36

Modlisation de dtection dintrusion par des jeux e e probabilistes
Mmoire de ma e trise
Prsent par e e Madjid Ouharoun
sous la direction de Prof. Kamel Adi et Prof. Andrzej Pelc
Dpartement dinformatique et dingnierie e e Universit du Qubec en Outaouais e e 283, boulevard Alexandre-Tach e Gatineau (Qubec) Canada J9A 1L8 e
2010
Remerciements
Mes remerciements ` ma femme qui ma fourni un soutient tout au long de a mes tudes. e Je tiens ` remercier les professeurs Kamel Adi et Andrzej Pelc pour leur a support, leurs directives et leurs conseils durant la ralisation de ce travail. e Je tiens ` remercier les professeurs Jurek Czyzowicz et Mohand Said Allili a pour avoir accept dexaminer ce travail. e
Table des mati`res e
1 Introduction 2 Revue de la littrature e 2.1 Les syst`mes de dtection dintrusion . . . . . . . . . . . . . . . . . . . . . . . . . . e e 2.1.1 2.1.2 2.1.3 2.1.4 2.1.5 2.1.6 2.1.7 2.2 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Description . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Dnitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . e Catgorie dIDS e
5 7 7 7 7 8
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Sources de donnes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 e Mthodes danalyses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 e Fonctionnement des IDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Evolution des IDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 2.2.1 2.2.2 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 Exemples . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
2.3
La thorie des jeux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 e 2.3.1 2.3.2 2.3.3 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 Quelques dnitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 e Reprsentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 e
2.4
Thorie des jeux et dtection dintrusion . . . . . . . . . . . . . . . . . . . . . . . . 27 e e
3 Prsentation du jeu e 3.1 3.2
33
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 Prsentation du mod`le . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 e e 37
4 Rsolution du jeu J(n, a, 1, g) e 4.1 4.2
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 Formule gnrale calculant V (p, q) . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 e e 4.2.1 4.2.2 4.2.3 Formule de calcul du gain brut espr de lIDS G(p, q) . . . . . . . . . . . . 38 ee Formule de calcul du cot espr de lIDS . . . . . . . . . . . . . . . . . . . 38 u ee Calcul du gain net espr . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 ee
4.3 4.4
Rsolution du jeu J(1, 1, 1, g) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 e Rsolution du jeu J(2, 1, 1, g) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 e 4.4.1 Probabilit de lactivit de lintrus qui minimise le gain net espr de lIDS : e e ee q (p) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 4.4.2 Probabilit de lactivit de lIDS qui maximise la gain net espr de lIDS e e ee en pire cas : p . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
4.5 4.6 4.7
Rsolution du jeu J(n, 1, 1, g) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 e Version ` probabilits dynamiques du jeu J(n, 1, 1, g) . . . . . . . . . . . . . . . . . 52 a e Rsolution du jeu J(2, 2, 1, g) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 e 4.7.1 4.7.2 Calcul de la formule du gain net espr V (p, q) = G(p, q) C(p, q) . . . . . 55 ee Probabilit de lactivit de lintrus qui minimise le gain net espr de lIDS : e e ee q (p) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 4.7.3 Probabilit de lactivit de lIDS qui maximise la gain net espr de lIDS : e e ee p . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
5 Rsolution du jeu J(n, n, n, g) e 5.1 5.2
61
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 Formule gnrale calculant V (p, q) . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 e e 5.2.1 5.2.2 5.2.3 Calcul du gain brut espr G(p, q) . . . . . . . . . . . . . . . . . . . . . . . 61 ee Calcul du cot espr de lIDS C(p, q) . . . . . . . . . . . . . . . . . . . . . 62 u ee Gain net espr . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 ee
5.3
Rsolution du jeu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 e 5.3.1 5.3.2 5.3.3 Calcul de q (p) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 Calcul de p . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 65
6 Conclusion
Chapitre 1
Introduction
Lav`nement des syst`mes informatiques, des rseaux et dInternet a rvolutionn la vie quotie e e e e dienne des individus et des entreprises. La technologie de linformation doit sa popularit ` sa e a facilit dutilisation. En eet, de nos jours, travailler, naviguer sur le web, consulter son compte e bancaire et communiquer via les rseaux et Internet ` laide dun ordinateur personnel sont des e a activits ancres dans le quotidien. Un monde sans les communications rseau et sans Internet e e e est donc dicilement imaginable. La popularit de loutil informatique na pas que des avantages. Cela contribue souvent ` altrer e a e sa abilit. Il est ` noter quun syst`me informatique able doit assurer la disponibilit de ses e a e e services, lintgrit et la condentialit de ses donnes. Il est vident que si lune de ces trois condie e e e e tions ntait pas satisfaite, on serait confront soit ` un blocage faute de service, soit ` de faux e e a a rsultats, soit ` une divulgation de secrets. Dans chacun des trois cas les pertes sont considrables. e a e Pour palier ` ce probl`me les entreprises et les gouvernements investissent considrablement dans a e e la scurit. La protection des syst`mes informatiques est devenue lune des proccupations mae e e e jeures de tous les services informatiques. Plusieurs solutions sont apparues pour protger et scuriser les syst`mes informatiques. Elles sont e e e toutes complmentaires mais pas susantes. Les antivirus agissent sur une machine hte et la e o prot`gent contre des virus qui sont des programmes capables de sexcuter pour altrer le bon e e e fonctionnement de la machine. Cette solution est ecace pour des machines isoles et contre des e virus dj` connus. Dailleurs, il est vivement conseill de maintenir une mise ` jour constante des ea e a antivirus et de ne pas se er ` eux si on se branche ` Internet. En eet, lantivirus ne dtecte a a e pas un virus quil ne conna pas et ne peut rien faire devant les intrusions des syst`mes. Pour t e solutionner le probl`me de lintrusion, les pare-feu viennent ` la rescousse. Un pare-feu est un e a
