Soutenance mémoire
Domaines d’application des RCSF
La miniaturisation des micro-capteurs, le coût de plus en plus faible, la large gamme des types de capteurs disponibles (thermique, optique, vibrations, etc.) ainsi que le support de communication sans fil utilisé, permettent l’application des réseaux de capteurs dans plusieurs domaines [2] [5] parmi lesquels :
Domaine militaire
Comme pour de nombreuses autres technologies, le domaine militaire a été le moteur initial pour le développement des réseaux de capteurs. Le déploiement rapide, le coût réduit, l’auto-organisation et la tolérance aux pannes des réseaux de capteurs sont des caractéristiques qui font de ce type de réseaux un outil appréciable dans un tel domaine. Actuellement, les RCSFs peuvent être une partie intégrante dans le commandement, le contrôle, la communication, la surveillance, la reconnaissance, etc.
Domaine médical
Les réseaux de capteurs sont également largement répandus dans le domaine médical.
Cette classe inclut des applications comme : fournir une interface d’aide pour les handicapés, collecter des informations physiologiques humaines de meilleure qualité, facilitant ainsi le diagnostic de certaines maladies, surveiller en permanence les malades et les médecins à l’intérieur de l’hôpital.
Domaine architectural
Transformation des bâtiments en environnements intelligents capables de reconnaitre des personnes, interpréter leurs actions et y réagir.
Domaine environnemental
Dans ce domaine, les capteurs peuvent êtres exploités pour détecter les catastrophes naturelles (feux de forêts, tremblements de terre, etc.), détecter des émanations de produits toxiques (gaz, produits chimiques, pétrole, etc.) dans des sites industriels tels que les centrales nucléaires ou pétrolières.
Domaine commercial
Parmi les domaines dans lesquels les réseaux de capteurs ont aussi prouvé leur utilité, on trouve le domaine commercial. Dans ce secteur on peut énumérer plusieurs applications comme : la surveillance de l’état du matériel, le contrôle et l’automatisation des processus d’usinage, etc.
Caractéristiques des RCSF
Parmi les caractéristiques les plus importantes d’un réseau de capteurs, nous citons [6] :
La durée de vie limitée : Les nœuds capteurs sont très limités par la contrainte d’énergie, ils fonctionnent habituellement sans surveillance dans des régions géographiques éloignées. Par conséquent recharger ou remplacer leurs batteries devient quasiment impossible.
Ressources limitées : Habituellement les nœuds capteurs ont une taille très petite, ce facteur de forme limite la quantité de ressources qui peuvent être mises dans ces nœuds. En conséquence, la capacité de traitement et de mémoire est très limitée.
Topologie dynamique : La topologie des réseaux de capteurs change d’une manière fréquente et rapide car les nœuds capteurs peuvent être déployés dans des environnements hostiles (par exemple un champ de bataille), la défaillance d’un nœud capteur peut donc être très probable. De plus, les nœuds capteurs et les nœuds finaux où ils doivent envoyer l’information capturée peuvent être mobiles.
Agrégation des données : Dans les réseaux de capteurs, les données produites par les nœuds capteurs sont très reliées, ce qui implique l’existence de redondances de données. Une approche répandue consiste à agréger les données au niveau des nœuds intermédiaires afin de réduire la consommation d’énergie lors de la transmission de ces données.
La scalabilité : les réseaux de capteurs engendrent un très grand nombre de capteurs, ils peuvent atteindre des milliers voire des millions de capteurs. Le défi à relever par les RCFSs est d’être capable de maintenir leurs performances avec ce grand nombre de capteurs.
Bande passante limitée : En raison de la puissance limitée, les nœuds capteurs ne peuvent pas supporter des débits élevés.
Sécurité physique limitée: cela se justifie par les contraintes et limitations physiques qui minimisent le contrôle des données transmises.
Détection d’intrusion dans les RCSF
Les réseaux de capteurs sans fil ont beaucoup d’applications potentielles. Dans beaucoup de scénarios, ces réseaux sont sujets à de nombreuses attaques en raison du déploiement en environnement ouvert et de leurs ressources limitées. Pour faire face à ces attaques des systèmes de protection existent. La détection d’intrusions peut être considérée comme u ne action complémentaire à la mise en place des mécanismes de sécurité.
