Construction d’un multi-modèle d’application répartie pour la détection d’intrusion

The study carried out during this thesis focuses on the security of distributed applications. Although security concerns are addressed during application development, an attack may affect the services provided or allow access to confidential data. To detect intrusions, we consider an anomaly detection mechanism that is based on a model of the normal behavior of the monitored application. During a model construction phase, the application is run multiple times to observe some of its correct behaviors. Each trace collected makes it possible to identify events and their causal relationships, without the need of a global clock. The model constructed is twofold: it includes an automaton and a list of probable invariants which both characterize authorized sequences of events. These two models are initially redundant but this redundancy decreases when generalization techniques are applied to the automaton. Existing solutions suffer from scalability issues. In this thesis, proposals are made to solve these scalability issues, while maintaining good precision during the detection phase. To evaluate the proposed solutions, a real distributed application is used and several attacks against it are considered.L’étude réalisée durant cette thèse porte sur la sécurité des applications distribuées. Bien que les problèmes de sécurité soient traités lors du développement des applications, une attaque peut affecter les services fournis ou permettre l'accès à des données confidentielles. Pour détecter les intrusions, nous considérons un mécanisme de détection d’anomalies qui repose sur un modèle du comportement normal de l’application surveillée. Au cours d’une phase de construction du modèle, l’application est exécutée plusieurs fois pour observer certains de ses comportements corrects. Chaque trace collectée permet d’identifier des événements et leurs relations de causalité, sans qu’une horloge globale soit nécessaire. Le modèle construit est double : il comporte un automate et une liste d’invariants probables qui caractérisent tous les deux des séquences d’événements autorisées. Ces deux modèles sont au départ redondants mais cette redondance diminue lorsque des techniquesde généralisation sont appliquées à l’automate. Les solutions existantes souffrent de problèmes de passage à l’échelle. Dans cette thèse, des propositions sont faites pour résoudre ces problèmes de passage à l’échelle, tout en conservant une bonne précision pendant la phase de détection. Pour évaluer les solutions proposées, une application distribuée réelle est utilisée et plusieurs attaques contre elle sont envisagées