outil matriel ou logiciel utilis pour contrler les communications entre un rseau local ou une e e o e machine hte et Internet. Il ltre le trac dans les deux sens et il bloque les changes douteux o e selon une politique de scurit du rseau. Il est donc loutil qui dnie les logiciels et les personnes e e e e qui ont le droit de se connecter ` Internet ou ` accder au rseau quil prot`ge [14]. Avec lantia a e e e virus, le pare-feu augmente ainsi la scurisation des donnes dans un rseau. Mais malgr tout ce e e e e quon peut penser de leur ecacit combine, lantivirus et le pare-feu restent impuissant devant e e un utilisateur qui rpond aux exigences de la politique de scurit mais qui est anim dintentions e e e e malveillantes. En eet, une fois quun logiciel ou un utilisateur a le droit de se connecter ` Internet a ou ` un rseau, rien ne garanti quil ne fera pas doprations illgales. Dailleurs des tudes ont a e e e e montr que 60% ` 70% des attaques proviennent de lintrieur des syst`mes [21]. Pour rsoudre ce e a e e e probl`me, en plus des antivirus et des pare-feu, les syst`mes de dtection dintrusion (IDS) sont e e e utiliss pour surveiller les syst`mes informatiques dune ventuelle intrusion considre comme e e e ee tant lutilisation non autorise ou labus dutilisation dun syst`me informatique [26]. e e e Les IDS sont conus pour retracer les intrusions et protger les failles du syst`me. Ils sont tr`s c e e e ecaces pour reconna les intrusions pour les quelles ils sont programms. Ils sont par contre tre e moins performants si lintrus change sa faon dattaquer. c Quelle que soit la performance de lIDS, elle est souvent limite par le volume de donnes que e e lIDS peut traiter ` la fois. Cette limite ne lui permet pas une surveillance permanente et laisse a des br`ches aux intrus. e Dans notre recherche, nous proposons de modliser la probl`me de la dtection dintrusion comme e e e tant un jeu entre lintrus et lIDS selon un mod`le probabiliste. e e Durant une partie, lIDS paye un cot unitaire pour chaque activit de vrication dun paquet u e e ` rseau. Par ailleurs, il cumule un gain brut lorsquil intercepte un paquet malicieux. A la n de e chaque partie, le gain net de lIDS est calcul par la dirence entre le gain brut cumul et le cue e e mule des cots unitaires. Lobjectif de lIDS est donc, de trouver une frquence pour ses activits u e e de vrication qui lui assure le meilleur gain net en pire cas. e
Chapitre 2
Revue de la littrature e
2.1
2.1.1
Les syst`mes de dtection dintrusion e e

Introduction
Le travail de base sur la dtection dintrusion a t eectu par J.P. Anderson en 1980 [4]. Il a, e ee e en eet, rvolutionn la scurit des syst`mes informatiques en dnissant la problmatique du e e e e e e e domaine. En 1987, cest au tour de Denning [11] de mettre au point un mod`le de dtection, bas e e e sur un syst`me expert, capable de reconna certains usages anormaux des syst`mes informae tre e tiques. Comme le dnissent Rebecca Bace et Peter Mell [5], le syst`me de dtection dintrusion est un e e e outil matriel ou logiciel qui automatise la surveillance des syst`mes informatiques dans le but de e e dtecter des signes dabus dans lutilisation des ressources des syst`mes. e e
2.1.2
Description
La dtection dintrusion est utilise essentiellement pour surveiller le fonctionnement des syst`mes e e e ` informatiques. A savoir, les transactions rseaux et lexcution des applications au niveau des e e htes. La documentation des points faibles du syst`me et la mise sur pied de la politique de scurit o e e e du rseau permettent une programmation adquate des syst`mes de dtection dintrusion. Une e e e e fois que lIDS est install et congur, il interagit avec lenvironnement dans lequel il est implant e e e de faon ` pouvoir le protger dventuelles intrusions. Durant la phase de dtection, il capte c a e e e linformation via une source de donne, il lanalyse et il transmet les rsultats de lanalyse ` e e a loprateur qui agit en consquence, selon quil y ait ou pas dattaques. e e
Pour dcrire les syst`mes de dtection dintrusion, nous nous sommes bass sur les travaux du e e e e groupe Intrusion Detection exchange format Workimg Group (IDWG). Le groupe est linitiateur de la premi`re tentative pour dnir un standard de communication entre les composants dun e e syst`me de dtection dintrusion [9]. e e Partant de ces rfrences, le chantier de la dtection dintrusions sest diversi. Dans la suite de ee e e cette section nous dnissons, dans un premier temps, quelques termes lis ` la technologie des e e a IDS. Nous prsentons, dans un deuxi`me temps, les catgories dIDS. Nous abordons, par la suite, e e e les direntes sources dinformation. Cela sera suivi par la prsentation des mthodes danalyses e e e utilises pour dtecter les intrusions. En dernier, nous prsentons les modes de fonctionnement e e e des IDS.
2.1.3
Dnitions e
Les dnitions suivantes vont nous permettre de nous familiariser avec certains concepts utiliss e e dans la technologie des IDS.
Intrusion : Tous les syst`mes de dtection dintrusions partagent une dnition gnrale de lintrusion comme e e e e e tant lutilisation non autorise ou labus dutilisation dun syst`me informatique [26]. e e e
Syst`me informatique : e Un syst`me informatique est compos doutils matriels et logiciels qui cohabitent pour le traie e e tement et lchange de donnes. Il est compos dune ou plusieurs machines relies entre elles ` e e e e a laide dun rseau. Il peut tre situ sur un seul site ou sur plusieurs sites loigns. e e e e e
Vulnrabilits : e e Les vulnrabilits dun outil informatique reprsentent tous les bugs de conception ainsi que e e e toutes les lacunes causes par la conguration. Donc les vulnrabilits dun syst`me informatique e e e e reprsentent la combinaison des vulnrabilits des outils qui le compose. Souvent la prsence e e e e de certains outils ensemble cre et favorise dautres vulnrabilits. Toutes ces vulnrabilits e e e e e reprsentent des faiblesses pour le syst`me et ainsi des opportunits dattaques pour les intrus. e e e
Politique de scurit : e e Cest un ensemble de r`gles tablies par les administrateurs des syst`mes informatiques. Elles e e e modlisent et formalisent les actions ` autoriser et celles ` interdire en considrant tous les outils e a a e gurant dans le syst`mes. Ces autorisations et interdictions sont bases sur les vulnrabilits de e e e e chaque outil. Souvent les faiblesses des IDS proviennent du fait quils nint`grent pas la politique e de scurit dans leurs mthodes danalyse. e e e
Attaque : Pour lancer une attaque sur un syst`me informatique, lintrus collecte dans un premier temps e de linformation par le biais doutils communs comme les scanners de ports. Il exploite ensuite linformation recueillie pour sintroduire dans le syst`me cibl. Une fois que le syst`me de scurit e e e e e est djou, lintrus organise son propre environnement en crant un compte avec tous les privil`ges e e e e ou en installant des applications de prise de contrle (cheval de Troie par exemple). Il proc`de, o e ensuite, ` lexploration de la cible et enn il accomplit son mfait. a e
Signature dattaque : Une signature dattaque est un motif reprsentant toute linformation concernant une attaque e connue. Cest par ce moyen que ladministrateur rseau congure les syst`mes de dtection dine e e trusions. Lexemple suivant reprsente une signature du syst`me de dtection dintrusion Snort e e e [7]. alert tcp $EXTERNAL NET any > $HOME NET any (msg :SCAN nmap TCP ; state-
less ; ags :A,12 ; ack :0 ; reference :arachnids,28 ; classtype :attempted-recon ; sid :628 ; rev :3 ;)
qui se lit comme suit : si un paquet TCP provenant de lextrieur ($EXTERNAL NET) pn`tre e e e dans notre rseau ($HOME NET), peu importe les ports (any), et que ce paquet a le drapeau e ACK activ, de mme que les deux bits rservs (ags :A,12), et que le numro dacquiescement e e e e e est 0 (ack :0), peu importe ltat de la session (stateless), il faut alors signaler un balayage TCP e fait avec nmap.
