Fusion, corrélation pondérée et réaction dans un environnement de détection d'intrusions coopérative

Other literature type French OPEN
Autrel, Fabien (2005)
  • Subject: Détection d'intrusion coopérative | Agrégation | Fusion | Corrélation pondérée | Réaction | 000

Les systèmes informatiques doivent respecter certaines propriétés telles que la confidentialité, l'intégrité et la disponibilité. Cependant, il existe des vulnérabilités qui permettent de violer la politique de sécurité. La détection d’intrusions a pour but de détecter l'exploitation de ces vulnérabilités. L'approché consistant à faire coopérer plusieurs sondes de détection d’intrusions permet d’améliorer le diagnostic fournit. Cette thèse développe les notions de fusion, corrélation pondérée et réaction. La fusion d’alerte regroupe les alertes redondantes pour les fusionner. La corrélation pondérée identifie des scénarios d'intrusions et sélectionne le plus plausible. La réaction bloque un scénario d'intrusions en cours d’exécution ou modifie l’état du système pour éliminer une vulnérabilité ou compenser les effets d’une attaque. Des résultats expérimentaux obtenus sur plusieurs scénarios d’intrusions à partir d’un prototype implantant les notions développées sont présentés. Computer systems must respect some properties such as confidentiality, integrity and availability. However, vulnerabilities exist and allow to violate the security policy. Intrusion detection aims at detecting the use of those vulnerabilities. Adopting a cooperative approach that uses mutliples probes gives a better diagnosis. This thesis develop the notions of fusion, weighted correlation and reaction. Alert fusion groups redundant alerts to fuse their informations. Weighted correlation intrusion scenarios in the alert stream and selects the most plausible one. the reaction blocks an ongoing scenario or modify the system'state to correct a vulnerability or to compensate the effects of an attack. Experimental results are given and show the use of our prototype, that implements those three notions, to detect several intrusion scenarios.
Share - Bookmark