Vous êtes sur la page 1sur 61

Rpublique Algrienne Dmocratique et Populaire

Universit Abou Bekr Belkaid Tlemcen


Facult des Sciences
Dpartement dInformatique

Mmoire de fin dtudes

pour lobtention du diplme de Master en Informatique

Option : Rseaux et Systmes Distribus (R.S.D)

g{x
Gestion de la scurit dune application Web
laide dun IDS comportemental optimis
par lalgorithme des K-means
Ralis par :
-

BENDELLA Zineb

Prsent le 26 Novembre 2013 devant le jury compos de :


-

Mr BENAMMAR Abdelkrim

(Prsident)

Mr BENMAMMAR Badr

(Encadreur)

Mr BENMOUNA Youcef

(Examinateur)

Mr BELABED Amine

(Examinateur)

Anne universitaire: 2012-2013

Remerciements

Avec un grand plaisir je remercie Allah qui ma aid et ma donn la patience, le


courage et la force dachever ce travail.

Je tiens remercier en cette occasion tout le corps professoral et administratif de


dpartement dinformatique de luniversit ABOU BAKR BELKAID de Tlemcen pour la
richesse et la qualit de leurs enseignements et qui dploient de grands efforts pour assurer
leurs tudiants une formation actualise.

Je tiens remercier sincrement Mr Badr Benmammar,


Benmammar qui, en tant que encadreur de
mmoire, s'est toujours montr l'coute et trs disponible tout au long de la ralisation de ce
mmoire, ainsi pour l'orientation, la confiance, l'aide et le temps qu'il a bien voulu me
consacrer et sans lui ce mmoire n'aurait jamais vu le jour.
Jexprime galement ma gratitude aux membres du jury, qui mont honor en acceptant de
juger ce modeste travail.
Je tiens remercier sincrement mes parents et mon Mari, qui mont donn le courage.

Je souhaite dadresser mes remerciements les plus sincres aux personnes qui mont
apport leur aide et qui ont contribu llaboration de ce mmoire.

Ddicace
A l'aide de DIEU tout puissant, qui trace le chemin de ma vie, j'ai pu arriver raliser ce
modeste travail que je ddie:
A la mmoire de ma grande mre paternel ;
A mon trs cher pre et ma trs chre mre qui n'ont pas cess de m'encourager et de se
sacrifier pour que je puisse franchir tout obstacle durant toutes mes annes d'tude que Dieu me
les garde en trs bonne sant ; Aucune ddicace ne pourra compenser les sacrifices de mes
parents;
A ma plus belle toile qui puisse exister dans l'univers, mon trs cher mari Ali,
Ali celui qui je
souhaite une longue vie pleine de joie, de bonheur et de sant;
A ma grandgrand-mre pour toutes ses prires ;
A ma chre sur du monde Merie
Meriem, que je leur souhaite une longue vie pleine de joie et de
russite.
A mon frre Abd Elghani,
Elghani et mon petit chre frre Mohamed ;
Aux petites surs adorables Amira & Hassnaa ;
A ma belle famille, aux chers parents de mon mari,
mari Karima,
Karima Rabie,
Rabie Issam et Ilyes
Ilyes, je leur
souhaite une vie pleine de bonheur ;
A mes oncles,
oncles mes tantes,
tantes mes cousines,
cousines mes cousins spcialement Sofiane,
Sofiane et toute ma
famille ;
A Yahouni Zakaria,
Zakaria qui ma aider tout au long de ce mmoire, je lui souhaite une vie pleine
de joie, de bonheur et de russite ;
A mes enseignants et surtout Mr Badr Benmammar , mon encadreur;
Et tous ceux qui maiment et qui me cannaient de proche ou de loin.

Bendella Zineb

Table des matires


Introduction gnrale.................................................................................................................. 4
I.

Introduction : ....................................................................................................................... 6

II. Scurit des rseaux: ........................................................................................................... 6


II.1

Dfinition: .................................................................................................................... 6

II.2

valuation de la scurit d'un rseau: .......................................................................... 6

III.

Les causes pour scuriser les rseaux : ........................................................................... 7

III.1

Les enjeux : .................................................................................................................. 7

III.2

Les vulnrabilits :....................................................................................................... 8

III.3

Menaces : ..................................................................................................................... 9

III.4

Risques : ...................................................................................................................... 9

IV.

Les logiciels malveillants : ........................................................................................... 10

IV.1 Virus : ........................................................................................................................ 10


IV.2 Vers :.......................................................................................................................... 10
IV.3 Cheval de Troie : ....................................................................................................... 10
IV.4 Logiciel Espion : ........................................................................................................ 10
IV.5 Spam : ........................................................................................................................ 11
IV.6 Cookies : .................................................................................................................... 11
IV.7 Bombe logique :......................................................................................................... 11
IV.8 Porte drobe : ........................................................................................................... 11
V. Mcanismes de la scurit : .............................................................................................. 12
V.1

Cryptage : .................................................................................................................. 12

V.2

Pare-Feu : ................................................................................................................... 12

V.3

Antivirus : .................................................................................................................. 13

V.4

VPN : ......................................................................................................................... 13

V.5

IDS : ........................................................................................................................... 14

V.6

IPS : ........................................................................................................................... 14

VI.

Mise en place dune politique de scurit : ................................................................... 14

VII.

Conclusion :................................................................................................................... 15

I.

Introduction : ..................................................................................................................... 16

II. Dfinition : ........................................................................................................................ 17


1

Tables des matires

III.

Types des IDS : ............................................................................................................. 18

III.1

IDS rseaux : ............................................................................................................. 18

III.2

IDS Host : .................................................................................................................. 19

III.3

IDS Hybride :............................................................................................................. 19

III.4

Systme de prvention dintrusion (IPS) : ................................................................. 20

III.5

KIDS/KIPS: ............................................................................................................... 20

IV.

Architecture dun IDS : ................................................................................................. 20

VII.1

Capteur : ................................................................................................................. 21

VII.2

Analyseur : ............................................................................................................. 21

VII.3

Manager : ............................................................................................................... 21

V. Mode de fonctionnement dun IDS:.................................................................................. 22


V.1

Modes de dtection : .................................................................................................. 22

V.2

Rpense passive et active : ........................................................................................ 22

VI.

Classification des IDS : ................................................................................................. 23

VI.1 Approche comportementale :..................................................................................... 23


VI.2 Approche par scnario : ............................................................................................. 24
VI.3 Autres critres : .......................................................................................................... 25
VI.3.1

Les sources de donnes analyser : ................................................................... 25

VI.3.2

Le comportement de lIDS aprs intrusion : ...................................................... 25

VI.3.3

La frquence dutilisation : ................................................................................ 25

VII.

Dtection dintrusions Web :......................................................................................... 26

VII.1

Approche comportemental : ................................................................................... 26

VII.2

Approche par scnario : ......................................................................................... 27

VII.3

Approche hybride : ................................................................................................ 27

VIII. Conclusion :................................................................................................................... 27


I.

Introduction : ..................................................................................................................... 28

II. Outils de ralisation : ........................................................................................................ 28


II.1

Langage de programmation Java : ............................................................................. 28

II.2

Choix du Framework Struts2 :................................................................................... 29

II.3

Choix de MySQL : .................................................................................................... 30

III.
III.1

Ralisation de lapplication Web : ................................................................................ 31


Description de boutique en ligne : ............................................................................. 31
2

Tables des matires


IV.

Scuriser lapplication Web: ......................................................................................... 34

IV.1 IDS de dtection danomalies : .................................................................................. 34


IV.1.1

Phase dapprentissage : ...................................................................................... 34

IV.1.2

Phase de dtection : ............................................................................................ 36

IV.1.3

Les faux positifs : ............................................................................................... 38

IV.2 Implmentation de lalgorithme de clustering K-means: .......................................... 39


IV.2.1

Dfinition de K-means: ...................................................................................... 39

IV.2.2

Organigramme : .................................................................................................. 41

IV.2.3

Implmentation de lalgorithme dans lapplication web: ................................... 42

IV.2.4

Rsultat obtenu avec le K-means : ..................................................................... 45

V. Conclusion : ...................................................................................................................... 46
Conclusion gnrale ................................................................................................................. 47
Rfrences bibliographiques .................................................................................................... 48
Liste des figures ....................................................................................................................... 52
Liste des abrviations ............................................................................................................... 54

Introduction gnrale
Dans la socit de linformation , la scurit des systmes informatiques
constitue un enjeu crucial. Le contrle de linformation traite et partage au sein de ces
systmes est un problme dautant plus dlicat que le nombre dutilisateurs de ces
systmes est important. Relier ces systmes entre eux au sein de rseaux informatiques,
eux-mmes interconnects, complexifie donc la tche des responsables scurit.

La scurit dun systme informatique repose en premier lieu sur la mise en place
dune politique de scurit. Celle-ci peut tre dfinie comme un ensemble de rgles
permettant dassurer trois proprits : [16]
o

la confidentialit des donnes : seuls les utilisateurs autoriss peuvent consulter


une information donne ;

o lintgrit des donnes : seuls les utilisateurs autoriss peuvent modifier une
information donne ;
o la disponibilit du systme : le systme doit tre capable de rendre le service
prvu en un temps born.

Une fois la politique de scurit dfinie, il convient de la mettre en uvre au sein


du systme informatique. Deux approches non exclusives sont envisageables : la
prvention des attaques et leur dtection. La premire approche, en appliquant un
contrle a priori sur les actions effectues au sein du systme, sassure que les
utilisateurs ne pourront violer la politique. Cette approche vite que le systme ne se
trouve dans un tat corrompu, ncessitant une analyse et une correction. De ce fait, des
mcanismes de prvention sont prsents sur les systmes informatiques ; il sagit
souvent de contrle daccs. Cependant, de tels mcanismes possdent leurs propres
limitations, qui peuvent porter sur des aspects thoriques des modles sous-jacents ou
sur leur implmentation. Ces limitations justifient le recours des mcanismes de
dtection Intrusion Detection Systems (IDS).