Alerte : Une alerte reprsente linformation transmise par lIDS ` lintention de ladministrateur. Elle doit e a tre claire, nette et prcise. e e 9
Faux positif : On parle de faux positif lorsque lIDS consid`re un fonctionnement normal comme une attaque. e
Faux ngatif : e On parle de faux ngatif lorsque lIDS ne dtecte pas une vraie attaque. e e
LibPcap : Cest une biblioth`que de fonctions qui sert dinterface ` la capture de paquets rseau. e a e
MANET : Cest un rseau ad hoc mobile, il est constitu de plusieurs nuds mobiles. Les nuds commue e niquent entre eux sans laide dinfrastructures xes. Chaque communication entre deux nuds se fait durant une session.
2.1.4
Catgorie dIDS e
Il existe deux types de syst`mes de dtection dintrusion. e e 1. Syst`mes de dtection dintrusions de type hte (HIDS) : e e o Ces syst`mes sont en fait les premiers syst`mes mis en uvre pour la dtection dintrusion. e e e Ils sont installs sur une machine hte pour la protger. Thierry Evangelista dit dans son e o e livre
Les IDS
Un HIDS est un agent logiciel que lon installe gnralement sur la e e
machine ` protger et qui analyse en temps rel les ux relatifs ` cette machine ainsi que a e e a les journaux
[12]. Ces syst`mes sont avantageux lorsque le trac rseau est chir et ore e e e
plus de prcision dans la surveillance de lactivit sur lhte. Par contre, ils sont moins pere e o formants contre les attaques de dni de service et les scans. Le dni de service se produit e e quand le serveur est submerg par des requtes et quil narrive pas ` rpondre. Les scans e e a e sont de simples requtes qui permettent ` lattaquant de savoir quels sont les ports ouverts e a sur une machine et ainsi dduire les services disponibles. e
10
Figure 2.1 Exemple de HIDS 2. Syst`mes de dtection des intrusions rseaux (NIDS) : e e e Ces syst`mes sont mis en uvre pour la protection des rseaux. Ils se basent sur le prine e cipe de lanalyse du trac rseau. Ils sont composs de sondes (capteurs) qui surveillent les e e donnes achemines dans le rseau et dun moteur pour analyser les donnes [15]. Larchie e e e tecture du rseau et la politique de scurit permettent de dnir lemplacement des sondes. e e e e Les NIDS sont ecaces contre les scans, mais ils sont confronts au probl`me des rseaux e e e crypts. e
Figure 2.2 Exemple de NIDS
11
2.1.5
Sources de donnes e
Pour surveiller linfrastructure informatique les syst`mes de dtection dintrusions comptent sur e e une ou plusieurs sources de donnes qui fournissent linformation ` analyser. Une source de e a donnes fournie un rapport sur les activits qui se sont produites dans le syst`me ` surveiller. e e e a Dans[10] Debar la dnie comme tant un ux de donnes acquis par le syst`me de dtection e e e e e dintrusion et analys pour dterminer si des vnements anormaux par rapport ` lalgorithme e e e e a danalyse se produisent dans ces donnes. Cependant ce ux de donnes peut provenir de plusieurs e e points dun syst`me informatique et la dtection dintrusion consid`re trois sources importantes : e e e 1. Le trac rseau : e Le trac rseau constitue la source de donnes pour les sondes NIDS. Ces sondes places sur e e e le rseau en mode promiscuit captent et analysent les donnes passant ` travers le rseau e e e a e pour dtecter dventuelles attaques. Les avantages quant ` lutilisation de cette source de e e a donnes sont multiples. La promiscuit de la sonde constitue un atout majeur, elle empche e e e sa dtection et annule son impact sur le syst`me surveill. Une sonde NIDS surveille une e e e portion dun rseau, elle ore donc la possibilit de dtecter des attaques combines. Les e e e e donnes utilises sont dans un format standard et donc plus accessibles. Il est aussi ` noter e e a que les sondes NIDS sont simples ` installer et ` utiliser. Toutefois, cette technique base a a e sur les changes rseaux se retrouve impuissante devant des attaques qui nimpliquent pas e e un trac rseau. Il est aussi ` signaler que le dbit des rseaux, de nos jours, empche le e a e e e traitement exhaustif des donnes [21]. e 2. Les donnes syst`mes : e e Elles reprsentent les chiers daudits produits par les syst`mes dexploitations o` sont e e u installs les sondes HIDS [21]. La force de cette technique rside dans la abilit et la e e e richesse des donnes. En eet, les chiers daudits re`tent ce qui sest rellement pass sur e e e e une machine. La faiblesse par contre de cette technique rside quant ` elle dans : e a (a) Le volume important des donnes ` traiter. e a (b) Le fait dtre limite ` la surveillance dune seule machine. e e a 3. Laudit applicatifs : Au lieu de traiter toutes les interactions qui se produisent sur une machine, laudit applicatif favorise le ciblage de certaines applications (serveur web, ftp etc). Cette technique prsente lavantage de traiter des donnes spciques avec un volume rduit. Toutefois, les e e e e applications en question doivent tre congures pour produire des chiers daudit [21]. e e
12
2.1.6
Mthodes danalyses e
La technologie des IDS permet danalyser les donnes recueillies de trois faons : e c 1. Analyse centralise : LIDS poss`de plusieurs capteurs, il centralise les alertes pour les e e analyser sur une seule machine. Ce type danalyse prsente lavantage davoir une vue globale e sur toutes les machines protges. Toutefois, elle ` linconvnient de loccupation tr`s longue e e a e e du rseau pour acheminer linformation. e 2. Analyse locale : Chaque machine dispose dun capteur et analyse linformation ` son niveau. a Avec ce type danalyse le trac rseau est diminu mais les attaques distribues peuvent e e e chapper ` la dtection. e a e 3. Analyse distribue : Des petits programmes appels agents sont dploys sur les nuds e e e e du rseau. Pour les besoins danalyse un agent est envoy sur une machine pour traiter e e linformation.
