Détection des intrusions dans les systèmes d'information : la nécessaire prise en compte des caractéristiques du système surveillé

摘要

Ce mémoire résume 10 ans de travail autour de l'étude des concepts à la base des systèmes de détection d'intrusions. Nous présentons en premier lieu les grandes caractéristiques des systèmes de détection d'intrusions : la source des données à analyser, l'approche de détection retenue, l'architecture de l'outil de détection d'intrusions, la granularité de l'analyse et le comportement en cas de détection. Nous positionnons alors nos travaux relativement à ces caractéristiques. Nous mettons ensuite en en avant parmi nos travaux en cours, ceux qui nous paraissent les plus à même d'apporter des réponses aux problèmes actuels de la détection d'intrusions. Ces travaux présentent une caractéristique commune : ils prennent en compte les caractéristiques du système surveillé : topologie, types de machine, logiciels installés, failles connues, politique de sécurité en vigueur. Nous présentons le travail fait dans le cadre de la thèse de Benjamin Morin autour de la corrélation des alertes issues des outils de détection d'intrusions, puis les travaux réalisés dans le cadre de la thèse de Jacob Zimmermann autour du contrôle d'accès tolérant aux intrusions. Comme il se doit, ce mémoire se conclu par la présentation de quelques perspectives de recherche.