Introduction gnrale

Lobjectif de la dtection dintrusions est dautomatiser la tche daudit. Il sagit


bien, thoriquement, de dtecter de manire automatique les violations de politique de
scurit, quon appelle intrusions. Dans la pratique, les outils actuels ne sont cependant
pas configurs directement par la politique. Aussi, sils dtectent certaines intrusions, ils
dtectent aussi des tentatives dintrusions infructueuses, ce qui peut tre souhait, ou
non. En outre, la relative navet des algorithmes de dtection conduit un nombre
lev dalertes, dont une part significative est en fait constitue de fausses alertes (faux
positifs). Enfin, certaines intrusions peuvent ne pas tre dtectes (faux ngatifs).

Afin de qualifier un IDS, on sintresse sa fiabilit, qui est sa capacit mettre


une alerte pour toute violation de la politique de scurit, et sa pertinence, qui est sa
capacit nmettre une alerte quen cas de violation de la politique de scurit. Un IDS
est parfaitement fiable en absence de faux ngatif ; il est parfaitement pertinent en
labsence de faux positif.

Notre travail s'articule autour de ce domaine dont il consiste scuriser une


application web laide dun systme de dtection dintrusion comportementale base
de lalgorithme K-means.
Le premier chapitre est un chapitre descriptif pour la scurit des rseaux, sur
lequel on va dfinir les menaces, les logiciels malveillants et une politique de scurit
ainsi les principaux mcanismes de scurit.
Le second chapitre est consacr prsenter une architecture globale dun IDS, la
dfinition et le mode de fonctionnement de ce dernier. Ainsi la classification des IDS et
enfin la mthode de dtection dune intrusion.
Le dernier chapitre est consacr la ralisation de notre application (une boutique
en ligne), nous avons donc implment un systme de dtection dintrusion avec deux
approches : une approche comportementale et une approche utilisant lalgorithme Kmeans.

CHAPITRE I :
Scurit des Rseaux

Chapitre I

I.

Scurit des rseaux

Introduction :
L'informatique et en particulier l'Internet jouent un rle grandissant dans le

domaine des rseaux. Un grand nombre d'applications critiques d'un point de vue de
leur scurit sont dployes dans divers domaines comme le domaine militaire, la sant,
le commerce lectronique, etc. La scurit des rseaux devient alors une problmatique
essentielle tant pour les individus que pour les entreprises ou les tats. Il est donc
important de dfinir une politique de scurit pour ces rseaux et de veiller son
respect. Nanmoins les mcanismes de scurit prventifs mis en place ne sont pas
incontournables. Il est ncessaire de mettre en uvre des outils permettant de dtecter
toute violation de la politique de scurit, c'est--dire toute intrusion.
Tout au long de ce chapitre, notre intrt se porte sur les principales menaces
pesant sur la scurit des rseaux ainsi que les mcanismes de dfense.

II.

Scurit des rseaux:


Dfinition:

II.1

La scurit d'un rseau est un ensemble de moyens techniques, organisationnels,


juridiques et humains ncessaires et mis en place pour conserver, rtablir, et garantir sa
scurit. En gnral, la scurit d'un rseau englobe celle du systme informatique sur
lequel il s'appuie. [1]

valuation de la scurit d'un rseau:

II.2

La scurit d'un rseau peut s'valuer sur la base d'un certain nombre de critres
de scurit. On distingue gnralement trois principaux critres de scurit [1]:

Disponibilit : Elle consiste garantir l'accs un service ou une ressource.

Intgrit : Elle consiste s'assurer que les donnes n'ont pas t altres durant
la communication (de manire fortuite ou intentionnelle).

Confidentialit : Elle consiste rendre l'information inintelligible d'autres


personnes que les seuls acteurs concerns.

Chapitre I

Scurit des rseaux

En plus des ces trois critres, on peut ajouter les critres suivants:

Authentification : Elle consiste assurer l'identit d'un utilisateur, c'est- dire


de garantir chacun des correspondants que son partenaire est bien celui qu'il
croit tre.

Non rpudiation : Elle consiste garantie qu'aucun des correspondants ne


pourra nier la transaction.

L'valuation de la scurit d'un systme informatique est un processus trs


complexe bas en gnral sur une mthodologie. Cette valuation passe par une analyse
de risques. Cette dernire pesant sur un systme informatique elle mme s'appuie sur un
ensemble de mtriques dfinies au pralable [1].

III.

Les causes pour scuriser les rseaux :

III.1 Les enjeux :

a) Enjeux conomiques : Les organismes ou entreprises but lucratif on presque


toujours la mme finalit : c'est de raliser des bnfices sur l'ensemble de leurs
activits. Cette ralisation est rendue possible grce son systme d'information
considr comme moteur de dveloppement de l'entreprise. D'o la ncessit de
garantir la scurit de ce dernier. La concurrence fait que des entreprises
s'investissent de plus en plus dans la scurisation de leurs systmes
d'information et dans la qualit de service fournit aux clients [1].

b) Enjeux politiques : La plupart des entreprises ou organisations se rfrent aux


documents officiels de scurit labors et recommands par l'tat. Ces
documents contiennent gnralement des directives qui doivent tre appliques
par toute structure engage dans un processus de scurisation du rseau. Dans le
cadre du chiffrement des donnes par exemple, chaque tat dfinit des cadres et
mesures d'utilisation des algorithmes de chiffrement et les recommande aux
entreprises exerant sur son territoire. Le non respect de ces mesures et
recommandations peut avoir des consquences graves sur l'entreprise. A ce
niveau, l'enjeu est plus politique parce que chaque tat souhaite tre capable de
dcrypter toutes les informations circulant dans son espace [1].
7

Chapitre I

Scurit des rseaux

c) Enjeux juridiques : Dans un rseau, on retrouve de l'information multiforme


(numrique, papier, etc.). Le traitement de celle ci doit se faire dans un cadre
bien dfinit et dans le strict respect des lois en vigueur. En matire de
juridiction, le non respect des lois et exigences relatives la manipulation des
informations dans un systme d'information peut avoir des consquences graves
sur l'entreprise. [1]

III.2 Les vulnrabilits :

Tous les systmes informatiques sont vulnrables. Peu importe le niveau de


vulnrabilit de ceux ci. Une vulnrabilit est une faille ou une faiblesse pouvant tre
exploite par une personne mal intentionne pour nuire.
Les vulnrabilits des systmes peuvent tre classes en catgorie (humaine,
technologique, organisationnelle, mise en uvre). [1]

a) Vulnrabilits humaines : L'tre humain de par sa nature est vulnrable. La


plupart des vulnrabilits humaines proviennent des erreurs (ngligence, manque
de comptences, surexploitation, etc.), car ne dit t-on pas souvent que l'erreur est
humaine? Un SI tant compos des humains, il convient d'assurer leur scurit si
l'on veut garantir un maximum de scurit dans le SI. [1]

b) Vulnrabilits technologiques : Avec la progression exponentielle des outils


informatiques, les vulnrabilits technologiques sont dcouvertes tous les jours.
Ces vulnrabilits sont la base dues une ngligence humaine lors de la
conception et la ralisation. Pour tre inform rgulirement des vulnrabilits
technologiques dcouvertes, il suffit de s'inscrire sur une liste ou des listes de
diffusion mises en place par les CERT(Computer Emergency Readiness ou
Response Team). [1]

c) Vulnrabilits organisationnelles : Les vulnrabilits d'ordre organisationnel


sont dues l'absence des documents cadres et formels, des procdures (de
travail, de validation) suffisamment dtailles pour faire face aux problmes de
8

Chapitre I

Scurit des rseaux

scurit du systme. Quand bien mme ces documents et procdures existent,


leur vrification et mises jour ne sont pas toujours bien assures. [1]
d) Vulnrabilits mise en uvre : Les vulnrabilits au niveau mise en uvre
peuvent tre dues la non prise en compte des certains aspects lors de la
ralisation d'un projet. [1]

III.3 Menaces :

On peut galement classer les menaces en deux catgories selon quelles ne


changent rien (menaces passives) ou quelles perturbent effectivement le rseau
(menaces actives). [2]

a) Les menaces passives : consistent essentiellement copier ou couter


linformation sur le rseau, elles nuisent la confidentialit des donnes.
Dans ce cas, celui qui prlve une copie naltre pas linformation ellemme. [2]

b) Les menaces actives : sont de nature modifier ltat du rseau. [2]


III.4 Risques :

Les risques se mesurent en fonction de deux critres principaux : la vulnrabilit


et la sensibilit.

La vulnrabilit dsigne le degr dexposition des dangers. Un des points de


vulnrabilit dun rseau est un point facile approcher. Un lment de ce rseau peut
tre trs vulnrable tout en prsentant un niveau de sensibilit trs faible : le poste de
travail de ladministrateur du rseau, par exemple, dans la mesure o celui-ci peut se
connecter au systme dadministration en tout point du rseau. [2]
La sensibilit dsigne le caractre stratgique dun composant du rseau. Celui-ci
peut tre trs sensible, vu son caractre stratgique mais quasi invulnrable, grce
toutes les mesures de protection qui ont t prises pour le prmunir contre la plupart des
risques. [3]

Chapitre I
IV.

