Le partage des ressources et des informations sur un réseau gagne de plus en plus de popularité et d'importance. La complexité et les portées des transactions réalisables sur Internet qui demeure en expansion constante sont les enjeux majeurs de l'informatique. En réalité, les systèmes informatiques qui tendent à être de plus en plus ouverts et distribués, découvrent par la même occasion qu'ils sont de plus en plus susceptibles d'être la cible de dérèglements divers tels que les congestions, les accès malveillants et les attaques. A cet effet, il devient inéluctable de munir ces systèmes d'outils et de mécanismes capables d'inhiber ces dérèglements.
Le CERT (Computer Emergency Response Team), dans ses rapports annuels, affirme d'une part que les attaques contre les réseaux informatiques deviennent nombreuses et sophistiquées et souligne, d'autre part, que les mesures destinées à contrer ces attaques nécessitent sans cesse des améliorations.
Une des mesures anti-attaque à laquelle nous nous intéressons dans le cadre de ce projet est le Système d'association et de description des indices pour caractériser les Intrusions (SADICIR).
Repérer des tentatives de nuire à un système informatique de par le matériel et le logiciel. La description des indices associés aux intrusions consiste à scruter le trafic réseau, collecter tous les événements, les analyser et générer des indices pouvant être à l'origine des incidents sur le réseau.
Toutefois, une contradiction s'impose : comment est-ce que la plupart des SADICIR sont monolithiques et centralisés alors que la collecte des données sur le réseau est distribuée ?
[...] Ce dernier est un système expert qui permet d'implémenter des architectures d'agents à base de règles. Les agents JADE communiquent à travers le langage ACL (Agent Communication Language) de FIPA, dans le cas où ces agents sont hétérogènes, ils coopèrent par négociation. En général, la négociation est utilisée comme un mécanisme pour coordonner les actions d'un groupe d'agents lors de la résolution de problèmes. Différentes techniques de négociation ont été développées en s'appuyant sur la riche diversité des situations de négociation humaine dans divers contextes [Smi83]. [...]
[...] En d'autres termes, nous devons sur la scène du crime réunir le maximum d'indices donc une sorte de police scientifique du réseau et système. L'analyse par flux est plus pertinente que l'analyse par paquet pour reconstituer les échanges réseau d'une machine. Notre système devrait être en mesure de contrôler les évènements réseau et système afin de proposer une corrélation capable de liés certains de ces évènements Les évènements réseaux Nous sommes capables, à partir d'un flux réseau, de retrouver la suite de l'échange ; Le processus généré par le flux sur la machine destination. L'arbre de processus généré. [...]
[...] Auditer les fichiers de journalisation système Il s'agit d'auditer les fichiers système afin de déceler les comportements anormaux des processus. Auditer le journal des évènements Diagramme des cas d'utilisation Le diagramme est défini pour chaque acteur afin d'assurer une meilleure lisibilité. Cas d'utilisation de l'administrateur. Figure Diagramme des cas d'utilisation de l'administrateur. Cas d'utilisation du manager. Figure Diagramme des cas d'utilisation du manager. Cas d'utilisation de l'analyser. Figure Diagramme des cas d'utilisation de l'analyser. Diagramme des classes Classe Agent : décrit tous les agents de notre système. [...]
[...] Mise en oeuvre d'un prototype d'association et de description des indices pour caractériser les incidents réseaux Sommaire 1. Introduction et Problématique Analyse du problème Les menaces sur la sécurité réseau et système Politique de surveillance Description de la solution proposée Les évènements réseaux Les évènements systèmes L'analyse corrélative des évènements Conception et modélisation du problème Conception Architecture globale du système Architecture détaillée du système Modélisation du problème Langage de modélisation Modèles UML du prototype Evaluation corrélative du sinistre Mise en œuvre et présentation des résultats Outils utilisés SNORT JADE Présentation des résultats Aspect Sécurité Aspect IHM Conclusion Annexe Références Bibliographiques 25 Introduction et Problématique Le partage des ressources et des informations sur un réseau gagne de plus en plus de popularité et d'importance. [...]
[...] Classe Icmp : décrit tous les indices pouvant provenir d'un incident causé d'un paquet ICMP. Classe User : décrit tous les utilisateurs du système. Classe Application : décrit la liste de toutes les applications lancées. Classe Process : décrit tous processus lancés. Figure Diagramme des classes. Identification et description de quelques scénarios du système Scénario analyser base de données Objectif : récupérer toutes des informations pertinentes de la base de données dont le traitement permettra d'obtenir des renseignements sur l'origine de l'incident. [...]
Source aux normes APA
Pour votre bibliographieLecture en ligne
avec notre liseuse dédiée !Contenu vérifié
par notre comité de lecture