Approches de détection d’intrusions
La détection d’intrusion peut être définie comme la détection automatique et la génération d’une alarme pour rapporter qu’une intrusion a eu lieu ou est en cours.
Approche comportementale : le comportement observé du système cible est comparé aux comportements normaux et espérés. Si le comportement du système est significativement différent du comportement normal ou attendu, on dit que l e système cible présente des anomalies et fait l’objet d’une intrusion [7]. L’avantage principal de cette approche est de pouvoir détecter de nouvelles attaques.
Cependant, elle génère souvent de nombreux faux positifs car une déviation du comportement normal ne correspond pas toujours à l’occurrence d’une attaque.
Approche par scenarios : consiste a modéliser non plus des comportements normaux, mais des comportements interdits. Dans cette approche on analyse les données d’audits à la recherche de scénarios d’attaques prédéfinis dans une base de signatures d’attaque [8]. Le principal avantage d’une approche par scénario est la précision des diagnostics qu’elle fournit par rapport à ceux avancés par l’approche comportementale. Par contre son inconvénient majeur est de ne pouvoir détecter que les attaques enregistrées dans la base de signatures.
Propriétés des SDIs dans les RCSF
Dans les réseaux de capteurs sans fil un SDI doit satisfaire les propriétés suivantes [9] :
Audit local (Localize auditing) : un SDI pour les réseaux de capteurs sans fil doit fonctionner avec des données d’audits locales et partielles car dans les réseaux de capteurs sans fil, il n’y a pas de points centralisés (à part la station de base) qui peut collecter les données d’audit globales.
Ressources minimales (Minimize resources): un SDI pour les réseaux de capteurs doit utiliser un nombre minimum de ressources car les réseaux sans fils n’ont pas de connexions stables. De plus les ressources physiques du réseau et des nœuds telles que la bande passante et la puissance sont limitées. La déconnexion peut survenir à tout moment. La communication entre les nœuds pour la détection d’intrusion ne doit donc pas prendre toute la bande passante disponible.
Pas de nœud de confiance (Trust no node): un SDI dans les réseaux de capteur ne doit faire confiance à aucun nœud car, contrairement aux réseaux filaires, les nœuds capteurs peuvent être compromis facilement.
Destribué (Be truly distributed): veut dire que la collection et l’analyse de données doit se faire dans plusieurs endroits (locations). De plus l’approche distribuée s’applique aussi pour l’exécution de l’algorithme de détection et la corrélation d’alertes.
Sécurisé (Be secure): un SDI doit être capable de résister aux attaques.
Architectures des SDIs dans les RCSF
Les architectures des SDI dans les réseaux ad hoc et les réseaux de capteurs sans fils peuvent êtres classées en trois catégories [9] :
1. Stand-alone
2. Distributed and Cooperative
3. Hierarchical
Autonome (Stand-alone) : Dans cette catégorie, chaque nœud opère comme un SDI indépendant et il est responsable de la détection des attaques contre lui. Par conséquent, dans cette catégorie, les SDI ne coopèrent pas et ne partagent aucune information entre eux. Cette architecture exige que chaque nœud soit capable d’exécuter un SDI.
Distribuée et coopérative (Distributed and Cooperative) : Dans cette architecture chaque nœud exécute son propre SDI mais les SDIs coopèrent afin de créer un mécanisme de détection d’intrusion global.
Hiérarchique (Hierarchical) : Dans ce cas le réseau de capteur est divisé en groupes (clusters). Dans chaque groupe, un l eader joue le rôle de cluster-head. Ce nœud est responsable du routage dans le groupe et doit accepter les messages des membres du groupe indiquant quelque chose de malveillant. De même le cluster-head doit détecter les attaques contre les autres cluster-heads du réseau.
