Systèmes de détection d'intrusion

Top PDF Systèmes de détection d'intrusion:

Évaluation des Systèmes de Détection d'Intrusion

Évaluation des Systèmes de Détection d'Intrusion

6) Cacher les traces (Hiding Traces) : les attaquants les plus expérimentés utilisent généralement cette dernière étape pour effacer leurs traces et rendre ainsi la détection plus difficile. Il est important de noter que, du point de vue de la détection d’intrusion, le nombre d'étapes qui apparaît dans une certaine session d'un processus d'attaque est arbitraire. En effet, afin d'empêcher la détection, les attaquants peuvent procéder lentement, en plusieurs étapes, sur plusieurs jours, voir même sur plusieurs semaines. Ainsi, quand ils reprennent leur attaque avec les étapes qui suivent, cela pourrait apparaître comme une nouvelle attaque pour l'outil de détection d’intrusion (IDS) ; le plus souvent, l'attaquant recommence directement par une augmentation de privilège ou par exécuter des actions intrusives sans reproduire les étapes précédentes (telles que la reconnaissance, la fouille, etc.). Par ailleurs, dans bien des cas, l'attaquant peut être un utilisateur interne qui possède un compte valide et qui a déjà suffisamment d'information et de privilège ; il n'a donc pas besoin de passer par certaines étapes comme la reconnaissance. D'un autre côté, un processus d'attaque peut être interrompu délibérément par une simple décision de l'attaquant, par exemple s’il estime qu'il est difficile de réussir son attaque ou s'il a trouvé une autre cible plus facile ou plus intéressante.
En savoir plus

176 En savoir plus

Intrusion Detection from Heterogenous Sensors

Intrusion Detection from Heterogenous Sensors

Les systèmes de détection d’intrusion, Intrusion Detection Systems (IDS) en anglais, jouent un rôle clé dans la surveillance et le contrôle des infrastructures de réseau informatique. Ces systèmes inspectent les événements qui se produisent dans les systèmes et réseaux informatiques et en cas de détection d’activité malveillante, ces derniers génèrent des alertes afin de fournir les détails des attaques survenues. Cependant, ces systèmes présentent certaines limitations qui méritent d’être adressées si nous souhaitons les rendre suffisamment fiables pour répondre aux besoins réels. L’un des principaux défis qui caractérise les IDS est le grand nombre d’alertes redondantes et non pertinentes ainsi que le taux de faux-positif générés, faisant de leur analyse une tâche difficile pour les administrateurs de sécurité qui tentent de déterminer et d’identifier les alertes qui sont réellement importantes. Une partie du problème réside dans le fait que la plupart des IDS ne prennent pas compte les informations contextuelles (type de systèmes, applications, utilisateurs, réseaux, etc.) reliées à l’attaque. Ainsi, une grande partie des alertes générées par les IDS sont non pertinentes en ce sens qu’elles ne permettent de comprendre l’attaque dans son contexte et ce, malgré le fait que le système ait réussi à correctement détecter une intrusion. De plus, plusieurs IDS limitent leur détection à un seul type de capteur, ce qui les rend inefficaces pour détecter de nouvelles attaques complexes. Or, ceci est particulièrement important dans le cas des attaques ciblées qui tentent d’éviter la détection par IDS conventionnels et par d’autres produits de sécurité. Bien que de nombreux administrateurs système incorporent avec succès des informations de contexte ainsi que différents types de capteurs et journaux dans leurs analyses, un problème important avec cette approche reste le manque d’automatisation, tant au niveau du stockage que de l’analyse.
En savoir plus

181 En savoir plus

Evaluation des systèmes de détection et de prévention des intrusions et la conception d’un BiIDS

Evaluation des systèmes de détection et de prévention des intrusions et la conception d’un BiIDS

