Conception d'un nouveau système de prévention d'instrusion base sur une politique de sécurité à trois niveaux

Abstract

La conception et la mise en œuvre des systèmes de détection d’intrusions (IDS) demeurent un important axe de recherche dans le domaine de la sécurité des systèmes informations (SI). Malgré les progrès indéniables enregistrés, il y a encore beaucoup à faire pour améliorer la sécurité des réseaux informatiques d’aujourd’hui. Pour cela, de nombreux mécanismes ont été développés. En général, ces systèmes sont vulnérables aux attaques des utilisateurs autorisés (attaques internes) qui abusent des privilèges qui leurs sont octroyés. Dans cette thèse, notre contribution consiste en la conception et la mise en œuvre d’un système de prévention d’intrusions basé sur une politique de sécurité à trois niveaux. Cette approche, très intéressante même pour les SI complexes, permet aux administrateurs des SI et aux responsables de la sécurité des SI, à la fois, la protection du SI des attaques externes et des attaques internes. Ces dernières sont aussi importantes car d’après plusieurs études et recherches, elles représentent plus de 60% du total des attaques des SI. Aussi, des actions proactives sont possibles dans notre approche, ce qui n’est pas le cas avec la majorité des IDS. Cependant, l’analyse manuelle de l’énorme volume de données générées par les IDS est impraticable. Pour surmonter ce problème et pour l’évaluer, dans notre approche nous avons proposé l’utilisation des techniques d’apprentissage supervisées, en l’occurrence, les Séparateurs à Vaste Marge (SVM). Les résultats des différentes expérimentations basées sur les trois techniques d’apprentissage supervisées (les SVM, l’analyse en composantes principales et les arbres de décision) pour l’amélioration la détection d’intrusions et leurs comparaisons sont soigneusement présentés et discutés.