Scurit des rseaux

Les logiciels malveillants :


Un logiciel malveillant est un programme dvelopp dans le but de nuire un

systme informatique, sans le consentement de l'utilisateur infect. Plusieurs types de


logiciels malveillants ont t proposes nous citons les plus rpandus :
IV.1 Virus :

Un virus est un morceau de programme informatique malicieux, conu et crit


pour qu'il se reproduise. Cette capacit se rpliquer, peut toucher votre ordinateur,
sans votre permission et sans que vous le sachiez. En termes plus techniques, le virus
classique s'attachera un de vos programmes excutables et se copiera
systmatiquement sur tout autre excutable que vous lancez.[4]
Les virus peuvent s'avrer particulirement dangereux et endommager plus ou
moins gravement les machines infectes. Le virus peut se rpandre travers tout moyen
d'change de donnes numriques comme l'Internet, et notamment par lintermdiaire
des messages lectroniques ou de leurs pices attaches.
IV.2 Vers :

Un ver (ou worm) est un type de virus particulier qui se propage par le rseau. Le
vers contrairement aux virus, une fois implants et activs dans un ordinateur, sont des
programmes capables de se propager dun ordinateur un autre via le rseau, sans
intervention de lutilisateur et sans exploiter le partage de fichiers.
IV.3 Cheval de Troie :

Un cheval de Troie (Trojan horse) est un programme qui excute des


instructions sans l'autorisation de l'utilisateur. Ces instructions sont gnralement
nuisibles l'utilisateur, et qui une fois install sur un ordinateur y effectue des actions
caches et pernicieuses .[5]
Le cheval de Troie contrairement au ver ne se rplique pas.
IV.4

Logiciel Espion :
Un logiciel espion (ou spyware) est un programme, conu dans le but de

collecter des donnes personnelles sur ses utilisateurs et de les envoyer son
concepteur, ou un tiers via Internet ou tout autre rseau informatique, sans avoir
obtenu au pralable une autorisation explicite et claire desdits utilisateurs.[1]

10

Chapitre I

Scurit des rseaux

Une varit particulirement toxique de logiciel espion est le keylogger (espion


dactylographique), qui enregistre fidlement tout ce que lutilisateur tape sur son clavier
et le transmet son honorable correspondant ; il capte ainsi notamment identifiants,
mots de passe et codes secrets. [5]
IV.5

Spam :
Le spam est une vraie problmatique. Il encombre les rsultats de recherche ce

qui gne lutilisateur. Un spam peut tre dfinit comme tant un email anonyme, non
sollicit, indsirable et envoy en grand nombre de faon automatique sans l'accord de
son destinataire.
IV.6

Cookies :
Un cookie est un petit fichier trs simple, en fait un texte, enregistr sur le disque

dur de lordinateur dun internaute la demande du serveur grant le site Web visit. Il
contient des informations sur la navigation effectue sur les pages de ce site. Lide
originelle est de faciliter lutilisation ultrieure du site par la mme personne.
Un cookie ntant pas excutable, il ne peut contenir de virus.
IV.7 Bombe logique :

Une Bombe logique est une partie dun programme malveillant (virus, cheval de
Troie, etc.) qui reste dormante dans le systme hte jusqu ce quun instant ou un
vnement survienne, ou encore que certaines conditions soient runies, pour
dclencher des effets dvastateurs en son sein. [6]
Les bombes logiques sont gnralement utilises dans le but de crer un dni de
service en saturant les connexions rseau d'un site, d'un service en ligne ou d'une
entreprise.

IV.8 Porte drobe :

Cest un moyen de contourner les mcanismes de contrle daccs. Elle sagit


dune faille du systme de scurit due une faute de conception accidentelle ou
intentionnelle.

11

Chapitre I
V.

Scurit des rseaux

Mcanismes de la scurit :
cause des menaces provenant des logiciels malveillants, Il faut mettre en place

des mcanismes pour sassurer la confidentialit, lintgrit et la disponibilit des


services. Parmi ces mcanismes, on peut citer :
V.1

Cryptage :
Le chiffrement est un procd de cryptographie grce auquel on souhaite rendre

la comprhension d'un document impossible toute personne qui n'a pas la cl de


(d)chiffrement. Ce principe est gnralement li au principe d'accs conditionnel.
Bien que le chiffrement puisse rendre secret le sens d'un document, d'autres
techniques cryptographiques sont ncessaires pour communiquer de faon sre. [9]

La Figure I.1 montre le fonctionnement de chiffrement.

Figure I.1. Cryptage[9] .


V.2

Pare-Feu :
Cest un ensemble de diffrents composants matriels (physique) et logiciels

(logique) qui contrlent le trafic intrieur/extrieur selon une politique de scurit.


Un systme pare-feu fonctionne la plupart du temps grce des rgles de filtrage
indiquant les adresses IP autorises a communiquer avec les machines aux rseaux, il
s'agit ainsi d'une passerelle filtrante.

Il permet d'une part de bloquer des attaques ou connexions suspectes daccder


au rseau interne.
Dun autre ct, un firewall sert dans de nombreux cas galement viter la
fuite non contrle dinformations vers lextrieur. Il propose un vritable contrle sur
12

Chapitre I

Scurit des rseaux

le trafic rseau de l'entreprise, Il permet donc d'analyser, de scuriser et de grer le trafic


rseau.
La Figure I.2 schmatise le fonctionnement dun pare-feu.

Figure I.2. Pare-feu [2].


V.3

Antivirus :
Les antivirus sont des logiciels conus pour identifier, neutraliser et liminer

des logiciels malveillants. Ceux-ci peuvent se baser sur l'exploitation de failles de scurit,
mais il peut galement s'agir de programmes modifiant ou supprimant des fichiers, que
ce soit des documents de l'utilisateur de l'ordinateur infect, ou des fichiers ncessaires
au bon fonctionnement de l'ordinateur. [7]
Un antivirus vrifie les fichiers et courriers lectroniques, les secteurs de boot
(pour dtecter les virus de boot), mais aussi la mmoire vive de l'ordinateur, les mdias
amovibles (clefs USB, CD, DVD, etc.), les donnes qui transitent sur les
ventuels rseaux (dont internet), etc.

V.4

VPN :
Dans les rseaux informatiques , le rseau priv virtuel (Virtual Private

Network en anglais, abrg en VPN) est une technique permettant aux postes distants de
communiquer de manire sre, tout en empruntant des infrastructures publiques
(internet). [10]
Un VPN repose sur un protocole, appel protocole de tunnelisation, c'est--dire un
protocole permettant aux donnes passant d'une extrmit l'autre du VPN d'tre
scurises par des algorithmes de cryptographie.[10]

13

Chapitre I

Scurit des rseaux

La Figure I.3 montre le principe de protocole de tunnelisation.

Figure I.3. Principe de VPN .


V.5

IDS :
Un systme de dtection d'intrusion (ou IDS : Intrusion Detection System) est un

mcanisme destin reprer des activits anormales ou suspectes sur la cible analyse
(un rseau ou un hte). Il permet ainsi d'avoir une connaissance sur les tentatives
russies comme choues des intrusions.[11]
Il faut distinguer deux aspects dans le fonctionnement dun IDS : le mode de
dtection utilis et la rponse apporte par lIDS lors de la dtection dune intrusion.

V.6

IPS :
Un systme de prvention d'intrusion (ou IPS, Intrusion Prevention System) est un

outil similaire aux IDS, sauf que ce systme peut prendre des mesures afin de diminuer
les risques d'impact d'une attaque. C'est un IDS actif, il dtecte un balayage automatis,
l'IPS peut bloquer les ports automatiquement.[11]

VI.

Mise en place dune politique de scurit :


La mise en uvre dune politique de scurit globale est assez difficile,

essentiellement par la diversit des aspects considrer. Une politique de scurit peut
se dfinir par un certain nombre de caractristiques : les niveaux o elle intervient, les
objectifs de cette politique et enfin les outils utiliss pour assurer cette scurit.
Chaque aspect diffrent doit tre pris en compte, de faon atteindre les
objectifs de scurit dsirs, en utilisant de faon coordonne les diffrents outils
disposition.[12]

14

Chapitre I

Scurit des rseaux

Nous allons tout dabord parler des diffrents aspects dune politique de scurit,
avant de dfinir les objectifs viss, puis de voir les outils disponibles pour appliquer
cette politique.[12]

Une politique de scurit slabore plusieurs niveaux. [12]

scuriser laccs aux donnes de faon logicielle (authentification, contrle


dintgrit).

scuriser laccs physique aux donnes : serveurs placs dans des salles
blindes avec badge daccs

Un aspect trs important pour assurer la scurit des donnes dune


entreprise est de sensibiliser les utilisateurs aux notions de scurit, de faon
limiter les comportements risque : si tout le monde peut accder aux
salles de serveurs, peut imposte quelles soient scurises !

De mme, si les utilisateurs laissent leur mot de passe crit ct de leur PC,
son utilit est limite

Enfin, il est essentiel pour un responsable de scurit de sinformer


continuellement,

des

nouvelles

attaques

existantes,

des

outils

disponiblesde faon pouvoir maintenir jour son systme de scurit et


combler les brches de scurit qui pourraient exister.

VII.

Conclusion :
Dans ce chapitre, on a prsent les principales notions et concepts de la scurit

des systmes informatiques et des rseaux, dont on a dcrit plus particulirement les
menaces provenant des logiciels malveillants et introduit une politique de scurit.
Ainsi diffrentes mthodes et mcanismes connus pour scuriser les rseaux.
A travers les diffrentes sections quon a montr, on conclu quaucun rseaux
nest sr 100% et il est impossible de garantir la scurit totale dun rseau.

15

CHAPITRE II :
Systme de Dtection
dIntrusion

Chapitre II

I.