D’une manière générale, l'efficacité d'un système de détection d'intrusion dépend de sa “configurabilité” (possibilité de définir et d’ajouter de nouvelles spécifications d'attaque), de sa robustesse (résistance aux défaillances) et de la faible quantité de faux positifs (fausses alertes) et de faux négatifs (attaques non détectées) qu'il génère. Une lutte entre techniques d’intrusion et IDS s’est engagée, les IDS ayant pour conséquence une plus grande technicité des attaques sur IP, et les attaques actuelles imposant aux IDS d’être plus complets et plus puissants. Les IDS sont actuellement des produits mûrs et aboutis. Ils continuent d'évoluer pour répondre aux exigences technologiques du moment mais offrent d'ores et déjà un éventail de fonctionnalités capable de satisfaire les besoins de tous les types d'utilisateurs. Néanmoins, comme tous les outils techniques, ils ont des limites que seule une analyse humaine peut compenser. A la manière des pare-feu, les détecteurs d'intrusion s’améliorent chaque jour grâce à l'expérience acquise, mais ils deviennent aussi de plus en plus sensibles aux erreurs de configuration et de paramétrage. Par conséquent, il est plus que fondamental de former correctement les personnes chargées de la mise en œuvre et de l'exploitation des IDS. Malheureusement, il semble que subsiste là une grande partie de la difficulté. A ce jour, aucun outil ne permet de remplacer l'être humain dans un test d'intrusion.
En savoir plus

91 En savoir plus

Modélisation formelle des systèmes de détection d'intrusions

Modélisation formelle des systèmes de détection d'intrusions

Recent survey papers describe latest advances in a specific dimension (axis). Di- mensions give an essential understanding of areas related to recent work, that will be classified and evaluated in our paper. This paper extends existing survey pa- pers [ 59 , 80 , 153 , 176 , 208 , 223 , 230 , 299 , 350 ] by covering different comparison dimen- sions. The first dimension is the domain, a technological and general application area underlying a specific research work, for example: Cloud Computing, Big Data, Software Defined Networking, Smart Cities in public safety and Smart Grids in cyber- physical systems. The second is the architecture or topological organization of net- work objects, for example: MANET, VANET, and UAVNET. Finally, the Local Communication Technology (LCT) that enables exchanging data on a small and large distance, for example: Bluetooth, Zigbee, Wi-Fi and WiMAX. For a given dimension, we present some topics that are not fully covered in recent papers such as vulnera- bilities, attack classification, intrusion detection techniques, event stream processing approaches, and dataset lists. In Table 1.1 , we use two notations: 3 when an aspect is covered by the survey and 7 otherwise. Surveys [ 59 , 350 ] cover the same domain,
En savoir plus

291 En savoir plus

Détection d'erreur au plus tôt dans les systèmes temps-réel : une approche basée sur la vérification en ligne

Détection d'erreur au plus tôt dans les systèmes temps-réel : une approche basée sur la vérification en ligne

tement courant de l’application n’est pas un comportement normal permet de motiver le signalement d’une erreur. Ce cas correspond à l’identification de l’ensemble des exécu- tions erronées «par défaut» (E’), mais aussi des exécutions explicitement erronées (E), cf figure 1.1 . Notez que la vérification en ligne est un moyen et non un but en soi. Il est parfois pratique d’avoir ces deux visions de la détection d’erreur par vérification en ligne. Une définition exacte du comportement redouté permet d’établir une classification des erreurs et de proposer des mécanismes de recouvrement spécialisés pour un type particu- lier d’erreur. En pratique, le modèle abstrait d’une exécution possède nécessairement une sémantique par «pas». La définition des pas du modèle de l’exécution est fortement re- liée à la définition des changements d’état élémentaires pouvant s’opérer sur le système. La représentation la plus simple est la séquence d’états et /ou de changements d’état de l’application. Dans ce contexte, une unité d’information peut être la détection par l’ob- servateur d’un nouveau pas dans l’exécution de l’application. En pratique, un pas dans l’exécution est un événement (une date, une étape précise dans le code de l’application ou de l’exécution du système) permettant d’identifier la progression de l’exécution sur l’axe temporel. Le rôle de l’observateur est de surveiller l’exécution de l’application et de signa- ler les pas d’exécution significatifs pour la vérification en ligne dont le bloc d’analyse est en charge. Le modèle abstrait de l’exécution de l’application n’est que très rarement réel-
En savoir plus