2.1.7
Fonctionnement des IDS
Les IDS fonctionnent suivant deux approches. 1. Approche par scnario (anomaly detection) : e Elle ressemble beaucoup aux techniques utilises par les antivirus. Elle est base sur la notion e e de signatures dattaques. Comme on la vu dans la section 2.1.3, la signature dune attaque reprsente les caractristiques de cette attaque. La technique consiste donc, ` analyser les e e a ux de donnes en les comparant aux signatures pour identier dventuelles intrusions. e e Il existe plusieurs mcanismes pour mettre en oeuvre cette approche. e Voici trois dentre eux : (a) Analyse par comparaison (Pattern Matching) : Le principe de cette approche est de faire correspondre ` chaque signature dattaque un a motif (Pattern) qui est sous forme dune cha de caract`res. Durant lanalyse du ux ne e de donnes qui est aussi une cha de caract`res, le syst`me de dtection dintrusion e ne e e e tente de reconna les motifs dattaques dj` connus [20]. tre ea (b) Syst`me expert : e Technique qui repose sur une base de connaissances et un moteur dinfrence. La base e de connaissances est compose elle-mme dune base de r`gles dcrivant les attaques e e e e et dune base de faits contenant les vnements relatifs aux attaques. Durant la phase e e
13
de dtection, le moteur dinfrence est capable de dtecter les attaques en utilisant la e e e base des connaissances [20]. (c) Analyse de transition dtats : e Dans cette approche on reprsente les attaques sous forme dun ensemble dtats par e e lesquels passe le syst`me ` surveiller. Les tats sont dnis par des conditions sur les e a e e variables du syst`me. Les transactions reprsentent les actions suivant les vnements e e e e qui surviennent. Le plus grand inconvnient de lapproche par scnario rside dans le fait quelle ne dtecte e e e e que les attaques connues. Elle est impuissante devant de nouvelles attaques [13] 2. Approche comportementale (misuse detection) : Contrairement ` lapproche par scnario cette approche se base sur le comportement pass a e e des entits comme les utilisateurs, les applications et les services. Le principe repose sur la e modlisation de ces entits pour mieux les contrler. En eet, dans un premier temps, on e e o fait correspondre un prol ` chaque entit en se basant sur son comportement normal. Dans a e un deuxi`me temps, pendant la phase de dtection, on observe lentit modlise et tous e e e e e les vnements qui ne sont pas reprsents dans le prol, dclenchent des alertes dattaques e e e e e [24]. Pour faire correspondre un prol ` chaque entit on a besoin de la politique de scurit a e e e et dune phase dapprentissage. Initialement les prols ne correspondent qu` la politique a de scurit. Durant la phase dapprentissage, les prols sont amliors en dnissant le e e e e e comportement normal de chaque entit. Cette phase dapprentissage peut tre limite dans e e e le temps ou bien continue tout au long de lexploitation. La mise en uvre eective de la dtection danomalies dpend beaucoup de lapproche utilise pour construire les prols. e e e Nous prsentons ici les trois approches les plus populaires. e (a) Approche probabiliste : Dans cette approche la construction des prols se base sur la probabilit quun vnement e e e ait lieu par rapport ` une squence dautres vnements. a e e e (b) Approche statistique : Ici la construction des prols se base sur des mesures quantitatives de lutilisation des ressources syst`mes. e (c) Approche par rseau de neurones : e Cette approche se base sur le comportement de chaque utilisateur. Le prol normal dun utilisateur est construit en prenant en compte les activits de lutilisateur comme e 14
les outils prfrs, les habitudes de travail, la vitesse de frappe au clavier, etc. Le eee prol est ensuite reprsent par un rseau de neurones qui enregistre les oprations de e e e e lutilisateur durant une fentre temporelle et il tente de prdire la prochaine opration e e e [20]. En utilisant lapproche comportementale, la dtection dintrusions puise sa force dans lhae bilit ` dtecter des attaques inconnues. ea e Quelle que soit lapproche utilise, les IDS peuvent dclencher une alerte en labsence dattaque e e (faux positif) ou encore pas dalerte en prsence dattaque (faux ngatif). Ainsi entre les deux il e e nest pas facile de dtecter la vraie intrusion. e
2.2
2.2.1
Evolution des IDS

Introduction
Comme on la mentionn plus haut, il existe deux approches danalyse pour les IDS, lapproche e comportementale et lapproche par scnarios. La premi`re approche qui est aussi la plus ancienne e e cherche ` dtecter les comportements anormaux dans le syst`me par rapport ` un comportement a e e a normal, appel communment prol normal, dni et modlis au pralable [25]. La dnition e e e e e e e et la modlisation de ce dernier ncessitent une phase dapprentissage pour assoire une ligne de e e conduite qui devrait tre respecte par le syst`me sous la surveillance de lIDS. Une fois que le e e e prol normal est modlis, lIDS rentre dans sa phase de dtection et une alerte est donne ` e e e e a chaque fois que le syst`me dvie de ce prol. Toutefois lIDS tol`re un certain taux de dviation e e e e selon lapproche utilise pour dterminer le prol normal. e e Lavantage majeur de cette technique est quelle est tr`s ecace pour dtecter les attaques ine e connues. Elle limite beaucoup les faux ngatifs. Cependant elle peut produire beaucoup de faux e positifs en cas dvolution du syst`me sans reprendre la phase dapprentissage. Un autre ine e convnient peut appara dans le cas dun utilisateur malveillant qui modie progressivement e tre son prol, sans dpasser le seuil de tolrance. Dailleurs, il est souvent tr`s ardu de dbusquer ce e e e e genre dintrus. Lapproche par scnarios, par contre, adopte une autre philosophie. Elle ne se proccupe pas e e du comportement du syst`me mais plutt des techniques des attaquants. En eet, un IDS fonce o tionnant avec cette approche, utilise une base de signatures reprsentant les scnarios dattaques e e
