Karima Boudaoud, Charles McCathieNevile

CUI- Université de Genève/ W3C-INRIA

GRES ’2001 - Marrakech - Maroc

Gestion de la sécurité : une nouvelle approche par système multi-agents

2

Problématique

Systèmes multi-agents

Système multi-agents pour la gestion de la sécurité

Conclusion

Plan

3

ProblématiqueProblématique

Systèmes multi-agents

Système multi-agents pour la gestion de la sécurité

Conclusion

Plan

4

Organisations

Gestion de SécuritéGestion de Sécurité

Utilisateurs

Attaques RéseauxSystèmes

Services

Complexité

Une solution Une solution plus efficaceplus efficace

Problématique

5

Mise en place de mécanismes préventifs Protection des données et des ressources

Mise en place de politiques de sécurité Définition et application des politiques de sécurité Violation d’une politique = attaqueViolation d’une politique = attaque

Mise en place d ’outils de sécurité Détection des attaques de sécurité Systèmes de détection d’intrusions (SDI)Systèmes de détection d’intrusions (SDI)

Mise en place de mécanismes de réponse Mesures à prendre en cas d’attaque

Gestion de la sécurité

6

Collectelocale

Entités desurveillance

SDIs centralisés

Architecture Monolithique

+ Analyse

centraliséeEntitécentrale

SDIs distribués

Architecture Distribuée

Détectionlocale

Entités d’analyse

+ Coopération(information)

Pas d’entitécentrale

Systèmes de détection d’intrusions (1)

7

Difficulté demise à jour

Nouvelles méthodesde détection

Difficulté de s’adapter aux changements

Evolutiondu comportementdes utilisateurs

Nouvelles ressources/applications

+

SDIs Traditionnels

En cas d’attaque/défaillance

Un point de rupture

Déploiementà grande échelle

Analysepar une seule entité

Systèmes de détection d’intrusions (2)

8

Solution idéale

Réseaux et systèmes dynamiques

Adaptée à l’évolutionet à la dynamicité

des besoins de sécurité

Futurs SDIsFuturs SDIsAdaptatifs & FlexiblesAdaptatifs & Flexibles

SDI existantsRéseaux et systèmes

bien définis

Non adaptés à des environnements

dynamiques

Systèmes de détection d’intrusions (3)

9

Distribution attaques = comportements anormaux sur différents éléments du

réseau détection par un seul système = trop compliqué + beaucoup

d’échanges de messages distribuer les fonctions de surveillance parmi plusieurs distribuer les fonctions de surveillance parmi plusieurs

entitésentités

Autonomie distribution des données = trafic de données excessif

(problème de congestion) analyse locale + détection comportement intrusif local utiliser des entités autonomesutiliser des entités autonomes

Caractéristiques idéales d’un SDI (1)

10

Délégation dynamicité des réseaux = adapter les tâches de gestion de

sécurité délégation continue de nouvelles tâches de détection déléguer la détection des attaques aux entités autonomesdéléguer la détection des attaques aux entités autonomes

Communication et Coopération difficulté pour une entité individuelle de détecter les attaques

réparties besoin de corréler les analyses faites par les entités autonomes communiquer + coopérer = détection coordonnée des communiquer + coopérer = détection coordonnée des

attaquesattaques

Caractéristiques idéales d’un SDI

(2)

11

Problématique

Systèmes multi-agentsSystèmes multi-agents

Système multi-agents pour la gestion de la sécurité

Conclusion

Plan

12

Coopération AgentAgent

Autonomie

Pro-activité

SociabilitéAdaptabilité

Réactivité Délégation

Communication

Coordination

SMASMA

Les systèmes multi-agents

13

Un système multi-Un système multi-agents pour la agents pour la gestion de la gestion de la

sécuritésécurité

Similitudes Caractéristiquesd’un bon SDI

Propriétés des SMAs

Solution proposée

14

Problématique

Systèmes multi-agents

Système multi-agents pour la gestion Système multi-agents pour la gestion de la sécuritéde la sécurité

Conclusion

Plan

15

Conception SMAConception SMA(J. Ferber, D. Kinny, M. Wooldridge)

• Spécifier les politiquesSpécifier les politiques• Identifier les attaquesIdentifier les attaques• Distribuer la tâche de détectionDistribuer la tâche de détection• Détecter les attaquesDétecter les attaques

Structure organisationnelle Architecture interne

Rôles Interactions Attitudes mentales

Fonctions

Système multi-agents proposé

16

Groupegestionnaire

Groupesurveillantlocal

Administrateur

Agent gestionnaire intermédiaire

Agent gestionnaire global

Agent gestionnaire des politiques de sécurité

Agent local

Agent gestionnaire intermédiaire

Dépendance hiérarchiqueReports d’informations Communication & coopération agents

Agent local

Agent local

Agent local

Modèle organisationnel

17

Architectures Agents

Agents réactifs Agents hybrides Agents délibératifs • réaction rapide pour des problèmes simples• pas de raisonnement complexe

• solution pour des problèmes complexes• capacité de raisonnement

agents délibératifs + réactifs

Architecture choisiedétection rapided’attaques simples

détectiond’attaques complexes

Architectures d’agents

18

FiltrageFiltrage DélibérationDélibération

DiagnosticDiagnostic

Evénementsde sécurité

Evénementsfiltrés

Rapports/alarmes

Informations

Agent/ administrateur

RéseauxActions

CoordinationCoordination

Architecture interne d’un agent

19

Problématique

Systèmes multi-agents

Système multi-agents pour la gestion de la sécurité

ConclusionConclusion

Plan

20

Systèmes de détection d’intrusions difficulté des SDIs de s’adapter à des environnements dynamiques nécessité de systèmes flexibles + adaptatifs

Solution similitudes entre propriétés SMAs et caractéristiques d’un bon SDI systèmes multi-agents approprié pour remplir les nouveaux besoins systèmes multi-agents approprié pour remplir les nouveaux besoins

de sécuritéde sécurité

Travaux courants implémentation d’un prototype pour la détection d’attaques connues, en

utilisant la plate-forme DIMA (Z. Guessoum, LIP6-France)

Travaux futurs implémentation d’un algorithme d’apprentissage pour la détection

d’attaques non connues

Conclusion