Systme de dtection dintrusions

Introduction :
Une proprit de valeur doit tre protge contre le vol et la destruction. Certaines

maisons sont quipes de systmes d'alarme qui peuvent dcourager des voleurs,
prvenir les autorits dans le cas d'une effraction et mme avertir les propritaires que
leur maison est en feu. De telles mesures sont ncessaires pour assurer l'intgrit des
maisons et la scurit de leurs propritaires.[30]
La mme assurance d'intgrit et de scurit devrait galement tre applique aux
systmes et donnes informatiques. L'internet a facilit le flux d'informations,
personnelles, financires et autres. En mme temps, il a galement promu autant de
dangers. Les utilisateurs malveillants et les craqueurs recherchent des proies vulnrables
comme les systmes sans correctifs, les systmes affects par des chevaux de Troie et
les rseaux excutant des services peu srs. Des alarmes sont ncessaires pour prvenir
les administrateurs et les membres de l'quipe de scurit qu'une effraction s'est produite
afin qu'ils puissent rpondre en temps rel au danger. Les systmes de dtection
d'intrusions ont t conus pour jouer le rle d'un tel systme d'alarme.[13]
Deux approches ont t proposes ce jour dans ce but: l'approche
comportementale et l'approche par signatures. La premire se base sur l'hypothse que
lon peut dfinir un comportement normal de l'utilisateur et que toute dviation par
rapport celui-ci est potentiellement suspecte. La seconde s'appuie sur la connaissance
des techniques employes par les attaquants : on tire des signatures d'attaque et on
recherche dans les traces d'audit leur ventuelle survenue. [14]
Dans ce chapitre nous prsentons tout dabord la notion de systme de dtection
dintrusions ainsi que son architecture. Je prsente galement la classification des IDS,
dans ce cadre plusieurs critres sont pris en compte nous commenons par la
classification selon la mthode danalyse qui dcoupe les IDS en deux approches
(comportementale et par signatures), enfin nous allons mettre le point sur la dtection
dintrusions Web.

16

Chapitre II
II.

Systme de dtection dintrusions

Dfinition :
La dtection des intrusions est le processus de surveillance des vnements se

trouvant dans un systme des ordinateurs ou du rseau et les analysant pour dtecter les
signes des intrusions, dfini comme des tentatives pour compromettre la confidentialit,
lintgrit, la disponibilit ou viter des mcanismes de scurit de lordinateur ou du
rseau. Lintrusion est cause par les attaques accdant au systme via lInternet,
autorise lutilisateur du systme qui essaye de gagner les privilges supplmentaires
pour lesquels ils nont pas autoriss, et autoris les utilisateurs qui abusent les privilges
donns. Le systme de dtection des intrusions est un logiciel ou un matriel qui
automatise des surveillances et les processus analyss.[15]

Les IDS traditionnellement suivent deux critres :

Fiabilit : toute intrusion doit effectivement donner lieu une alerte. Une
intrusion non signale constitue une dfaillance de lIDS, appele faux ngatif.
(voir Figure II.1)

Pertinence des alertes : toute alerte doit correspondre une intrusion effective.
Toute fausse alerte (appele galement faux positif) diminue la pertinence
de lIDS. (voir Figure II.1)
Un IDS est parfaitement fiable en absence de faux ngatif ; il est parfaitement

pertinent en labsence de faux positif.

Figure II.1. Problmes des IDS [16].


17

Chapitre II

Systme de dtection dintrusions

Un IDS a quatre fonctions principales : l'analyse, la journalisation, la gestion et l'action.

Analyse: Analyse des journaux du systme pour identifier des intentions dans la
masse de donnes recueillie par l'IDS. Il y a deux mthodes d'analyse : L'une
base sur les signatures d'attaques, et l'autre sur la dtection d'anomalies. [17]

Journalisation: Enregistrement des vnements dans un fichier de log.


Exemples d'vnements : arrive d'un paquet, tentative de connexion. [17]

Gestion: Les IDS doivent tre administrs de manire permanente. On peut


assimiler un IDS une camra de scurit. [17]

III.

Action: Alerter l'administrateur quand une attaque dangereuse est dtecte. [17]

Types des IDS :

III.1 IDS rseaux :

Le rle essentiel d'un IDS rseau (NIDS) est l'analyse et l'interprtation des
paquets circulant sur ce rseau.
Limplantation dun NIDS sur un rseau se fait de la faon suivante : des
capteurs sont placs aux endroits stratgiques du rseau et gnrent des alertes sils
dtectent une attaque. Ces alertes sont envoyes une console scurise, qui les analyse
et les traitent ventuellement. Cette console est gnralement situe sur un rseau isol,
qui relie uniquement les capteurs et la console.[12]

Figure II.2: Architecture dun NIDS.[18]

18

Chapitre II

Systme de dtection dintrusions

III.2 IDS Host :

Les HIDS (Host IDS) analysent le fonctionnement et ltat des machines sur
lesquelles ils sont installs. Lintgrit des systmes est alors vrifie priodiquement et
des alertes peuvent tres leves. [18]

Figure II.3: Architecture dun HIDS [18]

III.3 IDS Hybride :

Les IDS hybrides rassemblent les caractristiques des NIDS et HIDS. Ils
permettent, en un seul outil, de surveiller le rseau et les terminaux. Les sondes sont
places en des points stratgiques, et agissent comme NIDS et/ou HIDS suivant leurs
emplacements. Toutes ces sondes remontent alors les alertes une machine qui va
centraliser le tout, et agrger/lier les informations dorigines multiples. Ainsi, on
comprend que les IDS hybrides sont bass sur une architecture distribue, o chaque
composant unifie son format denvoi. Cela permet de communiquer et dextraire des
alertes plus pertinentes. Les avantages des IDS hybrides sont multiples :[18]

Moins de faux positif.

Meilleure corrlation (la corrlation permet de gnrer de nouvelles alertes


partir de celles existantes).

Possibilit de raction sur les analyseurs.

19

Chapitre II

Systme de dtection dintrusions

Figure II.4: Architecture dun IDS Hybride [18]

III.4 Systme de prvention dintrusion (IPS) :

Un systme de prvention dintrusion est un dispositif capable de dtecter des


attaques, connues et inconnues, et de les empcher dtre russies. LIPS nest pas un
observateur : il fait partie intgrante du rseau. Il est plac en ligne et examine tous les
paquets entrants ou sortants.[19]

Figure II.5: Architecture dun IPS


III.5 KIDS/KIPS:

Ce type dIDS analyse les appels systmes et bloque tout accs suspect au systme .
Ainsi les KIPS sont des solutions rarement utiliss sur des serveurs souvent sollicits.

IV.

Architecture dun IDS :


Cette section dcrit les trois composants qui constituent classiquement un systme

de dtection dintrusions. La Figure II.6 illustre les interactions entre ces trois
composants.

20

Chapitre II

Systme de dtection dintrusions

Figure II.6. Architecture dun IDS. [16]


VII.1 Capteur :

Le capteur observe lactivit du systme par le biais dune source de donnes et


fournit lanalyseur une squence dvnements qui renseignent de lvolution de ltat
du systme. Le capteur peut se contenter de transmettre directement ces donnes brutes,
mais en gnral un prtraitement est effectu.
On distingue classiquement trois types de capteurs en fonction des sources de
donnes utilises pour observer lactivit du systme : les capteurs systme, les capteurs
rseau et les capteurs applicatifs. [16]
VII.2 Analyseur :

Lobjectif de lanalyseur est de dterminer si le flux dvnements fourni par le


capteur contient des lments caractristiques dune activit malveillante. [16]
VII.3 Manager :

Le manager collecte les alertes produites par le capteur, les met en forme et les
prsente loprateur. ventuellement, le manager est charg de la raction adopter
qui peut tre : [16]

Confinement de lattaque, qui a pour but de limiter les effets de lattaque ;

Eradication de lattaque, qui tente darrter lattaque ;

Recouvrement, qui est ltape de restauration du systme dans un tat sain ;

Diagnostic, qui est la phase didentification du problme.

21

Chapitre II

Systme de dtection dintrusions

Du fait du manque de fiabilit des systmes de dtection dintrusions actuels, les


ractions sont rarement automatises, car elles peuvent se traduire par un dni de
service en cas de faux positif.

V.

Mode de fonctionnement dun IDS:


Il faut distinguer deux aspects dans le fonctionnement dun IDS : le mode de

dtection utilis et la rponse apporte par lIDS lors de la dtection dune intrusion. Il
existe deux modes de dtection, la dtection danomalies et la reconnaissance de
signatures. De mme, deux types de rponses existent, la rponse passive et la rponse
active. [12]
V.1

Modes de dtection :
a) La dtection danomalies :
Elle consiste dtecter des anomalies par rapport un profil "de trafic habituel".

La mise en uvre comprend toujours une phase d'apprentissage au cours de laquelle les
IDS vont "dcouvrir" le fonctionnement "normal" des lments surveills. Ils sont ainsi
en mesure de signaler les divergences par rapport au fonctionnement de rfrence. [12]
b) La reconnaissance de signature :
Cette approche consiste rechercher dans l'activit de l'lment surveill les
empreintes (ou signatures) d'attaques connues. Ce type d'IDS est purement ractif ; il ne
peut dtecter que les attaques dont il possde la signature. De ce fait, il ncessite des
mises jour frquentes. [12]
De plus, l'efficacit de ce systme de dtection dpend fortement de la prcision
de sa base de signature.
Une signature permet de dfinir les caractristiques dune attaque, au niveau des
paquets ou au niveau protocole.
V.2

Rpense passive et active :


Il existe deux types de rponses, la rponse passive et la rponse active.

a) La rponse passive : La rponse passive dun IDS consiste enregistrer les


intrusions dtectes dans un fichier de log qui sera analys par le responsable
scurit. Certains IDS permettent de logger lensemble dune connexion
22

Chapitre II

Systme de dtection dintrusions

identifie comme malveillante. Ceci permet de remdier aux failles de


scurit pour empcher les attaques enregistres de se reproduire, mais elle
nempche pas directement une attaque de se produire. [12]

b) La rponse active : La rponse active au contraire a pour but de stopper une


attaque au moment de sa dtection. [12]

VI.

