Conception et réalisation d'une intrusion

système de détection (IDS) pour réseaux embarqués

Nous proposons un IDS léger basé sur un logiciel s'appuyant sur des propriétés extraites de
la base de données des signaux d'un domaine CAN. De plus, nous suggérons deux
algorithmes basés sur l'analyse du temps de cycle des messages et l'analyse de plausibilité
des messages
(par exemple, les messages de vitesse). Nous évaluons notre IDS sur une configuration
simulée, ainsi qu'une vraie
réseau embarqué, en effectuant des attaques sur différentes parties du réseau. Notre
l'évaluation montre que l'IDS proposé détecte avec succès les événements malveillants tels
que
comme injection de trames CAN malformées, trames CAN non autorisées, compteur de
vitesse
détection de plausibilité et attaques par déni de service (DoS).

Au cours des dernières décennies, la technologie a affecté de nombreux aspects différents de nos
vies avec le but d'apporter plus de confort et de facilité dans l'exécution des tâches quotidiennes.
Automobile Les véhicules sont un outil fondamental de notre vie quotidienne depuis un siècle. La

l'évolution de la voiture a connu plusieurs changements spectaculaires. Par exemple, les voitures
sont passées de ayant des moteurs à vapeur aux moteurs à essence et maintenant il est plus
courant de voir moteurs électriques. Il n'y a pas si longtemps, les voitures étaient des systèmes
entièrement mécaniques composé uniquement de composants mécaniques et de certaines unités
électriques connectées

brève introduction du sujet ainsi que la méthodologie que nous avons utilisée.

La section 2 commence par exposer le contexte théorique de la recherche et examine

à différents types de communication véhiculaire et leur architecture. Ensuite dans la section 3,

nous donnons un aperçu complet de la norme CAN, de ses protocoles, suivi d'une liste

des considérations de sécurité dans la section 4. Dans la section 5, nous donnons une brève
introduction à

3
1. Introduction

Les systèmes IDS, leurs types et leur architecture et dans la section 6, nous résumons les
précédents

recherche IDS sur le réseau embarqué.

La suite du rapport se déroule comme suit : dans la section 7, nous incluons une

aperçu détaillé de la configuration expérimentale que nous avons utilisée. Dans la section 8, nous
continuons

avec la description de notre mise en œuvre de l'IDS léger pour les réseaux embarqués

et discuter des résultats dans la section 9.

Dans la section 10, nous discutons de l'implication de nos résultats en ce qui concerne les
contraintes

du réseau embarqué et nous identifions les domaines qui nécessitent des recherches
supplémentaires.

La section 11, conclut l'ensemble de la thèse reliant divers théoriques et pratiques

brins afin d'évaluer nos découvertes et nos résultats.

De nos jours, il est très important de maintenir un

haut niveau de sécurité pour assurer une
communication sûre et fiable
d'informations entre diverses organisations. Mais la
communication de données sécurisée sur Internet et
tout
autre réseau est toujours sous la menace d'intrusions
et d'abus. Ainsi, les systèmes de détection d'intrusion
ont
devenir un composant nécessaire en termes de sécurité informatique et réseau. Il existe diverses
approches
utilisé dans les détections d'intrusion, mais malheureusement, aucun des systèmes jusqu'à présent
n'est complètement

sans défaut. Ainsi, la quête de l'amélioration continue. Dans cette progression, nous présentons ici
une Intrusion

Système de détection (IDS), en appliquant un algorithme génétique (GA) pour détecter

efficacement différents types de réseaux

intrusions. Les paramètres et les processus d'évolution de GA sont discutés en détail et mis en
œuvre. Cette

approche utilise la théorie de l'évolution de l'évolution de l'information afin de filtrer les données
de trafic et ainsi réduire

la complexité. Pour implémenter et mesurer les performances de notre système nous avons utilisé
le KDD99

ensemble de données de référence et obtenu un taux de détection raisonnable.

