Identification des liens entre les graphes d’attaques, les arbres d’attaque et

Nous avons présentés successivement trois formalismes génériques permettant d’exprimer des scénarios d’attaque : les arbres d’attaque, les graphes d’attaques et les règles de corrélation. Les comparaisons respectives entre les règles de corrélation et les arbres d’attaque d’une part et entre les règle de corrélation et les graphes d’attaques ont été effectuées. Cette sous-section propose d’étudier brièvement les liens possibles entre ces trois représentations.

A Convergence entre les graphes d’attaques, les arbres d’attaque et les règles de corrélation

Le tableau 2.8 résume des caractéristiques des trois structures étudiées. L’unité élémentaire correspond aux nœuds du graphe d’attaques, aux feuilles de l’arbre d’attaque et aux filtres des règles de corrélation. Le niveau d’abstraction de la structure cible (la règle de corrélation) doit être choisi comme référence à appliquer dans les autres structures. Ce niveau d’abstraction permet d’exprimer des messages à un faible niveau d’abstraction, c’est-à-dire un niveau d’abstraction qui fait intervenir les détails du système cible.

Formalisme Unités élémentaires Structure Niveau d’abstraction graphe d’attaques exploit graphe faible

arbre d’attaque sous-objectif / action arbre variable règle de corrélation événement / message / alerte arbre faible

Table _{2.8 – Éléments de comparaison macroscopique entre graphes d’attaques, arbres d’attaque} et règles de corrélation.

Les sections précédentes ont déjà présenté des adaptations respectives des structures d’arbres d’attaque et de graphes d’attaques permettant de faire apparaître des messages attendus lors de la détection d’un scénario d’attaque (figure 2.7 et figure 2.13). Il reste à établir les liens entre ces deux structures pour compléter cette comparaison et faire ressortir leur utilité pour nos travaux.

B Liens entre représentation sous la forme de graphes et sous la forme d’arbres L’arbre de la figure 2.7 et le graphe de la figure 2.13 représentent un même scénario d’attaque. Les différences entre ces deux représentations sont de deux types. D’une part, la structure est différente car le graphe ne comporte pas les opérateurs logiques présents dans l’arbre d’attaque. D’autre part, le graphe est instancié, ce qui signifie que les chemins d’attaques sont explicitement développés avec les identifiants des machines qui interviennent à chaque étape.

En supposant que le niveau d’abstraction des nœuds du graphe et des feuilles de l’arbre est similaire, l’ensemble des transformations qui suivent permettent de passer d’une structure à l’autre. — transformer les enchaînements simples en ET Séquentiel (SAND), comme illustré en (1)

dans la figure 2.14 ;

— transformer les jonctions à l’aide d’opérateurs OR, comme dans le cas (2) de la figure 2.14 ; — factoriser les combinaisons à l’aide d’un opérateur AND lorsque cela est possible (cas (3)

sur la figure 2.14).

Figure_{2.14 – La première transformation illustre la traduction d’une séquence d’un graphe d’at-} taques vers un arbre d’attaque. La seconde transformation illustre la traduction d’un embranche- ment du graphe d’attaques vers un arbre d’attaque. La troisième transformation est une factorisa- tion possible à l’aide d’un opérateur AND.

2.3. CONCLUSION 41

Il est possible d’obtenir une instanciation de l’arbre représenté à la figure 2.7 en spécialisant chaque feuille de l’arbre sur un chemin d’attaque spécifique et réitérer cette opération pour tous les chemins possibles. L’ensemble des arbres est ensuite agrégé via l’ajout d’un nouvel opérateur OR. Il est également possible de transformer directement le graphe de la figure 2.13 en arbre en appliquant les règles de transformations présentées au paragraphe précédent. La figure 2.15 illustre le résultat de ces transformations.

Cette structure reste un embryon de règle de corrélation qui explicite principalement l’ordon- nancement général des messages attendus. L’obtention d’une règle de corrélation utilisable nécessite des éléments supplémentaires, en particulier les contraintes entre les champs de différents messages et le contenu précis des champs générés par les observateurs.

De plus, il est fait l’hypothèse que chaque action était observable par un observateur et mène à la production d’un unique type de message. Ces informations dépendent fortement de l’environnement et de la configuration des observateurs.