Classification des IDS :


Plusieurs critres permettent de classer les systmes de dtection dintrusions, la

mthode d'analyse tant le principal. Deux mthodes drivant de cette dernire existent
aujourd'hui : l'approche comportementale et l'approche par scnarios.
On peut citer aussi d'autres critres de classification des IDSs : la frquence d'utilisation,
les sources de donnes analyser, le comportement de l'IDS aprs intrusion.[20]
VI.1 Approche comportementale :

L'approche comportementale est fonde sur une description statistique des sujets.
L'objectif est de dtecter les actions anormales effectues par ces sujets (par exemple,
des heures de connexion anormales, un nombre anormal de fichiers supprims ou un
nombre anormal de mots de passe incorrects fournis au cours d'une connexion).
Le comportement normal des sujets est appris en observant le systme pendant
une priode donne appele phase dapprentissage (par exemple, un mois). Le
comportement normal, appel comportement sur le long terme, est enregistr dans la
base de donnes et compar avec le comportement prsent des sujets, appel
comportement court terme. Une alerte est gnre si une dviation entre ces
comportements est observe. Dans cette approche, le comportement sur le long terme
est, en gnral, mis jour priodiquement pour prendre en compte les volutions
possibles des comportements des sujets. Je considre traditionnellement que l'avantage
principal de l'approche comportementale est de pouvoir tre utilise pour dtecter de
nouvelles attaques. Autrement dit, en signalant toute dviation par rapport au profil, il
est possible de dtecter a priori toute attaque qui viole ce profil, mme dans le cas o
cette attaque n'tait pas connue au moment de la construction du profil. [20]

23

Chapitre II

Systme de dtection dintrusions

Cependant, cette approche prsente galement plusieurs inconvnients. Tout


d'abord, le diagnostic fournit par une alerte est souvent flou et ncessite une analyse
complmentaire.

Ensuite, cette approche gnre souvent de nombreux faux positifs car une
dviation du comportement normal ne correspond pas toujours l'occurrence d'une
attaque. Citons titre dexemples, en cas de modifications subites de l'environnement
de l'entit modlise, cette entit changera sans doute brutalement de comportement.
Des alarmes seront donc dclenches.
Pour autant, ce n'est peuttre qu'une raction normale la modification de
l'environnement. [20]

En outre, les donnes utilises en apprentissage doivent tre exemptes d'attaques,


ce qui nest pas toujours le cas. Enfin, un utilisateur malicieux peut habituer le systme
(soit pendant la phase d'apprentissage, soit en exploitation si l'apprentissage est continu)
des actions malveillantes, qui ne donneront donc plus lieu des alertes. Le problme
de la dtection d'intrusions est couramment approch d'une faon radicalement
diffrente qui est lapproche par scnario. [20]
VI.2 Approche par scnario :

La dtection d'intrusions peut galement s'effectuer selon une approche par


scnario. Il s'agit de recueillir des scnarios d'attaques pour alimenter une base
d'attaques. Le principe commun toutes les techniques de cette classe consiste utiliser
une base de donnes, contenant des spcifications de scnario d'attaques (on parle de
signatures d'attaque et de base de signatures). Le dtecteur d'intrusions compare le
comportement observ du systme cette base et remonte une alerte si ce
comportement correspond une signature prdfinie. Le principal avantage d'une
approche par scnario est la prcision des diagnostics qu'elle fournit par rapport ceux
avancs par l'approche comportementale. Il est bien entendu que l'inconvnient majeur
de cette approche est qu'elle ne peut dtecter que des attaques dont elle dispose de leur
signature. Or, dfinir de faon exhaustive la base de signatures est une des principales
difficults laquelle se heurte cette approche. La gnration de faux ngatifs est
craindre en prsence des nouvelles attaques. En effet, contrairement un systme de

24

Chapitre II

Systme de dtection dintrusions

dtection d'anomalies, ce type de dtecteur d'intrusions ncessite une maintenance


active : puisque par nature il ne peut dtecter que les attaques dont les signatures sont
dans sa base de donnes, cette base doit tre rgulirement (sans doute
quotidiennement) mise jour en fonction de la dcouverte de nouvelles attaques.
Aucune nouvelle attaque ne peut par dfinition tre dtecte. [20]

Dautre part, il existe de nombreuses attaques difficiles dtecter car elles


ncessitent de corrler plusieurs vnements. Dans la plupart des produits
commerciaux, ces attaques labores sont dcomposes en plusieurs signatures
lmentaires. Cette dcomposition peut gnrer de nombreux faux positifs si un
mcanisme plus global n'est pas dvelopp pour corrler les alertes correspondant ces
diffrentes signatures lmentaires. Chacune de ces deux approches peut conduire des
faux positifs (dtection dattaque en absence dattaque) ou des faux ngatifs (absence
de dtection en prsence dattaque). [20]

VI.3 Autres critres :

Parmi les autres critres de classification existants, nous pouvons citer entre autres :

VI.3.1 Les sources de donnes analyser :

Les sources possibles de donnes analyser sont une caractristique essentielle


des systmes de dtection d'intrusions. Les donnes proviennent, soit de fichiers gnrs
par le systme d'exploitation, soit de fichiers gnrs par des applications, soit encore
d'informations obtenues en coutant le trafic sur le rseau. [20]
VI.3.2 Le comportement de lIDS aprs intrusion :

Une autre faon de classer les systmes de dtection d'intrusions, consiste voir
quelle est leur raction lorsqu'une attaque est dtecte. Certains se contentent de
dclencher une alarme (rponse passive). [20]
VI.3.3 La frquence dutilisation :

Une autre caractristique des systmes de dtection d'intrusions est leur


frquence d'utilisation : priodique ou continue. Certains systmes de dtection
d'intrusions analysent priodiquement les traces daudit la recherche d'une ventuelle
intrusion ou anomalie passe. Cela peut tre suffisant dans des contextes peu sensibles.
25

Chapitre II

Systme de dtection dintrusions

La plupart des systmes de dtection d'intrusions rcents effectuent leur analyse des
traces daudit ou des paquets rseau de manire continue afin de proposer une dtection
en quasi temps rel. Cela est ncessaire dans des contextes sensibles (confidentialit) ou
commerciaux (confidentialit, disponibilit). C'est toutefois un processus coteux en
temps de calcul car il faut analyser la vole tout ce qui se passe sur le systme. [20]

VII.

Dtection dintrusions Web :


Les mthodes de dtection d'intrusions utilises l'heure actuelle reposent

essentiellement sur l'observation d'vnements et leur analyse.

La collecte

d'informations constitue donc la premire tape dans tout les IDS.


Le rle des outils de dtection d'intrusions consiste alors exploiter cette masse
d'informations, appele audit, de manire y dtecter des vnements signalant
potentiellement une intrusion.[21]
VII.1 Approche comportemental :

La dtection d'anomalies consiste dfinir, dans une premire phase, un certain


comportement du systme, des utilisateurs, des applications, etc. Dans une seconde
phase, on observe l'entit ainsi modlise et tout cart par rapport au comportement de
rfrence est signal comme tant suspect.

Cette approche recouvre en fait deux problmes distincts : la dfinition du


comportement normal (souvent appel profil) d'une part, la spcification des critres
permettant d'valuer le comportement observ par rapport ce profil d'autre part. [21]

Le principal investissement lors de la mise en uvre d'un dtecteur d'anomalies


est la construction du profil. Cette tape est dlicate, car le profil doit reflter la fois
une certaine politique de scurit.
Le profil peut donc contenir des rgles

impratives imposes par

l'administrateur.
La mise en service d'un dtecteur d'anomalies est donc prcde d'une phase
d'apprentissage au cours de laquelle le profil, initialement construit uniquement partir
d'une politique de scurit, volue, afin que toute utilisation juge normale soit
reconnue comme telle. Dans certains cas, cet apprentissage continue galement aprs la
26

Chapitre II

Systme de dtection dintrusions

mise en service : le profil volue constamment afin de suivre au mieux l'utilisation


relle du systme.
Les

diffrentes

approches

de

dtection

d'anomalies

se

distinguent

essentiellement par le choix des entits modlises dans le profil et l'interprtation qui
est faite des divergences par rapport ce profil. [21]

VII.2 Approche par scnario :

Le problme de la dtection d'intrusions est galement couramment approch


d'une faon radicalement diffrente, en visant dtecter des signes de scnarii d'attaques
connues. Le principe commun toutes les techniques de cette classe consiste utiliser
une base de donnes, contenant des spcifications de scnarii d'attaques (on parle de
signatures d'attaque et de base de signatures).
Le dtecteur d'intrusions confronte le comportement observ du systme cette
base et lve une alerte si ce comportement correspond l'une des signatures. [21]

VII.3 Approche hybride :

Pour tenter de compenser quelques inconvnients de chacune des techniques,


certains systmes utilisent une combinaison de lapproche comportementale et
lapproche par scnario.

LIDS comportementale permet de filtrer les requtes

normales et ainsi seules les requtes dtectes comme anormales sont passes lIDS
par signatures. [21]

VIII.

Conclusion :
La plupart des IDS sont fiables, ce qui explique qu'ils sont souvent intgrs dans les

solutions de scurit. Les avantages qu'ils prsentent face aux autres outils de scurits
les favorisent, mais d'un autre ct cela n'empche pas que les meilleurs IDS prsentent
aussi des lacunes et quelques inconvnients. Nous comprenons donc bien qu'ils sont
ncessaires mais ne peuvent pas se passer de l'utilisation d'autres outils de scurit
visant combler leurs dfauts.

27

CHAPITRE III:
Conception et Ralisation

Chapitre III

I.

Implmentation de lapplication Web

Introduction :
Ce chapitre prsente la description dune solution propose dont le but est de

scuriser une application web. Cette partie comprend trois tapes. La premire tape
consiste dcrire la ralisation en dtail de cette application Web (boutique en ligne) en
utilisant le paradigme MVC2 travers la version 2 du Framework Struts. La deuxime
tape consiste scuriser lapplication Web ralise on se basant sur lapproche
comportementale des IDS et enfin la dernire tape consiste appliquer lalgorithme
K-means afin de diminuer le nombre des faux-positifs.

II.

Outils de ralisation :
Cette partie prsente les principaux outils utiliss pour la mise en place de

lapplication. La ralisation de cette dernire a t faite sous la plateforme Java on se


basant sur le Framework Struts2 avec lutilisation de MYSQL comme serveur de base
de donnes.

