• Home

  • Documents

  • Détection d'intrusions ORCHIDS + Net QI d intrusions...vant de détecter des intrusions, il...
2
Détection d'intrusions ORCHIDS + Net QI Équipe-projet SECSI Centre de recherche INRIA Futurs Laboratoire LSV ENS Cachan 61, avenue du président Wilson 94230 Cachan Jean Goubault-Larrecq http://www.lsv.ens-cachan.fr/~goubault/ Avant de détecter des intrusions, il est utile de savoir prévoir les pannes et les attaques contre un réseau donné. Net Qi est une architecture, en cours de développe- ment, permettant l'analyse des points faibles d'un réseau. Net Analyzer : un outil reconstruisant les dépendances entre services, et entre fichiers et services, à partir d'une analyse statistique des flux réseau ; Net Foresight : vérification de propriétés de robustesse et en général de résilience des réseaux face aux pannes et aux attaques. Ceci est fondé sur des techniques de model-checking de la logique TATL sur des jeux d'automates temporels. SECSI (Sécurité des Systèmes d'Information) a pour spécialité la vérification automatique de proprié- tés de sécurité de systèmes et réseaux informatiques. SECSI se fonde pour ceci essentiellement sur des outils venant de la logique (logiques, model-checking, auto- mates). SECSI s'intéresse notamment à : la vérification automatique de protocoles cryptographiques ; la détection d'intrusions (cette démo) ; l'analyse statique de code pour la sécurité. Prévision d'incidents avec Net Qi Un graphe de dépendances d'un serveur Web redondant simple. Le fichier index.html de droite est copié sur le serveur de gau- che à intervalles réguliers. Si l'administrateur peut patcher les services vulnérables assez vite, cette architecture garantit un temps minimum en ligne ("service level agreement"). Sinon, tout le réseau peut devenir compromis. NetQi est composé d'un logiciel de capture des dépendances entre services et fichiers sur le réseau à analyser (NetAnalyzer), et d'un outil d'analyse de l'impact de ces dépendances sur la vul- nérabilité du réseau (NetForesight). CENTRE NATIONAL DE LA RECHERCHE SCIENTIFIQUE SECSI utilise différentes logiques appliquées à la sécurité : ici, une for- mule de TATLexprimant la propriété de "service level agreement" d'un réseau. L'équipe-projet SECSI est commune avec le LSV (CNRS et ENS Cachan), localisée à Cachan.

Détection d'intrusions ORCHIDS + Net QI d intrusions...vant de détecter des intrusions, il est utile de e un réseau donné.-ment, permettant l'analyse des points faibles d'un réseau

  • Upload
    others

  • View
    3

  • Download
    0

Embed Size (px)

Citation preview

Page 1: Détection d'intrusions ORCHIDS + Net QI d intrusions...vant de détecter des intrusions, il est utile de e un réseau donné.-ment, permettant l'analyse des points faibles d'un réseau

Détection d'intrusions

ORCHIDS + Net QI

Équipe-projet SECSICentre de recherche INRIA FutursLaboratoire LSVENS Cachan61, avenue du président Wilson94230 Cachan

Jean Goubault-Larrecq

http://www.lsv.ens-cachan.fr/~goubault/

Avant de détecter des intrusions, il est utile desavoir prévoir les pannes et les attaques contre unréseau donné.

Net Qi est une architecture, en cours de développe-ment, permettant l'analyse des points faibles d'unréseau.

l Net Analyzer : un outil reconstruisant les dépendancesentre services, et entre fichiers et services, à partir d'une analyse statistique des flux réseau ;

l Net Foresight : vérification de propriétés de robustesse eten général de résilience des réseaux face aux panneset aux attaques. Ceci est fondé sur des techniques demodel-checking de la logique TATL © sur des jeux d'automates temporels.

SECSI (Sécurité des Systèmes d'Information)a pour spécialité la vérification automatique de proprié-tés de sécurité de systèmes et réseaux informatiques.SECSI se fonde pour ceci essentiellement sur des outilsvenant de la logique (logiques, model-checking, auto-mates).

SECSI s'intéresse notamment à :l la vérification automatique de protocoles cryptographiques ;

l la détection d'intrusions (cette démo) ;

l l'analyse statique de code pour la sécurité.

Prévision d'incidents avec Net Qi

Un graphe de dépendances d'un serveur Web redondant simple.Le fichier index.html de droite est copié sur le serveur de gau-che à intervalles réguliers. Si l'administrateur peut patcher lesservices vulnérables assez vite, cette architecture garantit untemps minimum en ligne ("service level agreement"). Sinon, toutle réseau peut devenir compromis.