En 1987, Dorothy E. Denning a proposé la détection d'intrusion comme approche pour contrer la
attaques et utilisations abusives d'ordinateurs et de réseaux [1]. La détection d'intrusion est mise
en œuvre par un système de détection d'intrusion et il existe aujourd'hui de nombreux systèmes
de détection d'intrusion commerciaux disponible. En général, la plupart de ces implémentations
commerciales sont relativement inefficaces et insuffisant, d'où le besoin de recherches sur la
détection d'intrusion plus dynamique systèmes. Généralement, un intrus est défini comme un
système, un programme ou une personne qui essaie et peut devenir réussi à s'introduire dans un
système d'information ou à effectuer une action non autorisée par la loi [2]. Nous désigner l'intrusion
comme tout ensemble d'actions qui tentent de compromettre l'intégrité, la confidentialité ou
disponibilité d'une ressource informatique [3]. Le fait de détecter les actions qui tentent de
compromettre l'intégrité, la confidentialité ou la disponibilité d'une ressource informatique peut être
qualifiée d'intrusion détection [3]. Un système de détection d'intrusion est un appareil ou une
application logicielle qui surveille activités du réseau et/ou du système pour des activités
malveillantes ou des violations de politique et produit rapports [4].

International Journal of Network Security & Its Applications (IJNSA), Vol.4, No.2, mars 2012

110

Le reste de l'article est organisé comme suit : la section 2 décrit brièvement certaines

œuvres. La section 3 donne un aperçu du système de détection d'intrusion. La section 4 décrit

quelques

les systèmes de détection d'intrusion existants et leurs problèmes. Les sections 5 et 6 décrivent notre
système
et sa mise en œuvre. La section 7 décrit l'analyse des performances de notre système. Nous

conclure à la section 8.

2. OUVRAGES CONNEXES

Certaines applications d'importation de techniques informatiques douces pour la détection

d'intrusion réseau

est décrit dans cette section. Plusieurs Algorithmes Génétiques (AG) et Génétique

La programmation (GP) a été utilisée pour détecter la détection d'intrusion de différents types dans

différents scénarios. Certains utilisent GA pour dériver des règles de classification [5][6][7][8]. Gaz

utilisé pour sélectionner les fonctionnalités requises et pour déterminer les paramètres optimaux et
minimaux de

certaines fonctions de base dans lesquelles différentes méthodes d'IA ont été utilisées pour dériver
l'acquisition de

règles [9][10][11]. Il existe plusieurs articles [12][13][14][15] liés à l'IDS qui a

certain niveau d'impact sur la sécurité du réseau.

L'effort d'utilisation des GA pour la détection d'intrusion remonte à 1995, lorsque

Crosbie et Spafford [16] ont appliqué la technologie multi-agents et GP pour détecter

anomalies du réseau [19]. Pour les deux agents, ils ont utilisé GP pour déterminer le réseau anormal

comportements et chaque agent peut surveiller un paramètre des données d'audit du réseau. La

la méthodologie proposée présente l'avantage lorsque de nombreux petits agents autonomes sont
utilisés

mais il a un problème lors de la communication entre les agents et aussi si les agents ne sont pas

correctement initialisé, le processus de formation peut prendre du temps.

Li [6] a décrit une méthode utilisant GA pour détecter une intrusion réseau anormale [19][20].

L'approche comprend à la fois des caractéristiques quantitatives et catégorielles des données du

réseau pour

en déduire des règles de classement. Cependant, l'inclusion d'éléments quantitatifs peut augmenter

taux de détection, mais aucun résultat expérimental n'est disponible.

Goyal et Kumar [18] ont décrit un algorithme basé sur GA pour classer tous les types de schtroumpfs

l'attaque utilisant l'ensemble de données d'entraînement avec un taux de faux positifs est très faible
(à 0,2 %) et

le taux de détection est de près de 100 % [20].

