Evinrude - Manuscrit de thèse

ikukucex - Jean-Baptiste Voron

Découvre YouScribe en t'inscrivant gratuitement

Je m'inscris

Obtenez un accès à la bibliothèque pour le consulter en ligne
En savoir plus

180 pages

Français

Obtenez un accès à la bibliothèque pour le consulter en ligne
En savoir plus

A propos
Informations
Extrait

Description

Evinrude - Manuscrit de thèse

Sujets

ÉCOLE DOCTORALE EDITE DE PARIS (ED130) INFORMATIQUE, TÉLÉCOMMUNICATION ET ÉLECTRONIQUE THÈSE DE DOCTORAT DE L’UNIVERSITÉ PIERRE ET MARIE CURIE SPÉCIALITÉ : INGÉNIERIE / SYSTÈMES INFORMATIQUES PRÉSENTÉE PAR : JEAN-BAPTISTE VORON POUR OBTENIR LE GRADE DE : DOCTEUR DE L’UNIVERSITÉ PIERRE & MARIE CURIE SUJET DE LA THÈSE : CONSTRUCTION AUTOMATIQUE ET PARTICULARISÉE DE SYSTÈMES DE DÉTECTION D’INTRUSION POUR LES SYSTÈMES PARALLÈLES À L’AIDE DE RÉSEAUX DE PETRI SOUTENUE LE : 9 DÉCEMBRE 2009 DEVANT LE JURY COMPOSÉ DE : Directeur : F. KORDON Professeur, Université P. & M. Curie (LIP6) Rapporteurs : L. PETRUCCI Professeur, Université de Paris 13 (LIPN) J. GOUBAULT-LARRECQ Professeur, ENS Cachan (LSV) Examinateurs : J.-M. COUVREUR Professeur, Université d’Orléans (LIFO) C. GIRAULT Professeur émérite, Université P. & M. Curie (LIP6) L. IFTODE Professeur, Rutgers University, C.S. Dept. (DiscoLab) P. SENS Professeur, Université P. & M. Curie (LIP6)Licence : Cette création est mise à disposition selon le Contrat Paternité-Pas d’Utilisation Commerciale-Partage des Conditions Initiales à l’Identique 2.0 France disponible en ligne http://creativecommons.org/licenses/by-nc-sa/2.0/fr/ ou par courrier postal à Creative Commons, 171 Second Street, Suite 300, San Francisco, California 94105, USA. Dernière mise à jour du document : 30/12/2009 @ 14:33:15 / Révision : 3714 http://lip6.fr/jean-baptiste.voron/these/these-last.pdfÀ Chantal, Bernard, Thibault et Gauthier. . .REMERCIEMENTS En rédigeant cette dernière page de manuscrit, je suis obligé de reconnaître que cette thèse est le fruit d’un peu de recherche et de beaucoup d’aide reçue de nombreuses personnes que je tiens à remercier ici. J’espère n’oublier personne, et si tel était le cas, prévenez-moi, et je me ferai un plaisir de corriger cet oubli et de vous offrir une version dédicacée de ce manuscrit. Je tiens tout d’abord à remercier mon directeur de thèse, Fabrice Kordon, pour son encadrement continu et vigilant. J’ai pu apprécier et m’inspirer de ses mé- thodes de travail et proﬁter de ses larges connaissances tant en informatique qu’en civilisations chinoises ou en techniques de construction navale. Sa disponibilité, y compris à des heures peu adaptées, m’a permis d’être toujours libre dans l’orga- nisation de mon travail et la conﬁance qu’il a su m’accorder a rendu ces années de thèse très riches. I would like to thank Liviu Iftode for welcoming me at Disco’Lab during two great stays. He has always managed to ﬁnd some time to help me and to give me some advices, tips and valuable inputs on my work. I would also like to thank Arati Baliga for her proofreading of my master dissertation and her great advices about my work. All the Disco’Lab members have always be very friendly when I was over there. Thank you all ! Merci également aux membres de mon jury et notamment aux deux rappor- teurs de ce travail, Laure Petrucci et Jean Goubault-Larrecq, qui en plus d’avoir relu et commenté ce manuscrit ont pris le temps de pointer et d’initier des discus- sions sur certains points ouvrant ainsi de nombreuses perspectives à mon travail. Parmi les nombreux permanents du LIP6 et plus spécialement ceux de l’équipe MoVe dans laquelle j’ai effectué ma thèse, je tiens à remercier tout par- ticulièrement Béatrice Bérard pour ses conseils toujours pointus et avisés et ses minutieuses relectures. Son calme et ses connaissances m’ont beaucoup aidé dans les dernières semaines de cette thèse. Puis viennent les membres du bureau 818, toujours aussi nombreux. Ainsi, je tiens à remercier le Docteur Alban Linard, suisse et grand expert du C++ et de la programmation « templatée » et Alexandre Hamez ﬁdèle disciple du gourou sus- cité et évangéliste de chez Apple . Ils ont toujours été de très bon conseil tant d’un point de vue technique que littéraire (et pas seulement dans le domaine de l’infor- matique). Un grand merci à Clément Démoulins, l’étudiant, devenu stagiaire, de- venu excellent ingénieur (également spécialiste des plateaux jaunes). Ses compé- iii†† iv REMERCIEMENTS tences techniques ont largement contribué à la conception des prototypes actuels d’Evinrude et de Bianca. Malgré ses réticences à manger des pommes, je fais le pari que dans quelques années, il relira ce texte devant un écran Mac géant. Je remer- cie également Silien Hong pour son calme (ô combien précieux dans ce bureau) et Mathieu Sassolas pour ses saucissons ardéchois et autres airs de cornemuses qui auront agréablement ponctués les phases d’écriture de ce manuscrit. Enﬁn, à Zhu Jun et Zhang Yan d’avoir supporté les incessantes discussions techniques et débats de geeks sans jamais protester. J’espère que j’arriverai à prononcer correc- tement vos