NetQi est composé d'un logiciel de capture des dépendancesentre services et fichiers sur le réseau à analyser (NetAnalyzer),et d'un outil d'analyse de l'impact de ces dépendances sur la vul-nérabilité du réseau (NetForesight).

CENTRE NATIONALDE LA RECHERCHESCIENTIFIQUE

SECSI utilise différentes logiques appliquées à la sécurité : ici, une for-mule de TATL© exprimant la propriété de "service level agreement" d'unréseau.

L'équipe-projet SECSI est commune avec le LSV (CNRSet ENS Cachan), localisée à Cachan.

Page 2: Détection d'intrusions ORCHIDS + Net QI d intrusions...vant de détecter des intrusions, il est utile de e un réseau donné.-ment, permettant l'analyse des points faibles d'un réseau

Les attaques contre les systèmes d'exploitation et lesréseaux deviennent de plus en plus complexes, etdifficiles à détecter et à contrer. Ceci tient notam-ment au fait qu'elles se font en plusieurs étapes.ORCHIDS les détecte en reconnaissant en tempsréel les suites d'événements caractéristiques deces attaques, via des signatures.

On notera qu'une seule signature ORCHIDS estcapable, plus généralement, de détecter toute unefamille d'attaques. ORCHIDS peut même détecteret contrer certaines attaques "zéro-day".

L'attaque ptrace de 2003. L'intrus a initialement un compte surla machine cible. Il gagne les droits du super utilisateur (root).Ceci est matérialisé par le signe '#' sur la dernière ligne.

Le principe de l'attaque ptrace de 2003.

Détection d'intrusions complexes avec ORCHIDS

Une représentation graphique d'un automate détectant l'attaqueptrace.

L'attaque do_brk de 2005 a été responsable de la mise horsligne des serveurs maîtres GNU et Debian. Elle est indétectableau sens où elle ne produit aucun événement observable.ORCHIDS détecte la corruption qui s'ensuit grâce à un moniteur(ci-dessus), et lance une contre-mesure si un processus gagneles droits du super utilisateur (root) sans être passé par l'un desappels système prévus pour cela. Ceci détecte aussi de nom-breuses autres attaques "local-to-root", incluant do_mmap,do_munmap, do_mremap... lesquelles n'ont été connues que parla suite. ORCHIDS peut donc détecter certaines "zéro-dayattacks".

L'attaque mod_ssl de 2003 permet d'obtenir une lignede commande à distance ("remote exploit"), via l'inser-tion d'un shellcode, utilisant un débordement de tam-pon en mémoire (ci-dessus). On peut ensuite rejouerune attaque local-to-root comme ptrace ou do_brk pourobtenir les droits du super utilisateur.

La base de signatures d'ORCHIDS.

ORCHIDS fait échouer une instance de l'attaque ptrace.L'intrus est expulsé, et son compte est fermé.


journal des amateurs d’orchidées - European orchids · appliquée contre le stigmate, ce dernier la re-tient en totalité ou, au moins, des fragments. Le reste des pollinies, toujours

journal des amateurs d’orchidées - European orchids · appliquée contre le stigmate, ce dernier la re-tient en totalité ou, au moins, des fragments. Le reste des pollinies, toujours

Documents
Structuration écologique et évolutive des symbioses … · 2020. 9. 12. · for the first time that (ii) epiphytic orchids—that have hardly been studied—have partners that

Structuration écologique et évolutive des symbioses … · 2020. 9. 12. · for the first time that (ii) epiphytic orchids—that have hardly been studied—have partners that

Documents
Intrusions et gestion d’incidents informatique - cusin.cacusin.ca/wp-content/uploads/2011/11/Intrusions-et-gestion-d... · Quelques cas (suite) ... 2006 - 2008 Opération Basique

Intrusions et gestion d’incidents informatique - cusin.cacusin.ca/wp-content/uploads/2011/11/Intrusions-et-gestion-d... · Quelques cas (suite) ... 2006 - 2008 Opération Basique

Documents
Routeurs d'accès Cisco · matériel, Cisco Easy VPN •Compression matérielle •Fonctions de validation au niveau des services •Système de détection d'intrusions (IDS) Multiservice

Routeurs d'accès Cisco · matériel, Cisco Easy VPN •Compression matérielle •Fonctions de validation au niveau des services •Système de détection d'intrusions (IDS) Multiservice