Besoin de corrélation d’alertes et choix de CRIM
La détection d’intrusions est un problème préoccupant qui vise à détecter des activités suspectes et des activités malveillantes. Deux principales approches de détection sont utilisées par les SDI . La première est l’approche comportementale qui se base sur un profil représentant les différentes activités normales au sein du système. Toute déviation par rapport au profil établi sera interprétée comme une éventuelle intrusion. La seconde est l’approche par signatures qui consiste à vérifier les signatures d’attaques dans les données analysées. Il est clair que toute attaque qui n’a pas sa signature dans la base de signatures ne sera pas détectée, ce qui nécessite une mise à jour fréquente de la base de signatures. Ces deux approches sont indispensables pour la surveillance et la protection d’un système d’informations. En revanche, leur utilisation pose plusieurs problèmes. Le problème majeur réside dans l’excès d’alertes que les SDIs produisent. L’opérateur de sécurité qui a comme tâche d’analyser et de prendre des décisions appropriées se retrouve rapidement débordé.
Approches de corrélation d’alertes
Les trois approches de corrélation d’alertes proposées dans la littérature sont:
La corrélation implicite : est utilisée pour mettre en évidence des relations entre événements. Parmi les articles sur cette méthode on peut citer [11]. Cette méthode est fondée sur l’observation de groupes d’alertes et l’extraction de relations implicites entre ces alertes à travers une fonction de similarité sur les attributs. Une relation peut être constituée, par exemple, par une correspondance fréquentielle ou statistique entre des alertes. Cette correspondance est obtenue par une analyse automatique des données. Cette méthode a des limites assez rapidement, et notamment parce qu’elle ne fournit pas de relation causale entre les alertes.
Corrélation explicite : l’opérateur est capable d’exprimer explicitement des relations entre différentes alertes, sous la forme d’un scénario. Un scénario regroupe en général un ensemble de propriétés que doivent satisfaire les alertes, et des liens les connectant. L’inconvénient de cette méthode est de nécessiter en général un expert pour fournir les scénarios d’attaques.
Corrélation semi-explicite : Cette approche ([8] et [11]) a été développée à partir des deux précédentes afin de faire disparaître leurs inconvénients. Elle est basée sur la description logique des attaques sous la forme d’un trip let qui comprend l’attaque elle même, ses pré-conditions et ses post-conditions. Le mécanisme de corrélation consiste à corréler des alertes si les post -conditions d’une première alerte correspondent aux pré-conditions d’une alerte qui a lieu plus tard. Cette méthode permet a priori de découvrir les liens causaux entre les alertes et donc de fournir un diagnostic assez précis. De plus, la méthode semble prometteuse pour détecter les nouvelles attaques.
Description des fonctions de CRIM
CRIM [10] [11] est un module de corrélation d’alertes dans le domaine de détection d’intrusion, il intègre et implémente les six fonctions suivantes :
1- Gestion d’alertes.
2- Regroupement d’alertes.
3- Fusion d’alertes.
4- Corrélation d’alertes.
5- Reconnaissance d’intentions.
6- Réaction.
Fonction de gestion : gère les alertes générées par les différents SDI en les collectant et les enregistrant dans une base de données relationnelle afin de permettre aux autres fonctions de CRIM de les analyser. Le format des alertes est supposé compatible avec celui défini par l’IDMEF [13] dont l’objectif est de fournir un format commun pour les données de détection et de permettre ainsi l’échange d’informations entre différents SDI.
Fonction de regroupement d’alertes : consiste à générer des paquets d’alertes à partir des alertes de la base. Un paquet d’alertes englobe les alertes correspondant à une même occurrence d’attaque en utilisant les similarités entre les alertes.
Fonction de fusion d’alertes : cette fonction prend en entrée chacun des paquets d’alertes générés par la fonction précédente, et crée une nouvelle alerte réalisant la synthèse des différentes informations contenues dans ce paquet.
Fonction de corrélation : sert à analyser les alertes issues de la fonction de fusion, et de les corréler afin de reconnaître le plan d’intrusion d’un attaquant donné ; l’objectif est de détecter un attaquant qui essaye d’atteindre son objectif malveillant en lançant plusieurs attaques successives et non pas une seule attaque.