15
connues et identies au pralable. La dtection eective se ralise en comparant les informations e e e e fournies par la source de donnes avec les scnarios de la base des signatures. Toute concordance e e entre les deux dclenche une alerte. Le point fort de cette approche rside dans la rduction des e e e faux positifs. Du ct des points faibles, on peut citer son impuissance devant les nouvelles atoe taques et le format gnrique des signatures. En eet, une attaque nest pas toujours ralise de e e e e la mme faon et une nouvelle attaque est toujours inconnue donc non rpertorie dans la base e c e e des signatures. Quelle que soit la technique danalyse utilise, la tche de lIDS et de signaler ` ladministrateur e a a les activits supposes anormales. Ladministrateur par la suite analyse cette information et prend e e les mesures adquates. Cette analyse qui nest toujours pas automatise reste la tche la plus ime e a portante et la plus contraignante dans la dtection dintrusion. Elle est importante car elle permet e de prendre des mesures pour protger linfrastructure surveille. Elle est aussi contraignante pour e e ladministrateur qui doit analyser un volume tr`s important dinformations souvent gnriques e e e et direntes selon la nature de lintrusion, du type dIDS et de lemplacement des sondes. Au l e du temps on sest rendu compte que plusieurs facteurs rentrent en ligne de mire dans lecacit e de la dtection dintrusions. Il est bien beau de fortier un syst`me informatique par des IDS qui e e nous informent du moindre dtail qui sy produit, mais la ralit est toute autre. Les alertes sont e e e souvent nombreuses, redondantes, parfois de mme nature mais direntes et surtout gnriques. e e e e Face ` toutes ces contraintes, ladministrateur se retrouve toujours devant un casse tte pour a e dbusquer les intrus. Plusieurs recherches ont tudi le probl`me sous direntes approches. Dans e e e e e la suite de ce document nous prsenterons quelques-unes des ces approches. e
2.2.2
Snort
Exemples
Snort est un syst`me de dtection dintrusions ` temps rel tr`s ecace pour dtecter les ate e a e e e taques se droulant sur un seul paquet. Comme le montre la gure 2.3, Snort utilise la librairie e LibPcap pour capturer les paquets rseaux. Le paquet ainsi rcupr sera trait dans un premier e e ee e temps par un module de dcodage pour dtecter les dirents protocoles. Une fois le dcodage e e e e ` termin, les prprocesseurs prennent le relais. A lorigine, ces derniers soccupaient uniquement e e du formatage de donnes pour les rendre compatibles avec la base des r`gles. Mais pour plus defe e cacit, des programmeurs ont ajout des fonctionnalits supplmentaires (balayage des ports, e e e e gestion des sessions, etc.). Cest dailleurs pour cette raison que les prprocesseurs communiquent e
16
directement avec les modules dachage. Lengin de dtection, compos dun module de dtection e e e et dune base de signatures, traite linformation transmise par les prprocesseurs pour dtecter e e dventuelles attaques. Et enn les modules dachage servent ` interagir avec lutilisateur. e a
Modules dachage
T
Engin de dtection e
T
Prprocsseurs e e
d d
Module de dtection e Base de signatures
T
Module de dcodage e
T
LibPcap Rseau e
Figure 2.3 Les dirents modules de Snort ` lorigine e a
Dtection dattaques se droulant sur plusieurs paquets e e Partant de Snort Mathieu Couture [7] a amlior la syntaxe du langage de signatures pour e e reprsenter les attaques se droulant sur plusieurs paquets. Comme illustr ` la gure 2.4, il e e e a a rajout un nouveau syst`me de dtection de scnarios qui utilise les vnements fournis par e e e e e e lengin de dtection de Snort. Les rsultats de ce nouveau traitement servent ` mettre ` jour une e e a a base de connaissances qui reprsente le contexte des attaques. Les attaques sont reprsentes ` e e e a laide dun langage qui permet de dcrire les paquets les constituant ainsi que les liens entre ces e paquets. Ce langage permet aussi linteraction avec la base des connaissances pour la mettre ` a jour. Cette derni`re contiendra les renseignements sur : e les sessions TCP actives, les syst`mes dexploitation existants, e les services oerts par chaque poste, la politique de scurit. e e Dans cette nouvelle optique, les prprocesseurs se chargent uniquement de la rgularisation des e e paquets. Le nouveau module de dtection utilisera les rsultats du module de dtection de Snort, e e e la base de scnarios et la base de connaissances pour dtecter les attaques et ventuellement e e e
17
Modules dachage
T
Base de connaissances
T T
Scnarios e
T
Engin de dtection e
T
Prprocsseurs e e
E d d d d
Nouveau module de dtection e Module de dtection e Base de signatures
T
Module de dcodage e
T
LibPcap Rseau e
Figure 2.4 Les modules de Snort apr`s lapport de M. Couture. e mettre ` jour la base de connaissances. Le mod`le utilis se base essentiellement sur les dnitions a e e e suivantes : 1. Un entte = 1 , 2 , ... est un tuple de valeurs, dont la premi`re reprsente le nom du e e e protocole auquel elle est associe. Le tuple suivant ip, 132.203.250.26, 142.92.39.88, 246, ... e reprsente un entte IP, spci par le premier lment du tuple, dont ladresse source est e e e e ee 132.203.250.26, la destination 142.92.39.88, le time to live a une valeur de 246, etc. 2. Un paquet = {1 , 2 , ...} , , est un ensemble denttes, auxquelles on adjoint un temps e . 3. Une trace = 0 1 ... est une suite innie de paquets. 4. Par (i), on dsigne le paquet i , et par i , on dsigne le suxe de commenant ` i . e e c a Le mod`le utilis par Mathieu Couture [7] sinspire de la syntaxe suivante : e e : := tt | id, | | 1 2 (Formule pour les traces) : := p | | 1 2 (Formule pour les paquets) La premi`re partie exprime les scnarios : e e tt formule logique vraie pour toute trace, elle reprsente le scnario o` il ny a rien de spcial e e u e qui se passe.