Documents
Une architecture tolérante aux intrusions Une architecture ... · Deba, Sarah Khirani, Malika Medjoud, ... 2.3.2.4 SITAR (A Scalable Intrusion-Tolerant ARchitecture for Distributed

Une architecture tolérante aux intrusions Une architecture ... · Deba, Sarah Khirani, Malika Medjoud, ... 2.3.2.4 SITAR (A Scalable Intrusion-Tolerant ARchitecture for Distributed

Documents
LIVRET FICHE1 JD8FASECO INTRUSIONS - Institut des hautes

LIVRET FICHE1 JD8FASECO INTRUSIONS - Institut des hautes

Documents
CARACTÉRISATION DE DEUX INTRUSIONS KIMBERLITIQUES …pascal marchand caractÉrisation de deux intrusions kimberlitiques au tÉmiscamingue, notre-dame-du-nord 1 et belleterre (bt 44)

CARACTÉRISATION DE DEUX INTRUSIONS KIMBERLITIQUES …pascal marchand caractÉrisation de deux intrusions kimberlitiques au tÉmiscamingue, notre-dame-du-nord 1 et belleterre (bt 44)

Documents
Scénarios d'attaques et Détection d'Intrusionsquack1.me/upload/presentation_memoire_stage.pdfScénarios d'attaques et Détection d'Intrusions Soutenance de stage de Master Quack1

Scénarios d'attaques et Détection d'Intrusionsquack1.me/upload/presentation_memoire_stage.pdfScénarios d'attaques et Détection d'Intrusions Soutenance de stage de Master Quack1

Documents
Synthèse de l état des connaissances sur les eaux ... · • la capacité de pompage et la simulation de possibles intrusions salines selon divers scénarios de pompage. Simulations

Synthèse de l état des connaissances sur les eaux ... · • la capacité de pompage et la simulation de possibles intrusions salines selon divers scénarios de pompage. Simulations

Documents
Techniques d'intrusions des réseaux

Techniques d'intrusions des réseaux

Documents
Test d ’un système de détection d ’intrusions réseaux (NIDS)

Test d ’un système de détection d ’intrusions réseaux (NIDS)

Documents
Intrusions alcalines de l’Abitibi, altération hydrothermale et … · 2016. 8. 17. · Canadian Malartic (Helt 2012) Intrusions alcalines : un magma tardif dans l’histoire de

Intrusions alcalines de l’Abitibi, altération hydrothermale et … · 2016. 8. 17. · Canadian Malartic (Helt 2012) Intrusions alcalines : un magma tardif dans l’histoire de

Documents
L’agenda ties culturelles s… - bouger-en-mayenne.com · 6 SORTIES DU 3 SEPTEMBRE 2008 Intrusions De Emmanuel Bourdieu Avec Natacha Régnier, Denis Podalydès, Amira Casar Film

L’agenda ties culturelles s… - bouger-en-mayenne.com · 6 SORTIES DU 3 SEPTEMBRE 2008 Intrusions De Emmanuel Bourdieu Avec Natacha Régnier, Denis Podalydès, Amira Casar Film

Documents
Détecteur d’ouverture et de choc - Somfy · 2019-10-31 · • Détection d’ouverture Pour pouvoir détecter les intrusions, installer le Détecteur d’ouverture et de choc

Détecteur d’ouverture et de choc - Somfy · 2019-10-31 · • Détection d’ouverture Pour pouvoir détecter les intrusions, installer le Détecteur d’ouverture et de choc

Documents
TRAVAUX DE REHABILITATION DE LA … · La mise en sécurité des usagers et du personnel (Norme NF P01-012) ; La sécurisation du site contre les intrusions et le vandalisme ;

TRAVAUX DE REHABILITATION DE LA … · La mise en sécurité des usagers et du personnel (Norme NF P01-012) ; La sécurisation du site contre les intrusions et le vandalisme ;

Documents
Conception et réalisation d’une architecture tolérant les intrusions pour des serveurs Internet

Conception et réalisation d’une architecture tolérant les intrusions pour des serveurs Internet

Documents
Origin and emplacement of ultramafic mafic intrusions in ... · Origin and emplacement of ultramafic–mafic intrusions in the Erro-Tobbio mantle peridotite (Ligurian Alps, Italy)

Origin and emplacement of ultramafic mafic intrusions in ... · Origin and emplacement of ultramafic–mafic intrusions in the Erro-Tobbio mantle peridotite (Ligurian Alps, Italy)