141 En savoir plus

Détection et correction automatique des défauts de conception
au moyen de l’apprentissage automatique pour l’amélioration
de la qualité des systèmes

Détection et correction automatique des défauts de conception au moyen de l’apprentissage automatique pour l’amélioration de la qualité des systèmes

tion manuelle ferait perdre beaucoup de temps et d’argent. La correction va consister à proposer une restructuration composée d’un ensemble de refactorisation. Les questions suivantes méritent d’être élucidées dans le cadre de ce volet de notre recherche : QR 4 : comment exploiter les résultats de la détection dans la correction ? Nous exploi- tons les résultats fournis par SVMDetect pour caractériser les différentes classes de défauts et répertorier les attributs qui ont contribué le plus à leur détection. Moha et al. [30] l’ont fait pour le Blob. Nous allons donc étendre ce travail aux autres défauts de conception. La plupart des travaux ne font aucun lien entre la correction et la détection des défauts. Ces attributs serviront de critères pour juger de la pertinence des restructurations en évaluant si les valeurs de ces attributs se sont améliorées.
En savoir plus

57 En savoir plus

Systèmes de détection incendie de tunnels routiers enseignements tirés d'un projet international de recherches

Systèmes de détection incendie de tunnels routiers enseignements tirés d'un projet international de recherches

ESSAIS DE RÉSISTANCE ENVIRONNEMENTALE ET D'INCENDIE DANS LE TUNNEL LINCOLN À NEW YORK Avec la collaboration du Port Authority of New York and New Jersey [5], quatre systèmes de détection relevant de trois technologies de détection d'incendie ont été installés dans le tronçon sud du tunnel Lincoln (D-4C1, D-5C2, D-3F1, D-9S1). Les systèmes installés ont fait l'objet d'un suivi, sur une période de dix mois, aux fins d’une évaluation en particulier de l'entretien et des fausses alarmes. Des simulations d'incendie ont aussi été effectuées dans ce tunnel à l’aide d’un combustible diesel à l'intérieur d'un fourgon vide dont on avait retiré préalablement toutes les fenêtres (Figure 9). Le feu a brûlé dans des barils d'essence (208 l) placés à l'arrière d’un fourgon. L'incendie, estimé entre 1 et 2 MW, a produit beaucoup de fumée, mais les flammes restaient visibles à travers les fenêtres ouvertes. Pendant la période de suivi, la température à l'extérieur du tunnel a varié de -12 °C à 33 °C et il est tombé 25 mm de neige et 190 mm de pluie. Les détecteurs ont aussi été exposés à de la suie et à la saleté provenant de la circulation ainsi qu'aux opérations de nettoyage à l’eau et au savon.
En savoir plus

17 En savoir plus

Détection et isolation de défauts combinant des méthodes à base de données appliquées aux systèmes électro-énergétiques

Détection et isolation de défauts combinant des méthodes à base de données appliquées aux systèmes électro-énergétiques

Résumé : Le travail présenté dans cette thèse a pour objectif de présenter une méthode de diagnostic de défauts et un matériel de laboratoire pour l'enseignement de la surveillance et le diagnostic de panneaux photovoltaïques pour les étudiants des cycles supérieurs. La contribution est une présentation d'un algorithme pour la détection et la localisation de défaut de générateur photovoltaïque par l’utilisation d’un nombre limité de capteurs de tension. La conception d'un traceur de courbe IV à l'aide d'une charge capacitive, est utilisée pour mesurer les caractéristiques I- V de panneaux photovoltaïques. Cette mesure permet de caractériser sur le site des panneaux photovoltaïques dans des conditions d'exploitation réelles et fournit également des informations pour la détection d’anomalies potentielles. La conception pratique basée sur une carte de famille microcontrôleur appelé chipKIT Max32 qui est une plate-forme populaire pour le calcul et la programmation . Un programme de supervision sous forme d’interface graphique (GUI) est développé par l'utilisation de Matlab Simulink.
En savoir plus