18
id, reprsente le scnario dbutant par le paquet id vriant les caractristiques et e e e e e qui se poursuit par le scnario . e veut dire que le scnario ne survient pas. e 1 2 reprsente le scnario o` 1 et 2 se produisent tous les deux. e e u La deuxi`me partie reprsente les paquets et elle est exprime par calcul propositionnel. e e e ` A partir de ce mod`le dcoule la syntaxe du langage de signatures utilis. e e e specif ication : := scenarios scenarios : := step(steptimeout)* step : := headerf ilteroutput* header : := stepid : snortsig f ilter : := match : matchcrule* matchcrule : := id.f ieldop id.f ieled ;|prolog ; op : := <|| >||= output : := output : prolog timeout : := timeout : id.timestamp + time output* time : := numbertimeunit timeunit : := sec | hours | days | weeks | years |
On remarque quavec cette syntaxe, une attaque peut tre exprime par un ou plusieurs scnarios. e e e Un scnario est spci par une ou plusieurs tapes qui sont en fait des paquets rseaux. Si un e e e e e scnario est reprsent par plusieurs paquets, un intervalle de temps entre eux doit tre respect e e e e e timeout. Un paquet est constitu par son identiant id est une signature Snort. Un ltre e est utilis pour lier les paquets entre eux et vrier les conditions dune attaque ou de tout e e autre vnement. Le nom terminal output sert ` acher les alertes et mettre ` jour la base de e e a a connaissances. Pour illustrer les rsultats mis en avant nous donneront ici deux exemples de scnarios. Le premier e e dtecte les sessions actives et active lalerte e
synscan. Le second dtecte ladresse du routeur. e
Exemple1 :
Ports TCP ouverts et sessions actives [7] :
1. step syn : tcp (ags :S ;) 2. step synack : tcp (ags :SA ;) 3. match : syn.sip=synack.dip ; syn.dip=synack.sip ; syn.sport=synack.dport ; syn.dport=synack.sport ; 19
4. output : assert(port(syn.dip,syn.dport,open)). 5. timeout : syn.timestamp+2sec ; 6. step synack : ack (ags :A ;) 7. match : syn.sip=ack.sip ; syn.dip=ack.dip ; syn.sport=ack.sport ; syn.dport=ack.dport ; 8. output : assert(session(syn.sip,syn.dip,syn.sport,syn.dport)), 9. assert(session(syn.dip,syn.sip,syn.dport,syn.sport)). 10. timeout : synack.timestamp+2sec ; 11. output : assert(alert(synscan,syn.sip,syn.dip)). Explication : Ligne1 : un utilisateur A demande une connexion ` lutilisateur B a Ligne2 et 3 : lutilisateur B accepte la connexion Ligne4 : armation que le port de communication de B est ouvert Ligne5, 6, 7, 8, 9, 10 et 11 : si dans un intervalle de 2 secondes apr`s que A a lanc sa premi`re e e e demande, il conrme la connexion alors il faut armer que la session est ouverte. Mais dans le cas contraire il y a armation du
scan des ports.
Exemple2 :
Adresse du routeur [7] :
1. step anyip1 : ip 2. step anyip2 : ip 3. match : anyip1.smac=anyip2.smac ; anyip1.sip !=anyip2.sip ; 4. timeout : anyip1.timestamp + 10sec ; 5. step anyip3 : ip 6. match : anyip1.smac=anyip3.smac ; anyip1.sip !=anyip3.sip ; anyip2.sip !=anyip3.sip ; 7. output : assert(gatewaymac(anyip1.smac)). 8. timeout : anyip2.timestamp + 10sec ; Explication : Si plusieurs paquets passant dans le rseau ont la mme adresse MAC mais des e e adresses IP direntes, on peut conclure que cette adresse MAC reprsente un routeur. e e
20
Dtection des variations dattaques e Pierre-Luc Lesperance [16] part du principe que les NIDS bass sur lapproche par scnarios e e ncessitent une signature propre ` chaque attaque, et quune variante aussi minime quelle soit e a ne sera jamais dtecte. e e Exemple[16] : Soit une signature vriant que lutilisateur root ne peut pas utiliser le service FTP. e LIDS en surveillant le port 21 attend la cha USER root. Lintrus par contre envoie les trois ne paquets suivants : P1 = USER roo P2 = o P3 = t La gure 2.5 illustre ce qui se droule au niveau de lattaquant, de la cible et de lIDS. Lattaque e ne sera pas dtecte puisque lIDS na aucune connaissance des commandes syst`me. Donc lorse e e quil assemble les trois paquets il aura la commande USER rooot qui ne correspond ` aucune a signature. Par contre le destinataire qui a la possibilit de corriger les commandes, obtiendra e USER root Pour rsoudre ce probl`me lauteur a propos un module de comparaison se basant sur le calcul e e e ` de distance entre le ux de donnes et la signature. A chaque message reconstitu par lIDS, le e e nouveau module le compare avec toutes les signatures. Sil retrouve une signature dont la ressemblance est tablie selon un seuil de tolrance, une alerte sera dclenche. Le plus grand d e e e e e de cette solution rside dans le choix du seuil de tolrance. e e
P1 = {USER roo} P2 = {o} P3 = {t} P = {USER root} Destination P1 = {USER roo} P2 = {o} P3 = {t} Source
IDS
P1 = {USER roo} P2 = {o} P3 = {t} P = {USER rooot}
Figure 2.5 Attaque sur plusieurs paquets
21
Dtection danomalies base sur la politique de scurit e e e e Dans [25], Jakub Zimmermann propose une mthode de dtection danomalies base uniquement e e e sur la politique de scurit sans modlisation du comportement de lutilisateur et des applications. e e e Cette mthode ne passe pas par une phase dapprentissage mais sinspire uniquement dune e dnition formelle de la politique de scurit. Il a en eet modlis le syst`me sous forme dobjets e e e e e e et de ux dinformations possibles entre ces objets. Chaque ux dinformations reprsente une e opration excute entre deux objets du syst`me. Tous les ux lgaux forgent donc la politique e e e e e de scurit. Dans les faits, pour modliser cette politique de scurit il sest inspir du syst`me e e e e e e e de contrle dacc`s. o e Durant la phase dexploitation, le syst`me de dtection dintrusion surveille les oprations entre e e e les dirents objets et celle qui engendre un ux illgal viole la politique et dclenche une alerte. e e e Les tests raliss sur cette solution ont donn des rsultats satisfaisants pour une machine isole e e e e e mais elle reste impuissante devant les attaques rseaux. e
