LogoLogo

Gadelrab, Mohammed El-Sayed. Évaluation des Systèmes de Détection d'Intrusion

Gadelrab, Mohammed El-Sayed (2008) Évaluation des Systèmes de Détection d'Intrusion.

[img]PDF - nécessite un logiciel de visualisation PDF comme GSview, Xpdf or Adobe Acrobat Reader
2660Kb

Résumé en francais

Cette thèse vise à contribuer à l'amélioration des méthodes d'évaluation des systèmes de détection d'intrusions (en anglais, Intrusion Detection Systems ou IDS). Ce travail est motivé par deux problèmes actuels : tout d'abord, l'augmentation du nombre et de la complexité des attaques que l'on observe aujourd'hui nécessite de faire évoluer les IDS pour leur permettre de les détecter. Deuxièmement, les IDS actuels génèrent de trop fréquentes fausses alertes, ce qui les rend inefficaces, voir inutiles. Des moyens de test et d'évaluation sont donc nécessaires pour déterminer la qualité de détection des IDS et de leurs algorithmes de détection. Malheureusement, aucune méthode d'évaluation satisfaisante n'existe de nos jours. En effet, les méthodes employées jusqu'ici présentent trois défauts majeurs : 1) une absence de méthodologie rigoureuse d'évaluation, 2) l'utilisation de données de test non représentatives, et 3) l'utilisation de métriques incorrectes. Partant de ce constat, nous proposons une démarche rigoureuse couvrant l'ensemble des étapes de l'évaluation des IDS. Premièrement, nous proposons une méthodologie d'évaluation qui permet d'organiser l'ensemble du processus d'évaluation. Deuxièmement, afin d'obtenir des données de test représentatives, nous avons défini une classification des types d'attaques en fonction des moyens de détection utilisés par les IDS. Cela permet non seulement de choisir les attaques à inclure dans les données de test, mais aussi d'analyser les résultats de l'évaluation selon les types d'attaques plutôt que pour chaque attaque individuellement. Troisièmement, nous avons analysé un grand nombre d'attaques réelles et de programmes malveillants (communément appelés maliciels) connus, tels que les virus et les vers. Grâce à cette analyse, nous avons pu construire un modèle générique de processus d'attaques qui met en évidence la dynamique des activités d'attaque. Ce modèle permet de générer un nombre important de scénarios d'attaques, qui soient le plus possible représentatifs et variés. Pour montrer la faisabilité de notre approche, nous avons appliqué expérimentalement les étapes de notre démarche à deux systèmes différents de détection d'intrusions. Les résultats montrent que l'approche proposée permet de surmonter les deux défauts principaux des évaluations existantes, à savoir l'absence de méthodologie et l'utilisation de données non représentatives. En particulier, elle permet de mieux gérer le processus d'évaluation et de choisir les cas de test les plus adaptés à l'IDS sous test et les plus pertinents vis-à-vis des objectifs de l'évaluation en cours, tout en couvrant une large partie de l'espace d'attaques. Ce manuscrit de thèse est divisé en deux parties rédigées respectivement en français et en anglais. Les deux parties suivent la même structure ; la première étant un résumé étendu de la deuxième.

Sous la direction du :
Directeur de thèse
Deswarte, Yves
Abou El Kalam, Anas
Ecole doctorale:Systèmes
laboratoire/Unité de recherche :Laboratoire d'Analyse et d'Architecture des Systèmes (LAAS) - CNRS
Mots-clés libres :Sécurité - Système de détection d'intrusions (SDI) - Évaluation - Test - Attaque - Maliciel
Sujets :Informatique
Déposé le :17 Jul 2009 16:48