Documents
Sécurité complète : Prévenir, détecter, protéger€¦ · des technologies innovantes pour protéger vos documents et données critiques : • La prévention des intrusions empêche

Sécurité complète : Prévenir, détecter, protéger€¦ · des technologies innovantes pour protéger vos documents et données critiques : • La prévention des intrusions empêche

Documents
T.Henocque P.Garnier Test d ’un système de détection d ’intrusions réseaux (NIDS) La solution NETRANGER CISCO SECURE IDS Par l ’Université de Tours Thierry

T.Henocque P.Garnier Test d ’un système de détection d ’intrusions réseaux (NIDS) La solution NETRANGER CISCO SECURE IDS Par l ’Université de Tours Thierry

Documents
Influences des intrusions de masses d'air polaires sur le ... · 258 p. DOMINGOS, J.-P. CARMOUZE LAGOON The lagoon of Saquarema, characterized by a strong eulrophication, is dominated

Influences des intrusions de masses d'air polaires sur le ... · 258 p. DOMINGOS, J.-P. CARMOUZE LAGOON The lagoon of Saquarema, characterized by a strong eulrophication, is dominated

Documents
La ville, nouveau territoire du numérique...problèmes de vie privée et notamment la perception des intrusions potentielles du fait de la grande quantité d'information actuellement

La ville, nouveau territoire du numérique...problèmes de vie privée et notamment la perception des intrusions potentielles du fait de la grande quantité d'information actuellement

Documents
CODE ARTICLE: 6245545 BACOU AX CONCEPT AC …...Haut de tige matelassé Avantage Assure le confort Caractéristique Soufflets latéraux d'étanchéité Avantage évite les intrusions

CODE ARTICLE: 6245545 BACOU AX CONCEPT AC …...Haut de tige matelassé Avantage Assure le confort Caractéristique Soufflets latéraux d'étanchéité Avantage évite les intrusions

Documents
Tolérance aux intrusions sur Internet

Tolérance aux intrusions sur Internet

Documents
La cybersécurité et votre entreprise - hp.com · à la réalité. Les intrusions ne sont souvent pas signalées, car les sociétés ... Types de menaces externes les plus fréquentes

La cybersécurité et votre entreprise - hp.com · à la réalité. Les intrusions ne sont souvent pas signalées, car les sociétés ... Types de menaces externes les plus fréquentes

Documents
LA CYBERSÉCURITÉ ET VOTRE ENTREPRISE · Ces chiffres sont sans doute inférieurs à la réalité. Les intrusions ne sont souvent pas signalées, car les sociétés cherchent à

LA CYBERSÉCURITÉ ET VOTRE ENTREPRISE · Ces chiffres sont sans doute inférieurs à la réalité. Les intrusions ne sont souvent pas signalées, car les sociétés cherchent à

Documents
GTC en Extranet Visualisation des informations Tor et Analogiques (relatives à la surveillance, de températures et d'hygrométries, de capteurs intrusions,

GTC en Extranet Visualisation des informations Tor et Analogiques (relatives à la surveillance, de températures et d'hygrométries, de capteurs intrusions,

Documents
La technologie 802 - RERO DOC · Résumé La sécurité informatique est un enjeu qui gagne en importance au fil du temps. Les attaques et intrusions sont relatées dans la presse

La technologie 802 - RERO DOC · Résumé La sécurité informatique est un enjeu qui gagne en importance au fil du temps. Les attaques et intrusions sont relatées dans la presse

Documents
Les Intrusions Coutent Des Vies

Les Intrusions Coutent Des Vies

Education
et intrusions en Ehpad - RESAH€¦ · réseau de box installées dans l'établissement et reliées entre elles (en ... Décrivant la "transformation de l'o䕺 re de santé ... d''Ehpad'",

et intrusions en Ehpad - RESAH€¦ · réseau de box installées dans l'établissement et reliées entre elles (en ... Décrivant la "transformation de l'o䕺 re de santé ... d''Ehpad'",

Documents
CONTRÔLE ET EXPLOITATION AÉRIENS - budget...La prévention des cyber-attaques et des intrusions illicites de drones dans l’espace aérien contrôlé constituent, par ailleurs,

CONTRÔLE ET EXPLOITATION AÉRIENS - budget...La prévention des cyber-attaques et des intrusions illicites de drones dans l’espace aérien contrôlé constituent, par ailleurs,

Documents