Académique Documents
Professionnel Documents
Culture Documents
Nous proposons un IDS léger basé sur un logiciel s'appuyant sur des propriétés extraites de
la base de données des signaux d'un domaine CAN. De plus, nous suggérons deux
algorithmes basés sur l'analyse du temps de cycle des messages et l'analyse de plausibilité
des messages
(par exemple, les messages de vitesse). Nous évaluons notre IDS sur une configuration
simulée, ainsi qu'une vraie
réseau embarqué, en effectuant des attaques sur différentes parties du réseau. Notre
l'évaluation montre que l'IDS proposé détecte avec succès les événements malveillants tels
que
comme injection de trames CAN malformées, trames CAN non autorisées, compteur de
vitesse
détection de plausibilité et attaques par déni de service (DoS).
Au cours des dernières décennies, la technologie a affecté de nombreux aspects différents de nos
vies avec le but d'apporter plus de confort et de facilité dans l'exécution des tâches quotidiennes.
Automobile Les véhicules sont un outil fondamental de notre vie quotidienne depuis un siècle. La
l'évolution de la voiture a connu plusieurs changements spectaculaires. Par exemple, les voitures
sont passées de ayant des moteurs à vapeur aux moteurs à essence et maintenant il est plus
courant de voir moteurs électriques. Il n'y a pas si longtemps, les voitures étaient des systèmes
entièrement mécaniques composé uniquement de composants mécaniques et de certaines unités
électriques connectées
brève introduction du sujet ainsi que la méthodologie que nous avons utilisée.
nous donnons un aperçu complet de la norme CAN, de ses protocoles, suivi d'une liste
des considérations de sécurité dans la section 4. Dans la section 5, nous donnons une brève
introduction à
3
1. Introduction
Les systèmes IDS, leurs types et leur architecture et dans la section 6, nous résumons les
précédents
La suite du rapport se déroule comme suit : dans la section 7, nous incluons une
aperçu détaillé de la configuration expérimentale que nous avons utilisée. Dans la section 8, nous
continuons
avec la description de notre mise en œuvre de l'IDS léger pour les réseaux embarqués
Dans la section 10, nous discutons de l'implication de nos résultats en ce qui concerne les
contraintes
du réseau embarqué et nous identifions les domaines qui nécessitent des recherches
supplémentaires.
sans défaut. Ainsi, la quête de l'amélioration continue. Dans cette progression, nous présentons ici
une Intrusion
intrusions. Les paramètres et les processus d'évolution de GA sont discutés en détail et mis en
œuvre. Cette
approche utilise la théorie de l'évolution de l'évolution de l'information afin de filtrer les données
de trafic et ainsi réduire
la complexité. Pour implémenter et mesurer les performances de notre système nous avons utilisé
le KDD99
En 1987, Dorothy E. Denning a proposé la détection d'intrusion comme approche pour contrer la
attaques et utilisations abusives d'ordinateurs et de réseaux [1]. La détection d'intrusion est mise
en œuvre par un système de détection d'intrusion et il existe aujourd'hui de nombreux systèmes
de détection d'intrusion commerciaux disponible. En général, la plupart de ces implémentations
commerciales sont relativement inefficaces et insuffisant, d'où le besoin de recherches sur la
détection d'intrusion plus dynamique systèmes. Généralement, un intrus est défini comme un
système, un programme ou une personne qui essaie et peut devenir réussi à s'introduire dans un
système d'information ou à effectuer une action non autorisée par la loi [2]. Nous désigner l'intrusion
comme tout ensemble d'actions qui tentent de compromettre l'intégrité, la confidentialité ou
disponibilité d'une ressource informatique [3]. Le fait de détecter les actions qui tentent de
compromettre l'intégrité, la confidentialité ou la disponibilité d'une ressource informatique peut être
qualifiée d'intrusion détection [3]. Un système de détection d'intrusion est un appareil ou une
application logicielle qui surveille activités du réseau et/ou du système pour des activités
malveillantes ou des violations de politique et produit rapports [4].
International Journal of Network Security & Its Applications (IJNSA), Vol.4, No.2, mars 2012
110
Le reste de l'article est organisé comme suit : la section 2 décrit brièvement certaines
les systèmes de détection d'intrusion existants et leurs problèmes. Les sections 5 et 6 décrivent notre
système
et sa mise en œuvre. La section 7 décrit l'analyse des performances de notre système. Nous
conclure à la section 8.