Lu et Traoré [7] ont utilisé un ensemble de données de réseau historique en utilisant GP pour dériver
un ensemble de
classement [19]. Ils ont utilisé le cadre de soutien-confiance comme fonction de fitness et

classifié avec précision plusieurs intrusions sur le réseau. Mais leur utilisation de la programmation
génétique

a rendu la procédure de mise en œuvre très difficile et aussi pour la procédure de formation plus

les données et l'heure sont requises

Xiao et al. [17] ont utilisé GA pour détecter les comportements anormaux du réseau sur la base
d'informations

théorie [19][20]. Certaines fonctionnalités du réseau peuvent être identifiées par des attaques de
réseau basées sur

informations mutuelles entre les fonctionnalités du réseau et le type d'intrusions, puis en utilisant

ces caractéristiques une règle de structure linéaire et également un GA est dérivé. L'approche
consistant à utiliser

l'information mutuelle et la règle linéaire résultante semble très efficace en raison de la réduction

complexité et un taux de détection plus élevé. Le seul problème est qu'il n'est considéré que comme

caractéristiques discrètes.

Gong et al. [19] ont présenté une implémentation de l'approche basée sur GA pour l'intrusion dans le
réseau

Détection à l'aide de GA et implémentation logicielle montrée. L'approche a dérivé un ensemble de

règles de classification et utilise un cadre de soutien-confiance pour juger de la fonction de remise en

forme.

International Journal of Network Security & Its Applications (IJNSA), Vol.4, No.2, mars 2012

111

Abdullah et al. [20] ont montré un algorithme d'évaluation des performances basé sur GA pour
l'intrusion dans le réseau

détection. L'approche utilise la théorie de l'information pour filtrer les données de trafic.

APERÇU DE LA DÉTECTION D'INTRUSION

Les sections ci-dessous donnent un bref aperçu des attaques de réseau, des classifications et de
divers

composants du système de détection d'intrusion.

3.1. Attaques de réseau

Cette section est un aperçu des quatre principales catégories d'attaques réseau. Chaque attaque
contre

un réseau peut facilement être placé dans l'un de ces groupements [21].
Denial of Service (DoS) : Une attaque DoS est un type d'attaque dans laquelle le pirate

ressources informatiques ou de mémoire trop occupées ou trop pleines pour servir un réseau
légitime

requêtes et donc refuser aux utilisateurs l'accès à une machine, par ex. apache, schtroumpf,
neptune, ping

of death, back, mail bomb, UDP storm etc. sont toutes des attaques DoS.

Attaques à distance vers l'utilisateur (R2L) : Une attaque à distance vers l'utilisateur est une attaque
dans laquelle un utilisateur

envoie des paquets à une machine via Internet, à laquelle il n'a pas accès

afin d'exposer les vulnérabilités des machines et d'exploiter les privilèges qu'un utilisateur local

aurait sur l'ordinateur, par ex. xlock, invité, xnsnoop, phf, dictionnaire sendmail, etc.

User to Root Attacks (U2R): Ces attaques sont des exploitations dans lesquelles le pirate commence

off sur le système avec un compte d'utilisateur normal et tente d'abuser des vulnérabilités dans le

système afin d'obtenir des privilèges de super utilisateur, par ex. perl, xterm.

Sondage : le sondage est une attaque dans laquelle le pirate analyse une machine ou un réseau

appareil afin de déterminer les faiblesses ou les vulnérabilités qui pourraient être exploitées
ultérieurement afin

au point de compromettre le système. Cette technique est couramment utilisée dans l'exploration de
données, par ex.

saint, balayage de ports, mscan, nmap, etc.

3.2. Classification de la détection d'intrusion

La détection des intrusions peut être classée en deux catégories principales. Ils sont comme suit :

Détection d'intrusion basée sur l'hôte : les HIDS évaluent les informations trouvées sur un seul ou

plusieurs systèmes hôtes, y compris le contenu des systèmes d'exploitation, du système et de

l'application

fichiers [22].

Détection d'intrusion basée sur le réseau : les NIDS évaluent les informations

communications réseau, en analysant le flux de paquets qui voyagent à travers le

réseau [22].

TCP/IP OSI Rôles PDU Protocoles Matériel

Application 7 Application Services au plus proche des utilisateurs Données HTTP, DNS, DHCP Ordinateurs