Note ABES DISCUS : une architecture de détection d'intrusions réseau distribuée basée sur un langage dédié DISCUS : a distributed network intrustions detection?architecture based on a domain specific language Langage dédié 005.8 Systèmes informatiques -- Mesures de sûreté Réseaux d'ordinateurs Langages de programmation Compilation (informatique) À l'heure actuelle, les systèmes informatiques sont omniprésents et leur interconnexion presque complète. La volonté de fournir un service sécurisé a été renforcée par l'arrivée d'infrastructures complexes, telles que le Cloud Computing. De nombreuses problématiques sont soulevées par ces systèmes de sécurité, telles que l'élaboration de solutions de sécurité capables de détecter les attaques internes, la réactivité de la détection d'une attaque et la prise de décision lorsqu'une intrusion a été détectée. La solution pour ce jeu du chat et de la souris est de s'appuyer sur une méthodologie permettant de rapidement pouvoir comprendre une faille, développer un correctif et le déployer sur le parc de machines. Pour répondre à ces problématiques, nous proposons dans nos travaux l'architecture DISCUS, qui se repose sur les solutions de sécurité existantes ainsi que des nouvelles sondes réseaux. Cette approche nous permet de conduire des analyses plus précises et de pouvoir mener des analyses collaboratives, où chacune des sondes vient enrichir la connaissance globale du réseau. La collaboration des sondes est effectuée au travers des tables, un concept assimilable aux bases de données distribuées. Deux problématiques majeures sont soulevées avec notre solution : déterminer les techniques de distribution et de collaboration efficaces, et faciliter la configuration de ce parcs de solutions de sécurité. Nos travaux s'intéressent principalement sur cette seconde problématique. Nowadays, information systems are everywhere and their interconnexion is almost complete. The rise of complex and large computing infrastructures has brought a need for increased security. We need to follow a sound methodology so that one can understand an exploit develop a counter-measure and deploy it as soon as possible. To tackle those issues, we propose DISCUS, a new distributed architecture that takes advantage of existing solutions as well as distributed probes. This approach leads to finer, collaborative analysis where each probe enrich the global knowledge of the architecture as a whole. Our solution introduces two main issues : determine efficient distribution mechanism to implement collaboration and facilitate the developpement of the software that will run on highly heterogeneous hardware. This thesis mainly focuses on the later. The actual development of the software that will run on the probes can not be made by a security special or a system administrator because of the diversity of the probes (in term of memory, computing power, network location…). This would imply that the developer has strong knowledge on security, networking, kernel development, embeded systems, hardware development. Such a developer is hard to find. To overcome this problem, we propose DISCUS, a domain specific language. With this langage, one can implement security rules without the need to take implementation details into account. Our compiler chain takes the rules and is able to build software, or hardware, image specific for each probes of the network. This thesis presents this language, some case studies and its evaluation in term of expressivity, robustness and performances. Electronic Thesis or Dissertation Text fr PDF 3671022 text/html https://pepite-depot.univ-lille.fr/LIBRE/EDSPI/2015/50376-2015-Riquet.pdf https://theses.fr/2015LIL10207/abes Riquet Damien Riquet 1988-12-23 FR 197865011 https://theses.fr/2015LIL10207 2015LIL10207 https://doi.org/10.70675/7a076386zef11z4121zbbacz80041220b877 2015-12-03 Informatique Lille 1 026404184 Doctorat Docteur es non oui Grimaud Gilles MADS_DIRECTEUR_DE_THESE_1 122743083 Hauspie Michaël MADS_DIRECTEUR_DE_THESE_2 087660792 École doctorale Sciences pour l'ingénieur (Lille ; 1992-2021) MADS_ECOLE_DOCTORALE_1 147297028 Centre de Recherche en Informatique, Signal et Automatique de Lille MADS_PARTENAIRE_DE_RECHERCHE_1 18388695X ddc:000 Grimaud Gilles Hauspie Michaël École doctorale Sciences pour l'Ingénieur (Lille) Centre de recherche en informatique, signal et automatique de Lille (CRIStAL) PDF 3671022