2. OUVRAGES CONNEXES
est décrit dans cette section. Plusieurs Algorithmes Génétiques (AG) et Génétique
La programmation (GP) a été utilisée pour détecter la détection d'intrusion de différents types dans
différents scénarios. Certains utilisent GA pour dériver des règles de classification [5][6][7][8]. Gaz
utilisé pour sélectionner les fonctionnalités requises et pour déterminer les paramètres optimaux et
minimaux de
certaines fonctions de base dans lesquelles différentes méthodes d'IA ont été utilisées pour dériver
l'acquisition de
anomalies du réseau [19]. Pour les deux agents, ils ont utilisé GP pour déterminer le réseau anormal
comportements et chaque agent peut surveiller un paramètre des données d'audit du réseau. La
la méthodologie proposée présente l'avantage lorsque de nombreux petits agents autonomes sont
utilisés
mais il a un problème lors de la communication entre les agents et aussi si les agents ne sont pas
Li [6] a décrit une méthode utilisant GA pour détecter une intrusion réseau anormale [19][20].
en déduire des règles de classement. Cependant, l'inclusion d'éléments quantitatifs peut augmenter
Goyal et Kumar [18] ont décrit un algorithme basé sur GA pour classer tous les types de schtroumpfs
l'attaque utilisant l'ensemble de données d'entraînement avec un taux de faux positifs est très faible
(à 0,2 %) et
Lu et Traoré [7] ont utilisé un ensemble de données de réseau historique en utilisant GP pour dériver
un ensemble de
classement [19]. Ils ont utilisé le cadre de soutien-confiance comme fonction de fitness et
classifié avec précision plusieurs intrusions sur le réseau. Mais leur utilisation de la programmation
génétique
a rendu la procédure de mise en œuvre très difficile et aussi pour la procédure de formation plus
Xiao et al. [17] ont utilisé GA pour détecter les comportements anormaux du réseau sur la base
d'informations
théorie [19][20]. Certaines fonctionnalités du réseau peuvent être identifiées par des attaques de
réseau basées sur
informations mutuelles entre les fonctionnalités du réseau et le type d'intrusions, puis en utilisant
ces caractéristiques une règle de structure linéaire et également un GA est dérivé. L'approche
consistant à utiliser
l'information mutuelle et la règle linéaire résultante semble très efficace en raison de la réduction
complexité et un taux de détection plus élevé. Le seul problème est qu'il n'est considéré que comme
caractéristiques discrètes.
Gong et al. [19] ont présenté une implémentation de l'approche basée sur GA pour l'intrusion dans le
réseau
International Journal of Network Security & Its Applications (IJNSA), Vol.4, No.2, mars 2012
111
Abdullah et al. [20] ont montré un algorithme d'évaluation des performances basé sur GA pour
l'intrusion dans le réseau
détection. L'approche utilise la théorie de l'information pour filtrer les données de trafic.
Les sections ci-dessous donnent un bref aperçu des attaques de réseau, des classifications et de
divers
Cette section est un aperçu des quatre principales catégories d'attaques réseau. Chaque attaque
contre
un réseau peut facilement être placé dans l'un de ces groupements [21].
Denial of Service (DoS) : Une attaque DoS est un type d'attaque dans laquelle le pirate
ressources informatiques ou de mémoire trop occupées ou trop pleines pour servir un réseau
légitime
requêtes et donc refuser aux utilisateurs l'accès à une machine, par ex. apache, schtroumpf,
neptune, ping
of death, back, mail bomb, UDP storm etc. sont toutes des attaques DoS.
Attaques à distance vers l'utilisateur (R2L) : Une attaque à distance vers l'utilisateur est une attaque
dans laquelle un utilisateur
envoie des paquets à une machine via Internet, à laquelle il n'a pas accès
afin d'exposer les vulnérabilités des machines et d'exploiter les privilèges qu'un utilisateur local
aurait sur l'ordinateur, par ex. xlock, invité, xnsnoop, phf, dictionnaire sendmail, etc.
User to Root Attacks (U2R): Ces attaques sont des exploitations dans lesquelles le pirate commence
off sur le système avec un compte d'utilisateur normal et tente d'abuser des vulnérabilités dans le
système afin d'obtenir des privilèges de super utilisateur, par ex. perl, xterm.
Sondage : le sondage est une attaque dans laquelle le pirate analyse une machine ou un réseau
appareil afin de déterminer les faiblesses ou les vulnérabilités qui pourraient être exploitées
ultérieurement afin
au point de compromettre le système. Cette technique est couramment utilisée dans l'exploration de
données, par ex.
La détection des intrusions peut être classée en deux catégories principales. Ils sont comme suit :
Détection d'intrusion basée sur l'hôte : les HIDS évaluent les informations trouvées sur un seul ou
fichiers [22].
Détection d'intrusion basée sur le réseau : les NIDS évaluent les informations
réseau [22].