C Discussion

Cette comparaison des approches utilisant des graphes d’attaques, des arbres d’attaques et des règles de corrélation a mis en avant plusieurs points. Non seulement un graphe d’attaques peut servir de squelette pour la création de règles de corrélation, mais en plus il est possible de réaliser une correspondance avec une structure arborescente qui peut être également interprétée comme une règle de corrélation. Un graphe d’attaques peut être généré automatiquement pour donner un ensemble de chemins d’attaques possible sur un système. La fusion de ces deux structures pourrait permettre de disposer d’un point de départ pour l’obtention de règles de corrélation adaptée à l’environnement. L’un des objectifs de la thèse est de proposer un langage permettant de spécifier un scénario d’attaque avec un niveau d’abstraction suffisamment élevé.

Peu de travaux s’intéressent à la génération des règles de corrélation. L’approche qui semble se rapprocher le plus de notre objectif est [STPRS15] dans laquelle il est proposé une architecture de corrélation auto-adaptative reposant sur une génération de règles de corrélation par un algorithme de programmation génétique. Cependant cette approche suppose un apprentissage avec des don- nées d’attaques représentatives et demande également une normalisation sémantique élevée pour chaque événement. Un jeu de données contenant des messages classés en fonction de leur caractère malveillant est nécessaire pour réaliser la phase de sélection des scénarios lors de la mise en œuvre de l’algorithme génétique. De plus, les exemples mis en avant correspondent plus à des recons- tructions d’attaques élémentaires (DOS, HTTPFlood) plutôt qu’à une identification de scénarios d’attaque.

2.3

Conclusion

Ce chapitre a mis en parallèle l’expression de scénarios d’attaque dans le domaine de la corré- lation et dans le domaine de l’analyse de risques. Les caractéristiques communes des langages de corrélation ainsi que leurs limites (niveau d’abstraction très bas) sont ainsi ressorties. D’un côté, les arbres d’attaque (et leurs variantes) sont un formalisme dont la structure peut être adaptée pour décrire des scénarios d’attaque génériques spécifiés sous une forme analogue à celle des règles de corrélation. Un graphe d’attaques présente un ensemble de chemins d’attaques faisant intervenir des machines et des vulnérabilités spécifiques au système.

L’idée est de mettre en relation ces trois éléments : exprimer un scénario d’attaque générique sous la forme d’un arbre d’attaque puis utiliser une méthode de génération (ou plutôt d’instan- ciation) qui se rapproche de la construction des graphes d’attaques pour obtenir des règles de corrélation exprimées dans un langage cible. La principale différence avec l’approche des graphes d’attaques est que la génération est contrainte par la spécification initiale du scénario et le résultat est une règle de corrélation complète qui prend en compte les capacités de détection déployées au sein du système.

Chapitre 3

Construction d’une base de

connaissances pour la génération de

règles de corrélation

Dans ce chapitre, nous décrivons notre première contribution qui consiste en la définition d’une base de connaissances servant de support à la génération des règles de corrélation. Le premier chapitre a donné un aperçu des fonctionnalités de diverses bases de connaissances utilisées comme support à la corrélation, à la détection d’intrusion ou pour la génération de graphes d’attaques. L’objectif de ce chapitre est de proposer une base de connaissances offrant un niveau d’abstraction adapté pour la construction de règles de corrélation. Les informations contenues dans cette base doivent permettre la transformation d’une spécification générique de scénario d’attaque en un scénario d’attaque instanciant les spécificités du système modélisé. Cette base de connaissances doit remplir plusieurs objectifs : (1) fournir une modélisation de la topologie du système suffisamment fine pour permettre une sélection des nœuds impliqués dans un scénario d’attaque ; (2) exprimer la capacité de détection des différents éléments du système qui permettent d’observer des actions et exprimer également le contenu des messages générés par ces éléments lors de la détection ; (3) permettre de lier les actions de l’attaquant et leur détection.

La base de connaissances présentée dans ce chapitre s’appuie sur M4D4 ([MMDD09]) et propose une évolution1

de cette base de connaissances pour permettre de résoudre les problématiques adaptées à nos travaux. La première section justifie ce choix et récapitule la structure et le contenu de M4D4. La section suivante présente les éléments de notre base de connaissances en soulignant les modifications apportées par rapport à M4D4. La troisième partie traite des problématiques spécifiquement liées à la mise en œuvre et l’utilisation de cette base de connaissances.