Techniques de rôle mining pour la gestion de politiques de sécurité : application à l'administration de la sécurité réseau

This thesis is devoted to a bottom-Up approachfor the management of network security policies fromhigh abstraction level with low cost and high confidence.We show that the Network Role Based Access Control(Net-RBAC) model is adapted to the specification ofnetwork access control policies. We propose policymining, a bottom-Up approach that extracts from thedeployed rules on a firewall the corresponding policymodeled with Net-RBAC. We devise a generic algorithmbased on matrix factorization, that could adapt most ofthe existing role mining techniques to extract instancesof Net-RBAC. Furthermore, knowing that the large andmedium networks are usually protected by multiplefirewalls, we handle the problem of integration of Net-RBAC policies resulting from policy mining over severalfirewalls. We demonstrate how to verify securityproperties related to the deployment consistency overthe firewalls. Besides, we provide assistance tools foradministrators to analyze role mining and policy miningresults as well. We formally define the problem ofcomparing sets of roles and evidence that it is NPcomplete.We devise an algorithm that projects rolesfrom one set into the other set based on Booleanexpressions. This approach is useful to measure howcomparable the two configurations of roles are, and tointerpret each role. Emphasis on the presence ofshadowed roles in the role configuration will be put as itincreases the time complexity of sets of rolescomparison. We provide a solution to detect differentcases of role shadowing. Each of the abovecontributions is rooted on a sound theoreticalframework, illustrated by real data examples, andsupported by experiments.Cette thèse est consacrée à une approcheascendante pour l’administration de la sécurité desréseaux informatiques d’un haut niveau d’abstraction.Nous montrons que le modèle Net-RBAC (Network RoleBased Access Control) s'adapte à la spécification despolitiques de contrôle d’accès des réseaux. Nousproposons une approche ascendante et automatiquebaptisée policy mining qui extrait la politique modéliséepar Net-RBAC à partir des règles de sécurité déployéessur un pare-Feu. Notre algorithme basé sur lafactorisation matricielle est capable d’adapter la plupartdes techniques de role mining existantes. Comme lesréseaux des entreprises sont souvent protégés parplusieurs pare-Feu, nous traitons le problèmed’intégration de politiques résultant de l’application depolicy mining sur chaque pare-Feu. Nous vérifions lespropriétés de sécurité reliées à la cohérence dudéploiement de la politique sur plusieurs dispositifs. Enoutre, nous proposons des outils qui assistent unadministrateur dans l’analyse des résultats du role mininget du policy mining. Nous formalisons le problème decomparaison de deux configurations de rôles et prouvonsqu'il est NP-Complet. Nous définissons un algorithme quiprojette les rôles d’une configuration dans une autre ense basant sur des expressions Booléennes. Noussoulignons que la présence de rôles ombragés dans uneconfiguration se manifeste par une augmentation de lacomplexité de la comparaison avec une autreconfiguration et présentons une solution pour détecterdifférentes anomalies d’ombrage. Chaque contribution sebase sur un cadre théorique solide, est illustrée par desexemples réels, et appuyée par des résultatsexpérimentaux