126 En savoir plus

Analyse d’information tridimensionnelle issue de systèmes multi-caméras pour la détection de la chute et l’analyse de la marche

Analyse d’information tridimensionnelle issue de systèmes multi-caméras pour la détection de la chute et l’analyse de la marche

électronique mesurant le mouvement de mires réfléchissantes positionnées sur le corps (système Vicon par exemple [ 5 ]). Cependant, ces systèmes sont relativement coûteux et nécessitent des compétences techniques particulières qui engendrent généralement le re- crutement d’un ingénieur spécialisé. Il est donc difficile de les utiliser à grande échelle dans une clinique courante et ces systèmes restent donc réservés à de grands centres de rééducation. Même si l’information disponible avec ces systèmes est plus riche qu’avec un unique accéléromètre, l’idée reste toutefois d’échantillonner l’information disponible de manière plus ou moins détaillée. Encore une fois, le choix de se focaliser sur cer- tains points de mesure peut conduire à des pertes d’informations. Les systèmes opto- électroniques reposent en effet sur un modèle biomécanique pour choisir le placement des mires réfléchissantes. Ce modèle simplifie le corps humain en solides rigides connec- tés par des articulations parfaites. De plus, ces modèles ne tiennent généralement pas compte des 200 os du corps humain, mais définissent des segments corporels simplifiés (en particulier pour le tronc, les mains, les épaules et l’avant-bras).
En savoir plus

166 En savoir plus

Systèmes de réputation et préférences des consommateurs : application de la théorie de la détection du signal au commerce en ligne

Systèmes de réputation et préférences des consommateurs : application de la théorie de la détection du signal au commerce en ligne

52 Figure 9 – Impact de la variation de la variance de la qualité des biens sur la différence d’utilité entre le système PON et BIN Le premier résultat est que, plus la variabilité est élevée, plus la différence d’utilité espérée entre les systèmes augmente et plus le consommateur préfère utiliser le système avec deux modalités. Cette relation négative entre la variabilité et la différence d’utilité s’explique par le fait que les efforts cognitifs pour discriminer les types deviennent de plus en plus élevés puisque l’on force l’acheteur à calculer deux critères de décisions au lieu d’un seul, ce qui augmente les coûts. Les équations (5.7) et (5.8) montrent aussi que le consommateur ne se prévaut pas de la modalité neutre lorsque les paramètres de désutilités sont faibles. Ainsi, le consommateur supporte des coûts supplémentaires sans avoir des gains en contrepartie. C’est pour cette raison que les pentes des lignes où les paramètres de désutilités sont faibles et modérées sont essentiellement négatives.
En savoir plus

74 En savoir plus

Amélioration de la détection d'anti-patrons dans les systèmes à base de services par la fouille de traces d'exécution

Amélioration de la détection d'anti-patrons dans les systèmes à base de services par la fouille de traces d'exécution

Pour l e mond e des applications à base de services, la com- munauté a créé un cata l ogue t rès dense de patrons SOA, mais une seule approche vise leur détection dans [r]

121 En savoir plus

Utilisation de la détection cohérente pour les systèmes de transmission optique à 40 GB/s ET 100 GB/s

Utilisation de la détection cohérente pour les systèmes de transmission optique à 40 GB/s ET 100 GB/s

X Fig. a: Configuration typique des systèmes de communication par fibre optique longue distance. La modulation de l’intensité de la lumière combinée avec la détection directe a été la technique de référence pour les systèmes commerciaux de transmission par fibre optique jusqu'à récemment. Cette option combine des émetteurs et des récepteurs rentables avec une qualité de transmission suffisante pour des transmissions allant jusqu’à 10 Gb/s. Néanmoins, pour répondre à la demande incessante d’augmentation de la capacité, des débits plus élevés sont nécessaires, à savoir 40 et 100 Gb/s. Le défi est que la transmission par fibre optique devient généralement de plus en plus difficile avec l’augmentation du débit par canal car le rapport signal à bruit optique (OSNR) requis en fin de liaison augmente tandis que la robustesse face aux effets physiques (linéaires) de propagation, tels que la dispersion chromatique et la dispersion modale de polarisation (PMD), se réduit sévèrement. Dans ce contexte, de nombreuses études ont porté sur la modulation par déplacement de phase (PSK) combinée avec de la détection (directe-) différentielle durant les dix dernières années. Néanmoins, la tolérance aux effets linéaires de propagation est restée une des contraintes majeures pour le déploiement commercial. Ainsi, une solution en rupture, permettant d’augmenter la capacité totale transmise tout en étant robuste vis-à-vis des effets linéaires de propagation, a été nécessaire.
En savoir plus

