Abdoulaye DIALLO

ESTM/Master 2 SSI
Sujet : DÉTECTION D’INTRUSION À L’AIDE D’UN SYSTÈME EXPERT BASÉ
SUR L’ONTOLOGIE
I. Contexte
Les attaques contre les systèmes informatiques ont su tirer parti de leur croissante complexité. En
effet, les vecteurs d’entrée sont plus nombreux qu’antérieurement et les chemins pour arriver à un
dessein malveillant se sont multipliés. Alors que l’efficacité des mesures de défense diminue lorsque
le périmètre d’un environnement augmente, la surface d’attaque augmente au même rythme que ce
périmètre. Selon le rapport annuel de l’entreprise Symantec, le nombre d’intrusions est en constante
augmentation d’année en année. Cette croissance est due entre autres à la complexité croissante des
systèmes informatiques. Celle-ci facilite la tâche des attaquants, qui profitent d’une plus grande
surface d’attaque que les administrateurs de réseau ont peine à défendre. Pour utiliser les trois
paramètres d’un crime, soit la capacité, la motivation et l’opportunité, nous décrivons cette situation
par une croissance des opportunités pour les attaquants. De plus, à cause de la migration des activités
vers le domaine de l’informatique, l’attaquant a de plus en plus de raisons pour procéder à ses desseins
criminels puisque l’appât du gain augmente. Par exemple, de plus en plus de données personnelles,
telles que les numéros d’assurance sociale ou les numéros de carte de crédit, sont stockées dans le
monde virtuel ; ce qui était moins le cas il y a une dizaine d’années. On traduit donc ceci par une
croissance de la motivation d’un attaquant. Ainsi, à cause des augmentations de la surface d’attaque et
de l’appât du gain, l’opportunité et la motivation des cybercriminels ont augmenté les activités de
ceux-ci.

II. Problématique et les hypothèses de travail

Pour pallier ce problème, on a tenté d’informatiser le processus en créant des produits appelés Security
Information and Event Management (SIEM). Un SIEM se définit comme étant une solution pour la
gestion des informations de sécurité d’un système informatique. Les SIEM sont des logiciels qui
offrent plusieurs fonctionnalités, dont la collecte, le stockage et la corrélation. Appliqués à la
problématique de détection d’intrusion dans un système informatique, ils effectuent la collecte avec
des senseurs, puis centralisent ces informations dans un modèle de stockage uniforme, soit
généralement une base de données relationnelle. De plus, ils offrent un module de corrélation
permettant d’exécuter des règles. Ils résolvent ainsi le problème de la solution précédente en ayant un
stockage permanent, peu importe le volume de données à traiter.
Bien que ces SIEM prétendent faire de la corrélation, la réalité est qu’une corrélation efficace, c’est-à-
dire qui arrive à des conclusions intéressantes pour des fins de détection d’intrusion, est difficilement
réalisable. Les raisons de ceci sont la rigidité des règles de corrélation qu’il est possible d’écrire et
l’effort de maintien de ces règles pour détecter de nouvelles menaces.

III. Objectif de recherche

L’objectif de cette recherche sera de vérifier l’applicabilité des technologies ontologiques pour aider
au travail de détection d’intrusion. En construisant un système expert basé sur un modèle ontologique
pour le domaine des TI, il sera possible de l’utiliser pour inclure des éléments tels que le contexte, les
événements et les vulnérabilités dans le processus d’analyse qui a pour but la détection d’intrusion.
Également, cette utilisation permettra de bénéficier de l’abstraction pour approcher les informations
utilisées pour la détection vers un niveau plus abstrait, soit le langage expert. L’objectif d’appliquer ce
modèle dans le domaine de la détection d’intrusion est de transférer les tâches typiquement faites par
des experts à des tâches réalisables par la machine avec le modèle en question. Ceci simplifierait le
processus de détection d’intrusion relatif à la corrélation entre différents éléments dans un système
informatique.
Abdoulaye DIALLO
ESTM/Master 2 SSI
De cet objectif général découlent quatre hypothèses de recherche :
L’utilisation d’un système expert basé sur une ontologie permet d’apporter une grande
expressivité aux règles de corrélation utilisées pour ladite détection. Cette expressivité
permettra à l’engin de règles d’inclure dans les règles des éléments essentiels pour la détection
d’intrusion informatique tels que l’événement, le contexte et la vulnérabilité. Le travail de
détection de l’utilisation d’un tel système bénéficierait des avantages de l’inclusion de ces
trois éléments.
L’utilisation d’un tel système expert dans le domaine de la détection d’intrusion permet aux
règles de corrélation de passer d’un langage proche des données à un langage plus abstrait,
soit près du langage expert. Cette montée en abstraction sera effectuée avec le raisonneur de
l’ontologie et permettra de diminuer l’expertise requise pour procéder à la détection
d’intrusion avec notre système expert.
Un système expert basé sur une ontologie est une solution de détection d’intrusion 8 qui est
extensible, c’est-à-dire que ses agrandissements se font sans trop d’efforts. Ces changements
peuvent être des modifications sur le modèle de données, ou des ajouts de scénarios d’attaque
dans le but d’améliorer la détection.
Une solution basée sur une ontologie qui permet la détection d’intrusion est viable dans un
environnement réel de production.
IV. La démarche méthodologique, les outils et le plan
La suite du mémoire est divisée en cinq chapitres. Le deuxième chapitre établit les notions de base
pour comprendre le domaine de la détection d’intrusion dans les systèmes informatiques et le domaine
des technologies ontologiques. Ce chapitre poursuivra avec la revue de littérature de certaines
approches de corrélation d’informations étudiées dans le monde de la recherche. Par la suite, nous
présenterons la solution que nous proposons, soit un système expert basé sur une ontologie. Ce
troisième chapitre présentera la montée en abstraction offerte par notre système en analysant les
parties dont est composé notre système expert permettant la détection d’intrusion. Dans le quatrième
chapitre, nous présenterons trois scénarios d’attaque informatique que nous avons conçus. Ces
scénarios sont des suites d’étapes effectuées par un acteur malveillant. Le but de notre recherche est de
proposer une solution qui permettra de détecter ces scénarios, ainsi qu’éventuellement d’autres futurs
scénarios. Les trois scénarios ne sont pas utilisés à des fins de validation, mais servent plutôt de cadre
pour la conception de l’ontologie. Également dans ce chapitre, nous présenterons la détection de ces
trois scénarios avec notre système expert. La flexibilité de l’approche sera évaluée pour appuyer le fait
que notre solution est flexible pour la détection d’éventuels scénarios à modéliser. Ensuite, le
cinquième cinq étudiera le modèle proposé en tant qu’une solution complète de détection d’intrusion
en tant que SIEM complet. Finalement, dans le chapitre six, nous discuterons des hypothèses de
recherche et nous formulerons une conclusion.

V. Résultats attendus
A la fin du projet, le système adopté devra permettre de :

Avoir une vue d'ensemble et une gestion centralisée de tous les équipements
informatiques de la société ;
Disposer de rapports relatifs aux évènements s'étant produits dans le système
d'information de la société ;
Avoir des alertes de sécurité après combinaison des données des différents
systèmes de sécurité ;
Surveiller en continu le système d'information de l'entreprise, en particulier au
niveau sécuritaire ;
Optimiser la sécurité du système informatique de la société.