Le moteur de recherche
des thèses françaises
'%3e%3cpath%20style='fill:%2300a0dc;fill-opacity:1;stroke:none;stroke-width:.144606;stroke-opacity:1;stop-color:%23000'%20d='M41.8%20100.088H52.28c.46%200%20.831.421.831.945v10.25c0%20.524-.37.946-.831.946H41.8c-.46%200-.831-.422-.831-.945v-10.251c0-.524.37-.945.831-.945z'/%3e%3cpath%20d='m47.072%20102.02-4.87%202.656%204.87%202.657%203.985-2.174v3.06h.885v-3.543m-7.969%201.851v1.771l3.1%201.691%203.098-1.691v-1.77l-3.099%201.69z'%20style='fill:%23fff;fill-opacity:1;stroke-width:.442726'/%3e%3ccircle%20style='fill:%23009f1d;fill-opacity:1;stroke:%23fff;stroke-width:.379704;stroke-linecap:round;stroke-linejoin:round;stroke-miterlimit:4;stroke-dasharray:none;stroke-opacity:1;stop-color:%23000'%20cx='54.151'%20cy='101.224'%20r='3.451'/%3e%3cpath%20d='m55.669%2099.387.659.664-3.075%203.104-1.634-1.649.66-.663.974.979%202.416-2.435'%20style='fill:%23fff;fill-opacity:1;stroke:none;stroke-width:.30061;stroke-miterlimit:4;stroke-dasharray:none;stroke-opacity:1'/%3e%3c/g%3e%3c/svg%3e)
Construction d’un multi-modèle d’application répartie pour la détection d’intrusion
| Auteur / Autrice : | David Lanoë |
| Direction : | Michel Hurfin, Éric Totel |
| Type : | Thèse de doctorat |
| Discipline(s) : | Informatique (STIC) |
| Date : | Soutenance le 15/12/2020 |
| Etablissement(s) : | CentraleSupélec |
| Ecole(s) doctorale(s) : | École doctorale Mathématiques et sciences et technologies de l'information et de la communication (Rennes) |
| Partenaire(s) de recherche : | Laboratoire : Institut de recherche en informatique et systèmes aléatoires (Rennes) |
| Jury : | Président / Présidente : Vincent Nicomette |
| Examinateurs / Examinatrices : Joaquin Garcia-Alfaro, Maria Potop-Butucaru, Guillaume Doyen | |
| Rapporteur / Rapporteuse : Joaquin Garcia-Alfaro, Maria Potop-Butucaru |
Mots clés
Résumé
L’étude réalisée durant cette thèse porte sur la sécurité des applications distribuées. Bien que les problèmes de sécurité soient traités lors du développement des applications, une attaque peut affecter les services fournis ou permettre l'accès à des données confidentielles. Pour détecter les intrusions, nous considérons un mécanisme de détection d’anomalies qui repose sur un modèle du comportement normal de l’application surveillée. Au cours d’une phase de construction du modèle, l’application est exécutée plusieurs fois pour observer certains de ses comportements corrects. Chaque trace collectée permet d’identifier des événements et leurs relations de causalité, sans qu’une horloge globale soit nécessaire. Le modèle construit est double : il comporte un automate et une liste d’invariants probables qui caractérisent tous les deux des séquences d’événements autorisées. Ces deux modèles sont au départ redondants mais cette redondance diminue lorsque des techniquesde généralisation sont appliquées à l’automate. Les solutions existantes souffrent de problèmes de passage à l’échelle. Dans cette thèse, des propositions sont faites pour résoudre ces problèmes de passage à l’échelle, tout en conservant une bonne précision pendant la phase de détection. Pour évaluer les solutions proposées, une application distribuée réelle est utilisée et plusieurs attaques contre elle sont envisagées.