noms avant que vous ne ﬁnissiez vous aussi votre thèse. Merci également à Mathieu Bouillaguet slackware-addict ; à Nicolas Gibelin èmequi connaît le 16 noeud du cluster mieux que sa poche ; à spécialiste du XML, PNML ou plus généralement de tout ce qui se rapproche d’une balise ; à Jean-Luc Mounier grand intendant du verger de l’équipe ; à Véro- nique Varenne pour ses connaissances des hautes et nébuleuses sphères ﬁnan- cières du laboratoire et à Xavier Renault qui, lui aussi, a pu goûter au vrai « ame- rican style cookie » ; Je tiens évidemment à remercier ma famille et mes amis, qui tout au long de ces 1165 jours de thèse m’auront aidé à garder le cap et à croire que tout cela aurait une ﬁn. Oui. . . Que toutes les personnes de la Sarabande, (dont Teva, Gabriel, An- tonios, Thomas, Jacques, Alexis, Alexandre, Emmanuel, Mathieu, Xavier et Caro- line) en soient les témoins : je l’ai terminée ! Parmi elles, c~c aura vécu cette thèse d’une façon privilégiée : présente du début jusqu’à la ﬁn, ses nombreux conseils et (très) minutieuses relectures ont été très précieuses : merci ! Enﬁn, je tiens à remercier toute ma famille pour son soutien du début (et même avant) jusqu’à la ﬁn (et même après) de ce travail. Même si mes activités semblaient mystérieuses, et mes allées-venues au laboratoire le week-end sus- pectes, vous savez maintenant que je travaillais. Malgré ma présence en pointillés, vous m’avez toujours soutenu et une très grande partie du travail que j’achève maintenant vous est due ! Mille fois merci !RÉSUMÉ La surveillance et la maintenance des systèmes informatiques entraînent des coûts prohibitifs. Cela est dû en grande partie à la complexité des applications actuelles ainsi qu’à leurs fréquentes mises à jour. Les administrateurs de tels sys- tèmes ne peuvent donc pas répondre efﬁcacement aux impératifs de sécurité si l’on considère le nombre élevé de failles à contrôler et l’incroyable sophistication et rapidité de propagation des attaques. Les systèmes de détection d’intrusion mettent en œuvre un processus de sur- veillance et d’analyse des événements survenant sur un système, dans le but de découvrir des attaques compromettant sa conﬁdentialité, son intégrité ou sa dis- ponibilité. En plus des problèmes caractéristiques tels que les taux de faux positifs et de faux négatifs lors de la phase de surveillance ou l’incapacité à détecter de nouvelles formes d’intrusions, d’autres limitations d’origine structurelle existent. Ainsi, rares sont les travaux qui traitent de la protection des applications fortement multi-threadées ou qui proposent une implémentation efﬁcace des méthodes de détection proposées. L’objectif de cette thèse est de concevoir et de réaliser une solution qui construit automatiquement un système de surveillance dédié à un programme. Dans cette optique, nous proposons d’extraire, grâce à une analyse statique du code source du programme à surveiller, plusieurs modèles comportementaux ex- primés en réseaux de Petri. Une fois réduits et assemblés, ces modèles peuvent être soumis aux techniques actuelles de vériﬁcation formelle et permettent ﬁ- nalement la génération automatique d’un système de surveillance dédié au pro- gramme initial. vTABLE DES MATIÈRES Remerciements iii Table des matières vi Table des ﬁgures viii Liste des tableaux xi 1 Introduction générale 1 1.1 Prolégomènes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 1.2 Contexte de la thèse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 1.3 Objectifs de la thèse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 1.4 Plan du mémoire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 2 Positionnement et problématique 11 2.1 De l’attaque à l’intrusion . . . . . . . . . . . . . . . . . . . . . . . . . . 11 2.2 Les systèmes de détection d’intrusion . . . . . . . . . . . . . . . . . . 16 2.3 Abstraction du comportement de référence . . . . . . . . . . . . . . . 24 2.4 Contributions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 3 Nature du modèle comportemental 29 3.1 Déﬁnitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 3.2 Techniques remarquables de modélisation . . . . . . . . . . . . . . . 31 3.3 Spéciﬁcation du comportement par réseaux de Petri . . . . . . . . . 42 3.4 Bilan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 4 Du programme au modèle... 55 4.1 Contexte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 4.2 Extraction du modèle structurel . . . . . . . . . . . . . . . . . . . . . . 57 4.3 Perspectives et enrichissement du modèle . . . . . . . . . . . . . . . . 66 4.4 Réductions et préparation du modèle ﬁnal . . . . . . . . . . . . . . . 75 4.5 Bilan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 5 Prototypage d’un IDS 87 5.1 Architecture d’un IDS système . . . . . . . . . . . . . . . . . . . . . . . 88 viTABLE DES MATIÈRES vii 5.2 Exploitation des modèles et moteur de détection . . . . . . . . . . . 90 5.3 Exploitation avancée des modèles . . . . . . . . . . . . . . . . . . . . 105 5.4 Interception des événements . . . . . . . . . . . . . . . . . . . . . . . 108 5.5 Bilan . . . .