Les modules du noyau Linux

Table des matières

INTRODUCTION
1.1 Contexte
1.2 Définition du problème
1.2.1 Étape 1
a) Quels sont les mécanismes liés au noyau, au rootkit et à l’apprentissage automatique?
b) Quelles sont les méthodes d’analyse et les approches de détections des rootkits?
1.2.2 Étape 2 : Comment sélectionner la méthode d’analyse et de détection de rootkits adéquate à l’outil LTTng ?
1.2.3 Étape 3 : Quel serait l’algorithme d’apprentissage le plus efficace dans la détection des attaques spécifiées par les expérimentations?
1.3 Questions de recherche
1.4 Méthodologie de recherche
1.5 Organisation du rapport
CHAPITRE 1 LES ASPECTS FONDAMENTAUX LIÉS À LA DÉTECTION DES ROOTKITS
1.1 Introduction
1.2 Le système d’exploitation Linux
1.2.1 Le noyau Linux
1.2.2 Les modules du noyau Linux
1.2.3 Les appels systèmes
1.2.4 Les kprobes
1.2.5 La gestion des processus sous Linux
1.2.6 Le gestionnaire des interruptions
1.2.7 L’architecture mémoire Linux
1.2.8 Les systèmes de fichiers Linux
1.2.9 Les mesures de performances Linux
1.2.10 Le traçage
1.3 Les rootkits
1.3.1 C’est quoi un rootkit
1.3.2 La notion du ring
1.3.3 Le cycle de vie d’un rootkit
1.3.4 Les classes des rootkits
1.3.5 Les méthodes d’injection en espace noyau
1.3.6 Les méthodes du détournement
1.3.7 Méthodes de communication avec un rootkit
1.4 Les machines d’apprentissage
1.4.1 Les types d’apprentissages
1.4.2 L’apprentissage supervisé
1.4.3 Les mesures d’évaluation et de la classification
1.4.4 Évaluation des algorithmes d’apprentissages supervisés
1.4.5 La sélection des caractéristiques d’un vecteur d’entrée
1.4.6 Les méthodes de comparaison entre différents algorithmes de classifications
1.5 Conclusion
CHAPITRE 2 REVUE DE LITTÉRATURE SUR LES MÉTHODES D’ANALYSE ET DE DÉTECTION DES ROOTKITS
2.1 Introduction £+
2.2 Méthodes d’analyse
2.2.1 Analyse statique
2.2.2 Analyse dynamique
2.3 Méthodes de détection
2.3.1 Détection basée sur les signatures
2.3.2 Détection basée sur le comportement
2.3.3 Détection basée sur la vérification d’intégrité
2.3.4 Détection basée sur le crossview
2.3.5 Détection basée sur la sémantique
2.3.6 Détection basée sur les heuristiques
2.4 Conclusion
CHAPITRE 3 APPROCHES D’ANALYSE ET DE DÉTECTION DES ROOTKITS BASÉES SUR LTTNG
3.1 Introduction
3.2 Méthode d’analyse
3.3 Les approches de détection
3.3.1 Détection par algorithmes d’apprentissage automatique
3.3.2 Détection par extension du traceur LTTng
3.4 Champs d’application des approches de détection proposées
3.5 Conclusion
CHAPITRE 4 EXPÉRIMENTATION ET VALIDATION DE L’APPROCHE BASÉE SUR L’APPRENTISSAGE AUTOMATIQUE
4.1 Introduction
4.2 Les choix techniques utilisés dans les expérimentations proposées
4.2.1 Expérimentation basée sur l’attaque par la modification des appels systèmes du Suterusu
4.2.2 Expérimentation basé sur l’attaque par le détournement des appels systèmes du Kbeast
4.2.3 Expérimentation basée sur l’attaque par la dissimulation de processus du Suterusu
4.2.4 La validation du choix de l’algorithme le plus adéquat sur les multiples ensembles de données
4.3 Conclusion et perspectives
4.4 Limite de cette recherche
CONCLUSION GÉNÉRALE
BIBLIOGRAPHIE