conception et évaluation de systèmes de Détection d'intrusion au niveau AppLIcatif – DALI

À une époque où les systèmes d'information et de communication prennent de plus en plus de place dans nos vies, la sécurité devient un souci primordial. Se protéger des malveillances informatiques, telles que les vers, virus, et autres attaques contre des applications particulières (par exemple les logiciels de navigation sur l’Internet) devient essentiel pour préserver la confidentialité, l’intégrité ou la disponibilité de son système d’information. Malgré l’importance des travaux portant sur les moyens de prévention (c’est-à-dire les moyens mis en oeuvre pour empêcher la réussite de telles attaques), leur efficacité reste imparfaite et il est nécessaire de les compléter par des mécanismes de détection d’intrusion. Le but de ce projet est de développer de nouvelles techniques de détection d’intrusion et d’en évaluer l’efficacité. On distingue généralement deux classes de méthodes de détection d’intrusion : l’approche dite par scénario, qui consiste à identifier qu’une attaque connue a lieu, et l’approche dite comportementale qui vise à détecter des déviations du comportement d’un système ou d’une application par rapport à un comportement connu supposé correct. L’avantage de cette deuxième approche est de pouvoir détecter des attaques ou intrusions non encore répertoriées. Dans le cadre de ce projet, nous nous intéressons tout particulièrement à l’approche comportementale, et en particulier à une sous-classe de cette approche qui est la détection à base de spécification. Dans ce cas, le modèle de comportement de référence est la spécification de l’application qui pourrait être affectée par des attaques. Deux types de méthodes seront développées : selon une méthode descendante, les mécanismes de détection d’intrusion seront définis à partir de la spécification, et selon une méthode ascendante, ils seront définis à partir de l’exécution du programme. Dans les deux cas, l’objectif est d’implanter les mécanismes de détection d’intrusion au sein du logiciel considéré, afin d’en optimiser l’efficacité en profitant d’une connaissance précise de l’application. Cette technique d’instrumentation de code a jusqu’à présent été très peu utilisée dans le domaine de la détection d’intrusion. De surcroît, tous les travaux sur la détection d’intrusion se heurtent au problème de l’évaluation des mécanismes de détection : sont-ils efficaces à détecter les intrusions ?, ce qui peut se traduire par un faible taux d’intrusions non détectées (faux négatifs) et par un petit nombre de fausses alertes (faux positifs). Et pour évaluer ces mesures, comment déterminer les entrées auxquelles il faut soumettre le système ou l’application considérée ? Ces questions restent généralement en suspens sachant qu’aucune méthode satisfaisante d’évaluation n’existe à l’heure actuelle. Nous chercherons donc dans ce projet à mettre en place une méthode d’évaluation qui permette d’obtenir des mesures de l’efficacité de détection, qui soient représentatives des intrusions auxquelles devrait faire face un système opérationnel dans un environnement réel, et nous l’appliquerons aux méthodes de détection d’intrusion développées dans le projet.