Fonction de reconnaissance d’intention : les résultats de la corrélation sont des ensembles d’alertes corrélées appelés plans candidats; cependant il se peut qu’un plan candidat soit en cours d’exécution et l’objectif final de l’attaquant ne soit pas encore atteint, alors cette fonction de reconnaissance a pour but d’extrapoler le plan afin d’anticiper et de déduire les intentions de l’attaquant. Donc cette fonction doit fournir un diagnostic global de l’attaque : son passé (ce qui a été réalisé jusqu’à présent ), son présent (ce que l’attaquant a obtenu et quel est l’état du système) et son futur (prévoir comment l’attaquant peut continuer son scénario d’intrusion).
Fonction de réaction : cette fonction qui prend en entrée le diagnostic fourni par la fonction précédente consiste à activer une contre mesure pour stopper l’intrusion. Dans CRIM cette fonction donne à l’administration le choix de la réaction la plus adaptée.
Architecture proposée
Dans cette section, après avoir critiqué les trois architectures de détection d’intrusion proposées pour les réseaux de capteurs sans fil, nous proposons une architecture qui tire avantage de ces dernières et limite leurs inconvénients. Cette architecture assure un double rôle de détection d’intrusion et de corrélation d’alertes dans les RCSF.
Critiques des architectures Existantes
Dans les première et deuxième architectures, chaque nœud capteur doit être capable d’exécuter un SDI : cette contrainte est très forte étant données les caractéristiques des réseaux de capteurs sans fil (énergie limitée, ressources limitées, etc.). On constate dans la première architecture une indépendance entre les différents nœuds dans le processus de détection où chaque nœud ne s’occupe que de sa protection, et ne détecte que les attaques contre lui, ce qui représente une faiblesse contre les attaques distribuées. Le problème majeur pour les SDIs de la deuxième architecture est qu’ils causent une dégradation des performances du réseau par le trafic échangé entre les différents agents SDI, en plus du gaspillage de la bande passante limitée du réseau. La dernière architecture minimise ainsi la surcharge du réseau puisque la coopération est réduite entre les chefs de groupes et leurs membres.
Cependant, elle ne permet pas d’avoir une vision globale du réseau à cause de l’absence de coopération entre les différentes cellules et reste par la suite inefficace contre certaines attaques distribuées.
Description de l’architecture proposée
L’étude critique de ces trois architectures nous a permis de proposer une architecture de détection d’intrusion et de corrélation d’alertes pour les réseaux de capteurs sans fil : celle ci permet de combiner les avantages des trois approches citées précédemment et d’éliminer leurs inconvénients en exploitant l’outil de corrélation et de reconnaissance d’intentions malveillantes CRIM.
L’architecture proposée permet de faire la détection d’intrusion et la corrélation d’alertes dans les réseaux de capteurs sans fil tout en prenant en compte les caractéristiques et les contraintes très sévères de ces derniers (bande passante de réseau limitée, énergie des nœuds limitée, etc). Notre architecture est hiérarchique : elle consiste à diviser le réseau de capteurs en zones.
Dans chaque zone un nœud spécial (possédant des caractéristiques importantes) est déployé.
Ce nœud, en plus des autres fonctions telles que le captage, le routage et le traitement des données; exécute un SDI qui surveille cette zone et détecte les intrusions possibles. Donc, dans notre architecture, chaque SDI a une vision locale du réseau (a accès a un ensemble de données d’audit locales spécifique à la zone dans laquelle il est déployé). Afin de faire coopérer ces SDIs et avoir une vision globale sur les intrusions injectées dans le réseau nous relions ces SDIs avec un module de coopération et de corrélation d’alertes qui s’appelle CRIM .Ce dernier sera exécuté au niveau de la station de base : il consiste à corréler les alertes générées par les différents SDIs installés dans les différentes zones du réseau, et reconnaître les intentions des intrus impliqués en prenant en considération les informations contenues dans les alertes et en les corrélant pour détecter des relations entre les attaques individuelles pour constituer l’attaque distribuée ou le scé nario d’attaques. De cette manière, nous créons un système de détection d’intrusion globale qui assure une surveillance totale du réseau.