198 En savoir plus

Systèmes coopératifs décentralisés de détection et de contre-mesures des incidents et attaques sur les réseaux IP

Systèmes coopératifs décentralisés de détection et de contre-mesures des incidents et attaques sur les réseaux IP

Les opérateurs de certains botnets, pour augmenter la résilience de leur réseau et pour distribuer la charge de travail, utilisent plusieurs serveurs de contrôle et commande. Ils distribuent la charge réseau en se basant sur le protocole DNS. Les membres du bot- net génèrent régulièrement des requêtes DNS vers le nom de domaine du serveur de contrôle afin de récupérer son adresse. Les systèmes de détection, décrits précédem- ment, basés sur les flux réseau ne peuvent pas regrouper les connexions vers différents serveurs de contrôles du même botnet. Elles identifient le changement d’adresse IP du serveur distant comme un nouveau flux. Afin de regrouper les flux des membres du même botnet utilisant plusieurs serveurs et ainsi de leur appliquer des algorithmes de classifi- cation, Fedynyshyn et al.[FCT11] proposent de regrouper les flux réseau par rapport à leur nom de domaine DNS.
En savoir plus

135 En savoir plus

Evaluation des systèmes d'intelligence épidémiologique appliqués à la détection précoce des maladies infectieuses au niveau mondial.

Evaluation des systèmes d'intelligence épidémiologique appliqués à la détection précoce des maladies infectieuses au niveau mondial.

pourcentage de patients consultant un généraliste pour un syndrome grippal. 88 Si, ces projets semblent très prometteurs notamment pour compléter la SBI pour des pathologies bien connues et fréquentes, l’utilisation des réseaux sociaux et de la surveillance participative dans la détection précoce d’autres évènements sanitaires reste encore à démontrer. La nature même de ces nouveaux modes de communication les rend actuellement inutilisables. Le traitement de ce type d’information présente encore plus de contraintes que celle des médias traditionnels. Par exemple, les messages Twitter sont limités à 140 caractères, ce qui laisse très peu de place pour l’analyse du contenu, Facebook contient de nombreuses données personnelles ce qui soulève la question de la confidentialité. Le langage souvent familier est également générateur d’un volume important de faux signaux (par exemple dans de nombreux langages le mot peste a un sens très diffèrent suivant le contexte médical ou familier). Il est également vraisemblable que pour ce type de communication destinée à un « réseau personnel », l’idiome utilisé soit plus fréquemment la langue ou le dialecte maternel que cela n’est le cas actuellement sur Internet. Ces nouveaux modes de communications sont néanmoins une réalité et pourraient potentiellement fournir des informations utiles dans le cadre de la détection d’évènements sanitaires. Dans le futur, la pertinence de leur utilisation devra être considérée et évaluée dans le cadre d’études spécifiques.
En savoir plus

122 En savoir plus

2011 — AlertWheel visualisation radiale de graphes bipartis appliquée aux systèmes de détection d'intrusions sur des réseaux informatiques

2011 — AlertWheel visualisation radiale de graphes bipartis appliquée aux systèmes de détection d'intrusions sur des réseaux informatiques