Langage de programmation Java :

II.1

Les modules conus ont t raliss sous Java dont les principales vertus, sont
rsumes dans les points suivants :

Java est un langage orient objet : un programme Java est centr compltement
sur les objets et fournit un ensemble prdfini de classes facilitant la
manipulation

des

entres-sorties,

la

programmation

rseau,

systme,

graphique

Le langage Java est distribu : il est conu pour dvelopper des applications en
rseau, les manipulations des objets distants ou locaux se font de la mme
manire.

28

Chapitre III

Implmentation de lapplication Web

Le langage Java est robuste et sr : il est fortement typ ; il limine bien des
erreurs d'incohrence de type la compilation et ne supprime pas tous les
problmes de scurit mais les rduit fortement.

Le langage Java est interprt : un programme Java n'est pas compil en code
machine ; il est transform en code intermdiaire interprt.

Le langage Java est portable et indpendant des plates-formes : un IDS ne doit ni


dpendre de l'architecture matrielle, ni du systme d'exploitation.

On a utilis NetBeans version 7.4 qui est plac en open source par Sun sous licence
CDDL (Common Development and Distribution License). En plus de Java, NetBeans
permet galement de supporter diffrents langages, comme C, C++, XML et HTML. Il
comprend toutes les caractristiques d'un IDE moderne (diteur en couleur, projets
multi-langage, refactoring, diteur graphique d'interfaces et de pages Web).

II.2

Choix du Framework Struts2 :


Le Framework Web Apache Struts est un logiciel gratuit open-source pour crer

des applications Web Java bases sur JSP (Java Server Pages).
Struts2 implmente le modle d'architecture MVC2 (Modle - Vue - Contrleur), il
permet notamment de sparer la partie modle (programmation, traitement des
informations) de la partie prsentation (affichage). Le modle reprsente le code mtier
ou la base de donnes, la vue reprsente le code de conception de pages et le contrleur
reprsente le code de navigation (servlet unique).

La Figure III.1 schmatise larchitecture de Struts2 :

29

Chapitre III

Implmentation de lapplication Web

Figure III.1. Architecture de Struts2

Le cycle de vie dun client dans Struts 2 se droule comme suit:

L'utilisateur envoie une demande au serveur pour demander une ressource.

Le FilterDispatcher ressemble la demande et dtermine ensuite les mesures


appropries. Celui-ci voit passer toutes les demandes des clients.

Les fonctionnalits intercepteurs configurs s'appliquent comme une validation.

L'action slectionne est excute pour effectuer l'opration demande.

Encore une fois, le contrleur C demande la page JSP correspondant la clef


de navigation de s'afficher.

II.3

Enfin, le rsultat est prpar par la vue et renvoie le rsultat l'utilisateur.

Choix de MySQL :
MySQL est un serveur de BDD relationnelles open-source qui stocke les donnes

dans des tables spares plutt que de tout rassembler dans une seule table.
Cela amliore la rapidit et la souplesse de l'ensemble. Les tables sont relies par des
relations dfinies, qui rendent possible la combinaison de donnes entre plusieurs tables
durant une requte. Le SQL (Structured Query Language) : le langage standard pour les
traitements de bases de donnes [22].

30

Chapitre III

Implmentation de lapplication Web

On a choisi EasyPHP comme outil pour crer la BDD qui constitue le langage
intermdiaire entre cette base et l'utilisateur de la base.

Notre BDD contient les tables suivantes :

baskets ( basketID, basketSession, productID, productPrice);

clients (nom, login, pwd, id, basketSession, crdit, tmp) ;

comportement

(login,

classeancienne,

classenouvelle,

Cluster_ancien,

Cluster_nouveau, time, nb, prix) ;

history (login, trace, date) ;

news (actualit) ;

products (productID, productName, productImage, productPrice, Description,


cat, nb) ;

III.

Ralisation de lapplication Web :

III.1 Description de boutique en ligne :

La boutique en ligne ralise est sous le nom de InformatiqueBoutique, elle propose


une slection de matriaux et de logiciels informatique, elle contient les lments
suivants :

Un catalogue lectronique en ligne, prsentant lensemble des produits


disponible la vente ;

Un moteur de recherche permettant de trouver facilement un produit laide de


critres de recherche ( productName ) ;

Un systme de caddie virtuel (appel parfois panier virtuel). Ce dernier permet


de conserver la trace des achats du client tout au long de son parcours et de
modifier les quantits pour chaque rfrence ;

La Figure III.2 prsente la page daccueil dInformatiqueBoutique :

31

Chapitre III

Implmentation de lapplication Web

Figure III.2. Page daccueil dInformatiqueBoutique.

A travers une boutique en ligne et comme dans un magasin rel, on peut choisir
et payer des articles. L'acheteur (qui est obligatoirement un client) doit sinscrire cette
boutique si cest un nouveau client ;
La Figure III.3 prsente linscription dun client :

Figure III.3 Inscription dun client


32

Chapitre III

Implmentation de lapplication Web

Si le client est dj inscrit (client ancien) il suffit donc de se connecter avec son Pseudo
et son mot de passe comme il est montr dans la figure suivante :

Figure III.4.Connexion dun client

Quand le client veut savoir les dtails dun produit il suffit uniquement de glisser
le curseur vers ce dernier. Sil veut lachet, il doit cliquer sur ce produit (ADD TO
BASKETS) et automatiquement va sajout au caddie virtuel (basket) ;

Figure III.5.Caddie virtuel.


33

Chapitre III
IV.

Implmentation de lapplication Web

Scuriser lapplication Web:

IV.1 IDS de dtection danomalies :

Afin dviter les utilisations malveillantes de lapplication Web ralise, il faut


dvelopper un systme capable de dtecter et didentifier les intrusions. Pour viter les
tches fastidieuses de mise jour de la base des modles dintrusions, notre systme
doit pouvoir sadapter de manire autonome pour intgrer dynamiquement la dtection
de nouvelles intrusions en se basant sur lapproche comportementale qui comporte deux
phases :
IV.1.1 Phase dapprentissage :

Dans cette phase, chaque client sera orient dans une classe base de son profile. La
classification des clients est faite par rapport aux critres suivants : temps de connexion,
prix moyen dachat, frquence dachat ;

Temps de connexion T : reprsente la moyenne des temps de connexions dun


client, trois choix sont possibles, T1 sil ne dpasse pas une demi-heure (30 mn),
T2 sil est entre une demi-heure et une heure (entre 30 et 60 mn) et T3 sil est
suprieur une heure (dpasse 60 mn).

Prix moyen dachat P : deux choix sont possibles, P1 si le prix est inferieur
3000 et P2 si le prix est suprieur 3000.

Frquence dachat F: on trouve 2 choix, F1 si le client ne dpasse pas en


moyenne 10 produits achets et F2 sil achte en moyenne plus de 10 produits.

Ces trois critres donnent naissance douze classes diffrentes, chaque client va tre
class aprs la phase dapprentissage dans la classe correspondante parmi les classes
cres,
La Figure III.6 montre les diffrentes classes possibles pour un client.

34

Chapitre III

Implmentation de lapplication Web

Figure III.6. Classification dun client en fonctions des 3 critres.

Cette phase dapprentissage, plus prcisment la classification des clients a t faite


lanne passe par les auteurs du [31]. Et pour notre projet on dj suppos quon a des
clients avec leur profile (sa classe_ancienne).

La table suivante montre le comportement des clients :

Figure III.7. Comportement des clients

Le champ classe_ancienne a une valeur de classe du profile pendant la phase


dapprentissage.
Le champ classe_nouvelle a une valeur de numro de la nouvelle classe correspondante
au comportement dun client aprs une nouvelle connexion. Mais dans cette table le
champ classe_nouvelle = classe_ancienne car le client ne change pas encore leur profil.
Le champ time prsente le temps de connexion dun client(le temps de connexion T).
Le champ nb prsente le nombre de produits achets (la frquence F) ;
Le champ prix prsente le prix total des produits achets (le prix moyen dachat) ;

35

Chapitre III

Implmentation de lapplication Web

IV.1.2 Phase de dtection :

Cette tape est valable uniquement pour les anciens clients (qui ont t dj classs). Si
lun de ces clients vient de se connecter une nouvelle fois, lIDS va le suivre pour
rcuprer son profil grce au temps de connexion, prix dachat et frquence dachat
afin dobtenir son nouveau comportement (sa nouvelle classe), pour enfin mesurer la
similarit entre son nouveau comportement et son profil dtermin dans la phase
dapprentissage.
Si sa nouvelle classe est diffrente de la classe ancienne, lIDS considre le changement
de classe comme attaque.

Par exemple la table suivante prsente le profile de la cliente Zineb pendant la phase
dapprentissage:

Figure III.8.Table de comportement du client Zineb (1)

Ici, la cliente Zineb un temps moyen de connexions qui dpasse 30 mn, son prix
moyen dachat est infrieur 3000, il a une frquence dachat moins de 10 produits.
Donc aprs le classement en fonction de ces critres sa nouvelle classe est la classe C5.

Lorsque la cliente Zineb a fait une nouvelle connexion, la table comportement sera
modifie, comme indiqu dans les figures suivantes :

Figure III.9.Table de comportement du client Zineb (2)

Puisque la cliente Zineb a change leur profile (classe_nouvelle != classe_ancienne)


alors automatiquement une alerte sera dclanche.
36

Chapitre III

Implmentation de lapplication Web

Figure III.10 liste des attaques(1)

Aprs la dtection dattaque, le systme va bloquer le client c'est--dire que ce


dernier ne peut pas poursuivre ses achats et finir son rle par laffichage dun message
dalerte.

Figure III.11. Message dalerte corresponds la dtection dattaque(1).

37

Chapitre III

Implmentation de lapplication Web

IV.1.3 Les faux positifs :

Dans [31], les auteurs ont utiliss une simple analyse de donnes dont le principe
est de minimiser les faux positifs base dun seuil qui est gal 25% (0,25). Ce seuil
reprsente la valeur max tolre dun changement de profil pour un client donn par
rapport son propre profil pour parler dun faux positif. Si le seuil est dpass, il sagit
dune attaque.