Rôle de CRIM dans cette architecture
Pour répondre au besoin de corrélation d’alertes dans le domaine de la détection d’intrusion un module CRIM basée sur la troisième approche (approche semi-explicite) a été développé. Ce module fournit une base de travail intéressante pour analyser et corréler les alertes, générer un diagnostic plus global et synthétique, et aider l’administrateur de sécurité dans le choix d’une contre-mesure adaptée à l’attaque détectée. Dans notre architecture, ce module est exécuté au niveau de la station de base. Il reçoit les alertes générées par les différents SDIs installés dans les zones constituant le réseau, suite à une action suspecte ou malveillante détectée, les corrèle et génère une alerte plus globale et synthétique.
Notre objectif, derrière l’intégration de module CRIM dans notre architecture, est de garantir la couverture totale et la surveillance g lobale de réseau : la structuration en zone de réseaux permet aux SDIs d’avoir une vue partielle de réseau, et l’intégration de module CRIM au niveau de la station de base permet d’avoir une vue globale des intrusions impliquées. Il a pour objectifs de :
réduire le volume d’alertes à traiter par l’administrateur de sécurité.
réduire le nombre de faux positifs comme les alertes générées en détectant des actions suspectes.
générer des alertes plus globales en regroupant les alertes partielles sous forme de scénarios.
analyse plus profonde des alertes et générations des contre mesures adaptées aux scénarios d’attaques.
création d’un système de détection d’intrusion globale sans avoir recours aux échanges entre les SDIs , ce qui permet de conserver la bande passante du réseau.
faire la fusion des alertes au niveau de CRIM : si deux SDI de deux groupes différents détectent deux alertes différentes dont la cible est la même. Nous pouvons faire la fusion d’alertes et réduire le volume d’alertes en conséquence.
identifier les intentions de l’attaquant, ses capacités à réussir les attaques, la cible, et le résultat final.
Conclusion
Dans cette partie nous avons proposé une architecture de détection d’intrusion et de corrélation d’alertes dans les réseaux de capteurs sans fil. Cette approche prend en compte les contraintes et les propriétés de ces réseaux. Elle combine les avantages des trois architectures proposées dans la littérature et élimine leurs inconvénients, cela à l’aide de l’intégration de module de corrélation d’alertes CRIM au niveau de la station de base.
|
Table des matières
Remerciements
Table de matières
Liste des figures
Liste des tableaux
Liste des Acronymes
Introduction Générale
1. Présentation du laboratoire d’accueil et de l’équipe
1.1. Présentation de Telecom Bretagne
1.2. Départements
1.2.1. Département LUSSI
2. Etat de l’art sur les RCSF
2.1. Les capteurs sans fil
2.2. Définition d’un réseau de capteurs
2.3. Domaines d’application des RCSF
2.4. Caractéristiques des RCSF
3. Détection d’intrusion dans les RCSF
3.1. Approches de détection d’intrusions
3.2. Propriétés des SDIs dans les RCSF
3.3. Architectures des SDIs dans les RCSF
4. Besoin de corrélation d’alertes et choix de CRIM
4.1. Approches de corrélation d’alertes
4.2. Description des fonctions de CRIM
5. Architecture proposée
5.1. Critiques des architectures Existantes
5.2. Description de l’architecture proposée
5.3. Schémas de fonctionnement de l’architecture
5.4. Choix de CRIM
5.5. Rôle de CRIM dans cette architecture
5.6. Conclusion
6. Implémentation d’un scénario d’attaque dans CRIM
6.1. Introduction
6.2. Description de scénario
6.3. Hypothèses de travail
6.4. Plan de l’intrusion
6.5. Modélisation de l’intrusion dans CRIM
6.6. Modèles Lambda de scénario
6.6.1. Les actions
6.6.2. Objectif de l’intrusion
6.6.3. Reconnaissance d’intention et réactions
6.7. Schéma de corrélation d’alertes
6.8. Implémentation et mise en ouvre dans CRIM
7. Perspectives et scénarios complexes
8. Bilan
9. Conclusion Générale
Résumé
Abstract
Références Bibliographiques