Corrlation dalertes e Les syst`mes utiliss actuellement dans la dtection dintrusion produisent beaucoup dalertes qui e e e sont inutiles. On retrouve surtout beaucoup dalertes redondantes et de faux positifs. Plusieurs recherches ont t faites pour rsoudre ce probl`me. Nous prsenterons dans ce qui suit la solution ee e e e propose par Frdric Cuppens[8]. e e e Son travail se base sur lutilisation dans un syst`me informatique de plusieurs types dIDS qui e alertent le gestionnaire en temps rel sur les attaques identies. Chaque IDS surveille une portion e e du rseau, ce qui augmente les chances de dtection dattaques contre le syst`me. En plus des fonce e e tions propres aux dirents IDS, lauteur a dvelopp cinq fonctions pour assurer la coopration e e e e entre les IDS. La gure 2.6 prsente larchitecture de la solution propose. e e Fonction de gestion des alertes (Alert base management function) : Cette fonction reoit en entre les alertes des dirents IDS sous le format IDMEF(Intrusion c e e Detection Message Exchange Format), les converti en un ensemble de tuples et les sauvegarde dans une base de donnes relationnelle. e Regroupement dalertes(Alert Clustring) : La fonction de regroupement prend comme entre les lments de la base de donnes cre e ee e ee par la fonction prcdente. Elle cre ensuite des groupes dalertes de sorte que les alertes dun e e e mme groupe correspondent ` la mme attaque. Pour ce faire lauteur a utilis un syst`me e a e e e expert pour le calcul de similarit entre les alertes. e 22
Alertes
E Regroupement dalertes
Groupes dAlertes
c
Fusion dalertes
Alerte Globale
c
Fonction de gestion des alertes Fonction de corrlation dalertes e
Plans Candidats
c
Fonction de reconnaissance de lintention de lintrus
IDS
IDS
IDS
Figure 2.6 Schma gnral du module de coopration e e e e Fusion dalertes(Alert Merging) : Le rle principal de cette fonction comme son nom lindique o est de fusionner les alertes de chaque groupe en une alerte reprsentative du groupe. En fait e cette fonction reoit, de la fonction de classication, des groupes dalertes. Pour identier les c alertes appartenant ` un groupe, lauteur ` introduit le prdicat cluste alert(clusterid,alerteid) a a e qui signie que lalerte identie par alerteid appartienait au groupe identi par clusterid. e e La fonction de fusion gn`re pour chaque groupe une alerte globale reprsente par le prdicat e e e e e cluster global alert(clusterid,alerteid) qui signie que lalerte identie par alerteid est lalerte e globale du groupe identi par clusterid. Lalerte globale est gnre en rassemblant le plus e e ee dinformation prsente dans les alertes. e Fonction de corrlation dalertes (Alert Correlation) : e Cette fonction assure la corrlation des alertes produites par la fusion dans le but de djouer e e les scnarios dattaques. Elle se base sur le principe quun intrus, pour atteindre son objectif, e met en uvre plusieurs attaques. La dtection dintrusions classique ne permet de dtecter e e que les attaques lmentaires. Cette corrlation a donc pour objectif de retracer les plans ee e dintrusions mis sur pied par lintrus. Ces derniers sont appels Plans Candidats. e Fonction de reconnaissance de lintention de lintrus (Intention Recognition) : Deux cas peuvent se prsenter avec ces Plans Candidats. Le cas o` on reconna que lintrus e u t a atteint son objectif, lintrusion sera signale au gestionnaire. Mais on peut tre dans le cas e e ` o` les plans candidats indiquent que lobjectif nest pas atteint. A ce moment l`, la fonction u a de reconnaissance de lintention fait une extrapolation des plans candidats pour anticiper lintention de lintrus. Elle fait une analyse des actions passes de lintrus, des rsultats e e obtenus et sugg`re la suite quil peut donner. e
23
2.3
2.3.1
La thorie des jeux e

Introduction
La thorie des jeux est une thorie mathmatique qui permet de modliser des situations o` la e e e e u prise de dcision est interactive. Deux ou plusieurs intervenants (joueurs), ` intrts divergents, e a ee prennent des dcisions, agissent et participent ` lissue de chaque partie. Chaque joueur intervient e a pour ramener la partie en sa faveur. Les joueurs sont considrs comme tant rationnels et chacun ee e ag en prenant en compte les actions possibles des autres. Cest au dbut du XXe si`cle que sont t e e apparus les premiers travaux sur les jeux de stratgies avec Zermelo (1912), Borel (1921), Von e Neumann (1928). Mais la thorie des jeux est concr`tement ne en 1944 avec louvrage : Theory e e e of Games and Economic Behavior de Von Neumann et Morgenstern. Depuis les travaux de John Nash, vers les annes 1950, qui ont donn la notion de solution aux jeux ` somme non-nulle, la e e a thorie des jeux a connu un dveloppement intressant. On a vu de nombreuses applications en e e e biologie, en conomie, en informatique, etc[6]. e Dans [23], Daniel Schneider prsente la thorie des jeux comme tant un outil qui sert ` modliser e e e a e des situations o` des acteurs sociaux prennent des dcisions individuelles spares, mais ayant u e e e un impact combin sur les acteurs. Cela veut dire que lissue dune partie dpend des dmarches e e e suivies par lensemble des joueurs.
2.3.2
Quelques dnitions e
Stratgie e En thorie des jeux, une stratgie est dnie comme tant laction dun joueur. Gnralement on e e e e e e parle de deux sortes de stratgies. Dun ct on a les stratgies pures qui sont des actions ou e oe e des plans dactions choisies avec certitude par chaque joueur. De lautre ct, on fait intervenir oe un mcanisme alatoire qui aecte un poids ` chaque stratgie pure pour obtenir des stratgies e e a e e mixtes.
Equilibre de Nash On dit quun jeu ` n joueurs poss`de un quilibre de Nash sil existe un n-uplet de stratgies tel a e e e quaucun joueur na intrt ` changer unilatralement sa stratgie. En dautres termes, soient : ee a e e N = {1, 2, .., n} : ensembles des joueurs. 24
si : stratgie pure du joueur i. e Si : ensemble des stratgies du joueur i. e s = (s1 ,s2 ,...sn ) : combinaison de stratgies ` raison dune par joueur. e a si Si : toutes les stratgies sauf celle de i. e ui R : fonction de gain du joueur i. On dit que la combinaison de stratgies s = (s ,s ,...s ) reprsente un quilibre de Nash si e e e n 1 2 i N, si Si , ui (s , s i ) ui (si , s i ) i
Jeux coopratifs et non coopratifs e e Dans un jeu coopratif, les joueurs peuvent communiquer entre eux et passer des accords. Lissue e respecte lintrt gnral avec le partage des gains entre les joueurs. Dans un jeu non coopratif ee e e e les joueurs ne communiquent pas. Chacun ag dans son propre intrt pour faire balancer le jeu t ee a ` son avantage.