Si par exemple le client Ali a fait un changement de profil de la classe 1 tels que
le temps moyen de connexions lapplication Web est gale 28 mn, le prix moyen
dachat est gale 700, la frquence moyenne dachat est gale 7 vers la classe 5 o
les critres sont : le temps de connexion lapplication Web vaut 30 mn, le prix dachat
est de 810, la frquence dachat est gale 5 alors la valeur de changement (Val) est
calcule comme suit :

Val1=

Val2=

Val3=

|
|

= 0.06

= 0.28
|

= 0.13

Val = ( Val1 + Val2 + Val3 ) / 3


= (0.06 + 0.28 + 0.13) / 3
= 0.15

Puisque Val est < 0.25 donc ici on parle de faux positif malgr le changement de classes
de C1 C5.

Daprs le PFE de lanne prcdente [31], plus le seuil est petit, plus le nombre de faux
positif est rduit. En effet, on veut amliorer ce travail en utilisant un algorithme qui
permet de rduire le nombre de faux positifs.

38

Chapitre III

Implmentation de lapplication Web

IV.2 Implmentation de lalgorithme de clustering K-means:


IV.2.1 Dfinition de K-means:

Lalgorithme de clustering K-means est lun des plus simples algorithmes qui
permettent de rsoudre le problme de classification bien connu. Cet algorithme de
clustering a t dvellopp par MacQueen en 1967. K-means vise partitionner un
ensemble de donnes fournies en clusters ( k grappes), o k est une constante prdfinie
ou dfinie par lutilisateur. Lide principale est de dfinir k centres de gravit, un pour
chaque cluster.
k-means est un algorithme itratif qui minimise la somme des distances entre
chaque individu et le centrode. Le choix initial des centrodes conditionne le rsultat
final. Admettant un nuage d'un ensemble de points. Afin de construire des catgories de
ce nuage de points, k-Means change les points de chaque cluster jusqu' ce que la
somme ne puisse plus diminuer. Le rsultat est un ensemble de clusters compacts et
clairement spars, sous rserve de choisir la bonne valeur k du nombre de clusters [24].

Algorithme :[24]

o Entre
Ensemble de N donnes, not par x
Nombre de groupes souhait, not par k
o Sortie
Une partition de K groupes {C1, C2, , Ck}
o Dbut
1) Initialisation alatoire des centres ck ;
Rpter
2) Affectation : gnrer une nouvelle partition en assignant chaque objet au groupe
dont le centre est le plus proche ;

Avec

|=

le centre de la classe K ;

39

Chapitre III

Implmentation de lapplication Web

3) Reprsentation : Calculer les centres associe la nouvelle partition ;

Jusqu convergence de l'algorithme vers une partition stable ;


Fin.
Explication de lalgorithme :
L'application de l'algorithme k-Means se fait en suivant les tapes suivante[27] :
1) Choix de k, le nombre de cluster crer.
2) Choix des centres des clusters da manire alatoire partir des objets en
entre.
La procdure adopte pour le choix des centres des Clusters initiaux est extrmement
importante car elle a un impact direct sur le rsultat final du Clustering. Il est donc trs
important de choisir des clusters bien spares.[25]

Figure III.12. Slection des centres.[26]

1- Parcourir tous les objets afin de les affecter ou les raffecter au cluster appropri en
se basant sur la minimisation de la distance entre l'objet et le centre du cluster.

Figure III.13. Affectation des objets. [26]

40

Chapitre III

Implmentation de lapplication Web

2- Calculer les centres de chaque cluster puisqu'ils peuvent chang aprs affectation des
objets.

Figure III.14. Recalcule les centres des clusters. [26]

3- Refaire les tapes (3) et (4) jusqu'aucun changement du calcul des centres des
clusters ou une stabilit des objets.

IV.2.2 Organigramme :

Figure III.15. Organigramme de lalgorithme k-means.

41

Chapitre III

Implmentation de lapplication Web

Lalgorithme consiste grouper les points selon un critre bien dtermin.


Lentre de lalgorithme est le nombre k de groupes (cluster). Une fois le
nombre de groupes saisi, lalgorithme choisit arbitrairement k points comme centres
initiaux des k groupes.
Ltape suivante consiste calculer la distance entre chaque individu (point) et
les k centres, la plus petite distance est retenue pour inclure cet individu dans le groupe
ayant le centre le plus proche.
Une fois tous les individus groups, on aura k sous-nuages (cluster) disjoints du
nuage total. Pour chaque groupe, lalgorithme calcule le nouveau centre de gravit.
Lalgorithme sarrte lorsque les groupes construits deviennent stables.

IV.2.3 Implmentation de lalgorithme dans lapplication web:

Lalgorithme de k-means est trs populaire du fait quil est trs facile
comprendre et mettre en uvre. Il permet de regrouper les points en cluster. Dans
notre projet, on a des classes et non pas des points. Donc le problme qui se pose dans
notre cas cest convertir les classes en points qui ont des dimensions (X, Y). Pour cela,
on a propos de calculer la moyenne des trois critres de chaque classe.

Par exemple pour le Temps T, on a suppos que :

Si T<30 :

Si 30<T<60 : la moyenne du T=45 mn ;

Si T>60 :

la moyenne du T=20 mn ;

la moyenne du T=90 mn ;

Pour le Prix dachat P, on a suppos que :

Si P<3000 :

la moyenne du P=2500 ;

Si P>3000 :

la moyenne du P=3500 ;

Pour le Nombre de produits achets F, on a suppos que :

Si F<10 :

la moyenne du F=5 ;

Si F>10 :

la moyenne du F=12 ;
42

Chapitre III

Implmentation de lapplication Web

Donc daprs cette tape, les classes seront transfres en points suivants :

Figure III.16. Tableau de conversation des classes en points.


Aprs quon a implment cet algorithme lapplication web, avec une initialisation de
12 points (classes)

et de 3 clusters.

La figure suivante reprsente le rsultat de

lalgorithme de clustering k-means :

Figure III.17. Rsultat de lalgorithme k-means.

43

Chapitre III

Implmentation de lapplication Web

Daprs le rsultat de lalgorithme de clustering k-means, les clusters sont les suivant :
Cluster1= {C1, C2}
Cluster2= {C5, C6, C9, C10}
Cluster3= {C3, C4, C7, C8, C11, C12}

Dans cette partie, toujours lIDS observe le comportement du client c'est--dire mesure
la similarit entre sa classe_ancienne et sa nouvelle_classe mais en plus et plus
particulirement mesure la similarit entre son ancien cluster et son nouveau cluster .
Si le client change sa classe dans le mme cluster, aucune alerte nest dclanche, mais
sil change le cluster (c'est--dire Cluster_ancien != Cluster_nouveau), une alerte sera
dclanche et le client sera bloqu et il finit son rle dachats.
La figure III.18 suivante montre le comportement des clients :

Figure III.18. Table de comportement des clusters.


Toujours la classification des clients se base sur les critres (Temps, Prix, Frquence).
Par exemple la classe_ancienne du client Ali est la classe C1 (T<30, P<3000, F<10); et
son cluster est le cluster2 ;
Aprs une nouvelle connexion, le client Ali a chang sa classe du C1 C5 et son cluster
(car C1 et C5 ne sont pas dans le mme cluster) ; donc une alerte dclenche et le client
pourra pas poursuivre son achats.
Pour la cliente Zineb, elle a chang sa classe de C7 C8 mais ces derniers sont dans le
mme cluster (cluster3) donc elle pourra poursuivre leur achats (aucune alerte sera
dclenche).

44

Chapitre III

Implmentation de lapplication Web

Figure III.19. Message dalerte corresponds la dtection dattaque(2).

IV.2.4 Rsultat obtenu avec le K-means :

Daprs limlmentation de lalgorithme de clustering K-means et le rsultat obtenu,


la figure suivante montre la variation de faux positifs dans lapproche comportementale
et lapproche comportementale avec lalgorithme k-means.

Figure III.20. Variation de faux positifs


45

Chapitre III

Implmentation de lapplication Web

La courbe montre que lalgorithme k-means permet de dtecter plus dattaques et mois
de faux positifs par rapport lapproche comportementale car lalgorithme k-means
permet de classer les objets dans les clusters, donc si le client change leur comportement
dans le mme cluster aucune attaque ni faux positifs sera dclenche.

V.

Conclusion :

Au cours de ce dernier chapitre, on a ralis une petite application web (boutique en


ligne) et on a implment un systme de dtection dintrusion IDS dont le but est de
scuriser cette application web laide dun ensemble de programmes et de BDD.
En premire tape, on a tudi lapproche comportemental qui se base sur
lhypothse que lon peut dfinir un comportement normal de lutilisateur et que
toute dviation par rapport celui ci est potentiellement suspecte. Linconvnient de
cette approche cest les risques des fausses alertes (faux positifs).
En fin on a implment un algorithme de clustering k-means qui permet de
regrouper les classes en k-clussters afin de diminuer le nombre de faux positifs.

46

Conclusion gnrale
La dfense en profondeur des rseaux passe par une bonne stratgie prventive
pour penser ses rseaux et leurs interconnexions de faon scurise. Cette approche doit
tre complte une fois le rseau en opration pour permettre de dtecter des anomalies
qui peuvent tre rvlatrices. [32]

Ce travail ma permis davoir une ide plus claire sur les applications du
domaine de la scurit informatique. On a galement dcouvert les IDS et leurs
approches, plus prcisement lapproche comportementale. Cette application quon a
labore prsente des avantages comme la dtection rapide des anomalies ainsi qu'un
taux de fausses alertes limit.

On a amlior les performances de notre IDS comportementale travers un


algorithme de clustering K-means qui permet de dtecter des anomalies avec un taux
minimum de fausses alertes par rapport lapproche comportementale.

En outre, il est important de noter que le risque nul d'tre pirat n'existe pas et il
faut s'avoir sappuyer au mieux sur les outils (nouvellement) disponibles afin de tendre
vers cet idal.