Source des données d’audit : Il existe quatre grandes familles d’IDS à ce niveau : host- based (HIDS), application-based (APIDS), network-based (NIDS), et les systèmes de corrélation. Les systèmes basés sur des hôtes détectent les attaques perpétrées contre un système informatique hôte en particulier. Ces IDS utilisent, entre autres, les journaux du système et les informations du système (ex. : processus actifs) pour détecter les intrusions. Les IDS basés sur des applications sont particulièrement adaptés pour protéger des processus précis (ex. : serveur web). Ils peuvent être intégrés directement dans le code source de l’application, ou encore être intégrés via des interfaces publiques ou des extensions (hooks). De leur côté, les IDS réseau analysent habituellement le trafic échangé entre les nœuds d’un réseau. Ce type d’IDS est particulièrement répandu, principalement grâce à sa simplicité de déploiement (simplement insérer entre deux nœuds du réseau). Ils apportent malheureusement leur lot de difficultés : capacité limitée de traitement réduisant la rapidité du réseau, incapacité à analyser les données cryptées, etc. Enfin, les systèmes de corrélation combinent habituellement les informations de plusieurs solutions (ex. : un HIDS et un NIDS) pour obtenir une vue plus générale de la situation, laquelle serait impossible à récupérer à l’aide d’un seul outil.
En savoir plus

119 En savoir plus

Attack development for intrusion detector evaluation

Attack development for intrusion detector evaluation

Reconstructing the HTTP session that transferred the tester.tar archive file using NetTracker reveals that all of the files in the archive except for the one named[r]

97 En savoir plus

Distance Measures for Anomaly Intrusion Detection

Distance Measures for Anomaly Intrusion Detection

LOGtfidf and Mtfidf score of the event become bigger and this helps a lot for detection of abnormal sequence of audit data. As these kinds of weight consider the frequencies of each event in its sequence and also in the whole data set, we may call these weights as cross frequency weights. Using the cross frequency weights are essentially more effective than only using the plain frequency attributes of audit data for anomaly intrusion. In addition, the computation cost of the cross frequency weights is almost as the same as the computation expense of the frequency and is low overhead. In this way, by using the cross frequency weights, the detection accuracy can improve a lot while the computation expense almost does not increase so that an effective IDS can be developed for real-time detection.
En savoir plus

10 En savoir plus

Self-adaptive web intrusion detection system

Self-adaptive web intrusion detection system

The first two axes enable the proposition of an architecture to detect and prevent attacks in local area networks. The main idea is to centralize the in- formation that comes from several existing tools in order to make the detection more robust. The system of Tsian et al. [24] merges alarms that comes from sev- eral network-based IDSs and host-based IDSs deployed on the local network. It uses the Dempster-Shafer [21] for data fusion. Gu et al. [10] propose a decision- theoretic alert fusion based on a likelyhood ratio test (LRT). In a global area network, a collaborative approach [15, 26] to intrusion detection aims at giving a global view of the network attack activity. Augmenting the information ob- tained at a single site with information gathered from the network can provide a more precise model of an intruder’s behavior. For instance, the Worminator [15] is a P2P collaborative approach to the intrusion detection.
En savoir plus

28 En savoir plus

Correlation in an intrusion detection process

Correlation in an intrusion detection process

Attack and alert correlation Our approach for intrusion scenario detection uses the same materials as the ones introduced in section 3, namely attack specification through pre and post c[r]

21 En savoir plus

Assessing data intrusion threats—Response

Assessing data intrusion threats—Response

First, Barth-Jones et al. have consistently considered an intrusion to be a breach of privacy only if “all targeted customers” are reidentified (2). This is an unrealistic definition of breach of privacy. Second, Barth-Jones et al. assume that it is “very unlikely” for an attacker to be able to collect geolocalized information about an individual. At best, this is a striking underestimation of the current availability of identified data. Possible sources would include manually collected clues about an individual we know (e.g., receipts or branded shopping bags) (3); having access or collecting from public profiles people’s check-ins at shops or restaurants on Yelp, Foursquare, or Facebook (4); or having access to a retailer’s database or to a data- base of geolocalized information such as the one collected by smartphone applica- tions (5), WiFi companies, and virtually any carriers in the world. Third, Barth-Jones et
En savoir plus

3 En savoir plus

Show all 4665 documents...