Détection d'intrus dans les réseaux à l'aide d'agents mobiles

Aujourd'hui, il est difficile pour les grandes organisations de faire fit des défis que posent la sécurité informatique. Les infrastructures informatiques sont plus que jamais interconnectées entre elles et sont exposées autant aux menaces provenant de l'intérieur que de l'extérieur de l'organisation. Afin de faire face aux menaces, parmi les moyens mis en oeuvre pour défendre le réseau contre les attaques on retrouve les systèmes de détection d'intrus (IDS). Ces systèmes, qui peuvent être de nature logicielle ou matérielle, sont de plus en plus répandus et peuvent représenter une part importante du budget du département informatique d'une organisation. Malheureusement ces équipements, bien que forts utiles, présentent des faiblesses non négligeables. Le nombre de faux positifs, soit des alarmes non fondées, peut rapidement dépasser la capacité de traitement des analystes en charge de la sécurité. Afin d'adresser ce problème de performances, plusieurs solutions furent avancées. Ces dernières années nous avons vue faire leurs apparitions différentes architectures hiérarchiques, par agents et par agents mobiles. Plusieurs stratégies de détection ont été mises en oeuvre pour tenter d'améliorer la situation tel que la détection par apprentissage statistique, par règles comme dans le cas du populaire IDS SNORT et par réseau de pétri, par exemple. Malheureusement force fut de constater qu'il est bien difficile d'évaluer ces solutions pour en connaître leur efficacité réelle. À l'heure actuelle il nous est difficile de faire le lien entre les métriques de performance, les caractéristiques des IDS et l'environnement qui influence grandement les résultats. Pour évaluer les liens entre l'environnement, les caractéristiques des IDS et les métriques de performance, nous avons décidé dans ce mémoire de mettre sur pied un cadre structurant pour l'évaluation des performances des IDS. Pour ce faire, nous avons élaboré une taxonomie de l'environnement afin de pouvoir le caractériser de façon objective et subjective. Nous avons aussi bâti une taxonomie des caractéristiques de détection des IDS susceptibles d'influencer les performances et qui se distingue en tenant compte des propriétés des agents mobiles. De plus, nous avons sélectionné un ensemble de métriques sujet à être de bons indicateurs de performance.

Abstract

In today's world, it is very difficult for big organizations to overlook the challenges posed by information security. More and more, computer infrastructures are interconnected with each others and are exposed to threats coming from inside and outside of the organization. To face those threats, among the means to defend the network, we have the intrusion detection system (IDS). Those systems, which can be software or hardware in nature, have an increasing widespread use and can represent an important part of an Information Technology department's budget. Unfortunately, those equipments, even though very useful, have non negligible flaws. The number of false positive, being the false alarm, can rapidly overwhelm the capability of the security analysts to analyse them. To address this performance issue, many solutions have been put forward. In recent years, we have seen different IDS architectures such as hierarchical, by agents and by mobile agents, for example, making their appearance. Many detection strategies were put forward to try to improve on the situation. We have seen strategies such as intrusion detection by statistical learning, by rules like popular IDS SNORT and by Petri Network just to name a few. Unfortunately, we found out that assessing the real efficiency of those solutions was very difficult. Right now, it is very difficult to make the connection between performance metrics, IDS's characteristics and the environment which has a huge impact on results. To assess the links between the environment, IDS's characteristics and performance metrics, we decided in this master thesis to put forward an IDS performance evaluation framework. To do so, we have elaborated a taxonomy to allow the characterization of the environment in an objective and subjective manner. We also have built a taxonomy of intrusion detection system's characteristics which can influence performances and take into account mobile agents' properties. Furthermore, we have selected a set of metrics which can be good performance indicators. To allow us to make hypothesis on an environment too complex to be fully apprehended, we came up with a simplified mathematical model to which our conclusions will apply. Inside this model we can understand the relations between the environment, IDS of interest and their impacts on performance.