47

Rfrences bibliographiques
[1]

Elie MABO, La scurit des systmes informatiques (Thorie), support de cours,


2010.

[2]

La scurit des rseaux, support de cours, Mercredi, 8. novembre 2006.

[3]

Dominique SERET, Ahmed MEHAOUA et Neilze DORTA, RESEUX ET


TELECOMMUNICATIONS , support de cours, Universit Ren Descartes
Paris, 2006.

[4]

Laurence Monaco, Quelques dfinitions , 2010.

[5]

Laurent Bloch et Christophe Wolfhugel, Scurit Informatique-principes et


mthodes , livre vol.276, P.57, 2007.

[6]

Laurent Poinsot Introduction la scurit informatique, support de cours,


Universit Paris 13.

[7]

Vincent Erceau & Romain Colombier, GMSI Informatique , Projet SAS,


2011.

[8]

Emonet Jeam-Burno, Algorithme de chiffrement mesures de performances


rseaux , 2005.

[9]

Rabehi Sidi Mohamed El Amine, Mise en place dun serveur radius sous linux
pour la scurisation dun rseau 802.11 , Projet de fin dtude, Universit Abou
Bakr Belkaid, Tlemcen-Algrie, 2011.

[10]

Rachid NAIT BEKOU et Youns MOUSSAHHIL, Etude de fiabilit et


conception dune solution VPN , Mmoire de Projet de fin dtude, Universit
Mohammed V SOUSSI, Maroc, 2004.

48

Rfrences bibliographiques
[11]

Elies Jebri, Introduction la scurit, support de cours, 2008 disponible sur


url :

https://www.google.fr/search?newwindow=1&q=ddata.over-

blog.com%2F...%2F0%2F...%2FIntroduction_a_la_securite_2008_elies.pdf,
consult le : Mai 2013.
[12]

Nicolas Baudoin et Marion Karle, NT Rseaux IDS et IPS , 2000, support


de cours, Enseignant Etienne Duris en 2003-2004.

[13]

http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-sg-fr-4/ch-detection.html, consult
le : Juin 2013.

[14]

Aurobindo Sundaram, Met jour le: Fvrier 2005, An Intrusion to Intrusion


Detection

ACM

Crossroads

Student Magazine,

disponible sur :

http://www.acm.org/crossroads/xrds2-4/intrus.html, Consult le : Juin 2013.


[15]

Tran Van Tay, LE SYSTEME DE DETECTION DES INTRUSIONS ET LE


SYSTEME DEMPECHEMENT DES INTRUSIONS , Rapport de stage de fin
dtudes, 2005.

[16]

Jacob Zimmermann et al. ,

Vers une dtection dintrusion fiabilit et

pertinence prouvable, Thse de doctorat, Universit de Technology, Australie,


2006.
[17]

Fissale TCHAKALA, Optimisation de la scurit dans un environnement de


travail bancaire, mmoire de fin dtude pour lobtention de Licence
professionnelle, Universit de Lom, Togo, 2011.

[18]

Michal AMAND et Mohamed NSIRI , Etude dun systme de dtection


dintrusion comportemental pour lanalyse du trafic aroportuaire , Rapport de
projet LENAC, 2011

[19]

Lalaina KUHN, VolP & Security :IPS support de cours, Ecole dIngnieurs
du Canton de Vaud.

[20]

Jabou Chaouki, Schillings Michal et Hantach Anis,

TER Dtection

danomalies sur le rseau , Rapport de projet, Universit Paris Descartes, 2009.

49

Rfrences bibliographiques
[21]

Jacob Zimmermann et Ludovic M, Les systmes de dtection dintrusions :


principes

Algorithmiques

disponible

sur

url :

http://www.researchgate.net/publication/239917861_Les_systemes_de_d'etection_d'intr
usions_principes_algorithmiques.

[22]

MySQL un serveur de bases de donnes relationnelles disponible sur le site :


http://www.futurasciences.com.

[23]

Belhabib abdelkader et Lagha Omar, Dveloppement dune application base


de lalgorithme de classification k-means , mmoire de fin dtude pour
lobtention du diplme Licence, Universit Abou Bakr Belkaid, TlemcenAlgrie, 2012.

[24]

Z.Guellil et L.Zaoui, Proposition dune solution au problme dinitialisation


cas du K-means , livre : CIIA, volume 547 of CEUR Workshop
Proceedings, CEUR-WS.org, Universit des Sciences et de la Technologie, Oran
Algrie, 2009.

[25]

M.Emre Celebi, Hassan A. Kingravi, Patrico A.Vela, A Comparative Study of


efficient initialization methods for the k-means clustering algorithm, Expert
Systems with Applications,2013, Vol.40.

[26]

http://www.codeproject.com/Articles/439890/Text-Documents-Clusteringusing-K-Means-Algorithm, consult le Septembre 2013.

[27]

ELFOUZI Ilhame, Clustering des News , projet de fin dtude,


UNIVERSITE DE NICE SOPHIA ANTIPOLIS, 2013.

[28]

NetBeans est un environnement de dveloppement intgr disponible sur le site :

http://netbeans.org/.
[29]

Ibrahim Mohamed Amine et Tebourbi Hamdi, Installation et Configuration


d'un systme de dtection d'intrusion (IDS) , Mmoire de licence, Universit de
7 novembre, Carthage, 2009.

50

Rfrences bibliographiques
[30]

http://stuff.mit.edu/afs/athena/project/rhel-doc/4/RH-DOCS/rhel-sg-fr-4/chdetection.html.

[31]

Asma CHIKH et Amina DJENNANE, Scurit dune application Web laide


dun systme de dtection dintrusions comportementale , mmoire de fin
dtude Master, Universit Abou Bakr Belkaid, Tlemcen-Algrie, 2012.

[32]

http://www.securiteinformatique.gouv.fr/autoformations/securite_reseaux_3/co/secu_reseau_3_2.html,

consult Octobre 2013.

51

Liste des figures


FigureI.1.Cryptage..12
FigureI.2.Pare-feu...............13
FigureI.3.Principe de VPN.....14
FigureII.1.Problmes des IDS ...17
FigureII.2.Architecture dun NIDS................18
FigureII.3.Architecture dun HIDS ...19
FigureII.4.Architecture dun IDS Hybride ........20
FigureII.5.Architecture dun IPS ...20
FigureII.6.Architecture dun IDS ..21
FigureIII.1.Architecture de Struts2 ...30
FigureIII.2.Page daccueil dInformatiqueBoutique .32
FigureIII.3.Inscription dun client .........32
FigureIII.4.Connexion dun client ........33
FigureIII.5.Caddie virtuel .............................................................................................33
FigureIII.6.Classification dun client en fonctions des 3 critres .................................35
FigureIII.7. Comportement des clients .........................................................................35
FigureIII.8.Table de comportement du client Zineb (1)................................................36
FigureIII.9.Table de comportement du client Zineb (2)................................................36
Figure III.10.Liste des attaques(1) ................................................................................37
Figure III.11.Message dalerte corresponds la dtection dattaque(1) .......................37

52

Liste des figures


Figure III.12.Slection des centres ................................................................................40
Figure III.13.Affectation des objets ..............................................................................40
Figure III.14.Recalcule les centres des clusters ............................................................41
Figure III.15.Organigramme de lalgorithme k-means .................................................41
Figure III.16. Tableau de conversation des classes en points........................................43
Figure III.17.Rsultat de lalgorithme k-means ............................................................43
Figure III.18.Table de comportement des clusters ........................................................44
Figure III.19.Message dalerte corresponds la dtection dattaque(2) .......................45
Figure III.20.Variation de faux positifs ........................................................................45

53

Liste des abrviations

BDD

Base De Donnes

CDDL

Common Development and Distribution License

CERT

Computer Emergency Response Team

HIDS

Host Intrusion Detection System

HTML

Hyper Text Markup Language

HTTP

Hyper Text Transfer Protocol

IDE

Integrate Development Environment

IDS

Intrusion Detection System

IP

Internet Protocol

IPS

Intrusion Prevention System

JSP

Java Server Page

KIDS

Kernal Intrusion Detection System

MVC

Model View Controller

NIDS

Network Intrusion Detection System

SQL

Structured Query Language

SI

Systme dInformation

URL

Uniform Resource Locator

VPN

Virtual Private Network

XML

eXtensible Markup Language

54

Rsum :
Un systme de dtection dintrusion (IDS) est un mcanisme coutant le trafic rseau de
manire furtive afin de reprer des activits anormales ou suspectes et permettant aussi
davoir une action de prvention sur les risques dintrusions. Les mthodes de dtection
dintrusions reposent essentiellement sur deux approches : lapproche comportementale
et lapproche par signatures. Chacune des deux prsente des points forts, mais aussi des
faiblesses qui sont les faux positifs et les faux ngatifs. Notre objectif et de grer la
scurit dune application web (boutique en ligne) en utilisant lapproche
comportementale optimis par lalgorithme K-means.
Mots-Clefs : IDS, approche comportementale, approche par signatures, faux positifs,
faux ngatifs et algorithme K-means.

Abstract:
An intrusion detection system (IDS) is a mechanism for listening to the network traffic
stealth to identify anomalous or suspicious activities and to also have a prevention of
the risk of intrusions. The methods of intrusion detection based on two main
approaches: the behavioral approach and the approach signatures. Each of the two has
strengths, but also weaknesses that are false positives and false negatives. Our goal is to
manage the security of a web application (online store) using the optimized K-means
algorithm behavioral approach.
Keywords: IDS, behavioral approach, approach signatures, false positives, false
negatives and K-means algorithm.

:8 :5

, 5 78 $ +

2 7 @ " AB C
E 5+

:8 1 ' 2 (G

" # $ ('

9 ' .

( IDS)

" $ + , - ! 1 2 3 4

D = 3 5# - > =
# H $ + 7 ?) 9 E

8;?

. ; :8

5?; B .

"

.K-means ?"

" 2 7 @ " ; :8

:8

K-means ?"