Construction d’un multi-modèle d’application répartie pour la détection d’intrusion - TEL - Thèses en ligne Accéder directement au contenu
Thèse Année : 2020

Construction of a distributed application multi-model for intrusion detection

Construction d’un multi-modèle d’application répartie pour la détection d’intrusion

Résumé

The study carried out during this thesis focuses on the security of distributed applications. Although security concerns are addressed during application development, an attack may affect the services provided or allow access to confidential data. To detect intrusions, we consider an anomaly detection mechanism that is based on a model of the normal behavior of the monitored application. During a model construction phase, the application is run multiple times to observe some of its correct behaviors. Each trace collected makes it possible to identify events and their causal relationships, without the need of a global clock. The model constructed is twofold: it includes an automaton and a list of probable invariants which both characterize authorized sequences of events. These two models are initially redundant but this redundancy decreases when generalization techniques are applied to the automaton. Existing solutions suffer from scalability issues. In this thesis, proposals are made to solve these scalability issues, while maintaining good precision during the detection phase. To evaluate the proposed solutions, a real distributed application is used and several attacks against it are considered.
L’étude réalisée durant cette thèse porte sur la sécurité des applications distribuées. Bien que les problèmes de sécurité soient traités lors du développement des applications, une attaque peut affecter les services fournis ou permettre l'accès à des données confidentielles. Pour détecter les intrusions, nous considérons un mécanisme de détection d’anomalies qui repose sur un modèle du comportement normal de l’application surveillée. Au cours d’une phase de construction du modèle, l’application est exécutée plusieurs fois pour observer certains de ses comportements corrects. Chaque trace collectée permet d’identifier des événements et leurs relations de causalité, sans qu’une horloge globale soit nécessaire. Le modèle construit est double : il comporte un automate et une liste d’invariants probables qui caractérisent tous les deux des séquences d’événements autorisées. Ces deux modèles sont au départ redondants mais cette redondance diminue lorsque des techniquesde généralisation sont appliquées à l’automate. Les solutions existantes souffrent de problèmes de passage à l’échelle. Dans cette thèse, des propositions sont faites pour résoudre ces problèmes de passage à l’échelle, tout en conservant une bonne précision pendant la phase de détection. Pour évaluer les solutions proposées, une application distribuée réelle est utilisée et plusieurs attaques contre elle sont envisagées.

Domaines

Cryptographie et sécurité [cs.CR]
Fichier principal
Vignette du fichier
2020CSUP0006_LANOE_archivage.pdf (1.79 Mo) Télécharger le fichier
Origine : Version validée par le jury (STAR)

ABES STAR  :  Contact

https://theses.hal.science/tel-03564183

Soumis le : jeudi 10 février 2022-11:24:26

Dernière modification le : vendredi 24 mars 2023-14:53:25

Archivage à long terme le : mercredi 11 mai 2022-18:27:01

Télécharger pour visualiser

Dates et versions

tel-03564183 , version 1 (10-02-2022)

Identifiants

  • HAL Id : tel-03564183 , version 1

Citer

David Lanoë. Construction d’un multi-modèle d’application répartie pour la détection d’intrusion. Cryptographie et sécurité [cs.CR]. CentraleSupélec, 2020. Français. ⟨NNT : 2020CSUP0006⟩. ⟨tel-03564183⟩

Exporter

BibTeX XML-TEI Dublin Core DC Terms EndNote DataCite

Collections

INSTITUT-TELECOM UNIV-RENNES1 CNRS INRIA INSA-RENNES IRISA STAR CENTRALESUPELEC UR1-THESES UR1-MATH-STIC UR1-UFR-ISTIC UNIV-RENNES INSA-GROUPE UR1-MATH-NUM
84 Consultations
67 Téléchargements

Partager

Gmail Facebook X LinkedIn More