est une préoccupation de premier ordre pour ceux qui les conçoivent. Les attaques en fautes visent à perturber l'exécution des programmes à travers la manipulation de grandeurs physiques dans l'environnement du système. Des contre-mesures logicielles sont déployées pour faire face à cette menace. Différentes analyses sont actuellement utilisées pour évaluer l'efficacité des contre-mesures une fois déployées mais elles sont peu ou pas automatisées, coûteuses et limitées quant à la couverture des comportements possibles et aux types de fautes analysables. Nous proposons une méthode d'analyse de robustesse de code binaire combinant des méthodes formelles et de l'exécution symbolique. L'analyse au niveau du code binaire permet non seulement de se placer après la compilation, qui peut altérer les contre-mesures, mais aussi de prendre en compte des éléments du code binaire invisibles à plus haut niveau. Les méthodes formelles, capables d'exhaustivité, permettent à l'analyse de considérer toutes les configurations des paramètres d'entrée. L'analyse est toutefois réalisée vis-à-vis d'un contexte symbolique, extrait par exécution symbolique, ce qui la circonscrit à des paramètres d'entrée réalistes et limite ainsi les faux positifs. Nous avons implémenté cette méthode dans un outil, nommé \texttt{RobustB}, automatisé depuis le code source. Nous proposons trois métriques permettant de synthétiser les résultats de l'analyse et d'aider le concepteur de contre-mesures à évaluer la sensibilité globale du code ainsi qu'au niveau de chaque instructionEmbedded systems are processing and handling more and more sensitive data. The security of these systems is now a prime concern for those who designs them. Fault attacks are indented to disrupt the execution of programs through the manipulation of physical quantities in the system environment and enable an attacker to bypass security mechanisms or achieve privilege escalation. Software counter-measures are deployed to address this threat. Various analyses are now being used to assess the efficiency of the counter-measures once deployed but they are little or not automated, costly and limited in terms of code coverage of the possible behaviour and of faults types that can be analysed. We propose a method to analyse the robustness of binary code combining formal methods and symbolic execution. Performing the analysis at the binary positions the analysis after compilation which can affect the counter-measures and allows it to take into account information which is only visible at the binary level and which can be exploited to perform an attack. Formal methods are capable of exhaustiveness and thus allow the analysis to consider all possible configurations of inputs. The proposed analysis is nevertheless carried out with respect to a symbolic context, extracted by symbolic execution, which confines it to a realistic set of inputs and thus limits false positives. We have implemented this method in a tool called \texttt{RobustB}. It is automated from the source code. We propose three metrics synthesising the analysis results and helping the designer of counter-measures to assess the sensitivity of the code as a whole and at the granularity of an instruction