About me

• Contact
• My GPG Public key

Research activities

• Publications
• Students

Enseignement

• Prog. Système
• Services Réseau
• Codewar

Misc

• 
• Config and programming stuffs

edit SideBar

Système de détection d'intrusion distribués

• Equipe : RD2P
• Responsable HDR : Gilles Grimaud
• Encadrant : Michaël Hauspie

Contexte

Ce projet se place dans le cadre d'une collaboration naissante avec l'entreprise Netasq autour de la sécurisation de grands centres de calcul (Cloud computing) via des sondes matérielles distribuées

Problématique

Dans le cadre de la sécurisation des Clouds, nous envisageons de distribuer l'analyse de traffic réseau (détection de traffic malveillant...) par l'utilisation de sondes matérielles placées en coupure du lien ethernet sur chaque serveur du centre de calcul.

Dans ce contexte, on peut distinguer deux familles d'actions malignes. La première d'entre elles, vise à s'approprier de façon non légitime le contrôle des éléments constituant le cloud. Cette appropriation peut se faire depuis l'extérieur ou depuis l'intérieur (à la suite d'une attaque extérieure par exemple). La deuxième famille concerne l'utilisation des ressources du cloud dans le but de mener une attaque vers l'extérieur de celui-ci après avoir obtenu le contrôle de ces éléments. Dans ce dernier cas, si le contrôle des éléments peut être obtenu de façon malicieuse, il est également envisageable que ce contrôle soit obtenu de façon légitime. En effet, les fournisseurs comme Amazon (via l'offre EC2) ou OVH (via l'offre miniCloud), proposent une location à l'heure de serveurs à des tarifs suffisamment intéressant pour ne pas empêcher une location massive en vue de l'utilisation des serveurs pour attaquer un système distant.

Pour pallier aux attaques visant à prendre le contrôle des éléments du cloud, la mise en place de systèmes de détection d'intrusion peut être envisagée. Nombre de solutions on été proposées pour détecter des tentatives d'intrusions sur un serveur. Cette détection peut intervenir au niveau réseau, avec des solutions comme Snort [1] ou Bro [2], ou au niveau système avec des solutions telles que rkhunter [3] ou chkrootkit [4]. L'inconvénient majeur de ces solutions est qu'elles ne peuvent travailler qu'avec une vision partielle du l'état du réseau. En effet, nous pensons que dans le contexte d'un cloud, dont les éléments peuvent être distribués géographiquement, il est envisageable de construire une attaque à partir de multiples flux qui, analysés indépendamment, ne déclencheraient pas d'alerte mais qui dans leur ensemble constituent une menace. On peut citer par exemple les diverses méthodes de scan de ports distribuées [5]. Des solutions logicielles ont été proposées [6, 7, 8], mais nécessitent des installations spécifiques sur les machines et/ou entrainent une augmentation significative de la charge réseau de part la communication entre les agents impliqués dans la détection. Nous proposons donc dans ce projet de distribuer un ensemble de sondes qui surveilleront chaque serveur via une analyse du trafic réseau de ce dernier. Ces sondes seront matérielles, branchées physiquement entre l'interface réseau du système et le commutateur dans le cas de machines physiques, ou logicielles, intégrées à l'hyperviseur dans le cas de machines virtuelles. Ces sondes observerons donc un sous-ensemble du trafic émanant ou dirigé vers le cloud et devront se concerter pour prendre une décision en fonction d'un ensemble de faits répartis sur l'ensemble du Cloud.

Travail à réaliser

L'étudiant devra étudier les systèmes de détection d'intrusion distribué. Il devra proposer un état de l'art des systèmes existant (centralisés et distribués), en constater les avantages et inconvénients et proposer une méthode originale de distribution d'un système de détection d'intrusion dont les acteurs seront hétérogènes par leur ressources tant du point de vue puissance de calcul que mémoire disponible.

Bibliographie

1. http://www.snort.org/
2. Vern Paxson, Bro: A System for Detecting Network Intruders in Real-Time, dans Proceedings of the 7th USENIX Security Symposium, 1998.
3. http://rkhunter.sourceforge.net/
4. http://www.chkrootkit.org/
5. Min Gyung Kang, Juan Caballero et Dawn Song, Distributed Evasive Scan Techniques and Countermeasures, dans Proceedings of the 4th international conference on Detection of Intrusions and Malware, and Vulnerability Assessment, 2007, p. 157-174.
6. S. Roschke, Intrusion Detection in the Cloud, dans Dependable, Autonomic and Secure Computing, 2009. DASC '09. Eighth IEEE International Conference on, 2009, ISBN 978-0-7695-3929-4
7. K. Vieira, Intrusion Detection for Grid and Cloud Computing, dans IT Professional, 2010, p. 38 – 43, ISSN 1520-9202
8. Fang-Yie Leu, Integrating grid with intrusion detection, dans Advanced Information Networking and Applications, 2005. AINA 2005. 19th International Conference on, 2005, p. 304 – 309, ISSN 1550-445X