Jeux ` somme nulle et non nulle a On dit quun jeu est ` somme nulle lorsque le gain dun joueur reprsente exactement la perte a e dun autre. Mais avec ce type de jeux ce nest pas toujours vident de reprsenter la ralit. Cest e e e e pour cette raison quon utilise les jeux ` somme non nulle pour modliser beaucoup de cas rels. a e e
2.3.3
Reprsentation e
Un jeu est rgie par des r`gles et fait intervenir au moins deux joueurs. Ces derniers se disputent e e lissue de chaque partie en suivant des stratgies. Durant chaque partie, une fonction de paiement e octroie des gains ` chaque participant. La nalit de chaque joueur est davoir le gain le plus lev a e e e a ` lissue de chaque partie. La thorie des jeux ore deux faons pour reprsenter un jeu, la forme normale et la forme e c e extensive. La forme normale ore une reprsentation tape par tape des stratgies et de la e e e e fonction de paiement de chaque joueur. Toutefois, la forme normale nest possible que pour des jeux simultans o` le nombre de joueurs ainsi que lensemble des stratgies sont nis. Quant ` e u e a la forme extensive, elle permet une reprsentation sous forme darbre. Les nuds symbolisent les e positions du jeu, les transitions entre les nuds reprsentent les actions des joueurs et les feuilles e donnent les gains.
25
Exemple : Le dilemme du prisonnier Le dilemme du prisonnier est un exemple cl`bre de la thorie des jeux. Deux prisonniers complices ee e dun dlit sont retenus dans deux cellules spares et ils ne peuvent pas communiquer. e e e Si un prisonnier dnonce son complice alors que ce dernier ne le dnonce pas, le premier est e e remis en libert, tandis que le second obtient une peine de 10 ans. e Si les deux prisonniers se dnoncent mutuellement, ils sont condamns chacun ` 5 ans de e e a prison. Si les deux refusent de se dnoncer mutuellement, ils ont une peine de 3 ans chacun, faute e de preuves.
Prisonniers dnonce e se tait
dnonce e (-5,-5) (-10,0)
se tait (0,-10) (-3,-3)
Figure 2.7 Reprsentation sous la forme normale du dilemme du prisonnier e La gure 2.8 suivante donne exactement la mme information que le tableau prcdent mais sous e e e forme darbre.
'$ P1 &% d d dnonce e dse tait d '$ '$ d d P2 P2 &% &% d d dnonce e e d se tait dnonce d se tait d d d d (-5,-5) (-10,0) (0,-10) (-3,-3)
Figure 2.8 Reprsentation sous la forme extensive du dilemme du prisonnier e
26
2.4
Thorie des jeux et dtection dintrusion e e
La thorie des jeux applique au probl`me de la dtection dintrusion commence ` faire son chee e e e a min depuis quelques annes. Plusieurs travaux de recherche [1,2,3,17,18,19 et 21] se sont intresss e e e au probl`me. Dans cette section, nous allons prsenter quelques-unes de ces contributions. e e Dans [1] les auteurs dnissent un jeu entre lintrus et lIDS. Lintrus est soit un attaquant utie lisant un ou plusieurs noeuds du rseau, soit une coalition dattaquants anims par un mme e e e objectif. Mme si les auteurs introduisent la notion de coalition dattaquants, cette derni`re nest e e pas exploite pour construire des attaques. En eet, lattaque est sur un seul paquet, donc mise e e dun seul nud. Pour modliser le jeu, les auteurs ont considr le syst`me comme suit : e ee e
Le rseau est un ensemble T = {t1 , t2 , ..., tM } de sous-syst`mes, sachant quun sous syst`me e e e peut tre une portion du rseau, un poste de travail ou une application utilise sur le rseau. e e e e I = {I1 , I2 , ..., IK } est un ensemble de nombres rels reprsentant lensemble des menaces e e correspondantes aux vulnrabilits du syst`me. e e e LIDS est distribu sur le rseau avec un ensemble de capteurs S = {s1 , s2 , ..., sp }. Chaque e e capteur si est considr comme un agent qui vrie le trac rseau et qui envoie des rapports ee e e ` lIDS. Chaque capteur peut capter plus dune menace. a d = [d1 , d2 , ..., dN ] est un vecteur reprsentant une application qui associe ` chaque capteur e a sj un ou plusieurs lments de I {0} tel que : ee I k di (sj ) = 0 si le capteur sj dtecte une possible intrusion ou anomalie Ik e sinon
Une matrice A qui dcrit la relation entre les capteurs et les sous syst`mes est dnie comme e e e suit : 1 si le capteur sj vrie le sous syst`me ti e e = 0 sinon
Ai,j
f : I {0} R+ {0} est une fonction qui associe ` chaque lment de I {0} un nombre a ee rel, sachant que f (0) = 0. e Remarques : 1. Si f (Im ) < f (In ) alors la menace In est plus dangeureuse que la menace Im . 2. La fonction f peut tre applique aux lments du vecteur d sans altrer les images e e ee e
27
dans lensemble darrive, puisque di (sj ) I {0}. e L = {l1 , l2 , ..., lL } est lensemble des niveaux de scurit. A chaque niveau li correspond un e e ` seuil de scurit mi . Le niveau de scurit de lIDS est dni par : e e e e e l 1 L= l j l L
N i=1
si
f (di ) < m1
N i=1
si mj1 si
N i=1
f (di ) < mj
f (di ) > mL
Donc, pour jouer, lIDS et lintrus ont chacun deux choix : lintrus peut attaquer un ou plusieurs sous syst`mes ti , 1 i M , mais il peut aussi rester inactif (pas dattaque). Pour facilit la e e notation, lattaque porte toujours le nom du sous syst`me destinataire. e En conclusion, lintrus ` deux stratgies, attaquer ou ne pas attaquer. Les auteurs ont associ a e e a ` chaque stratgie une probabilit de ralisation. Lintrus attaque le sous syst`me ti avec une e e e e probabilit p et il ne lattaque pas avec une probabilit 1 p. De son ct, lIDS peut ragir e e oe e aux alertes mises par les capteurs avec une probabilit q, comme il peut rester inactif face ` ces e e a alertes avec une probabilit 1 q. Le choix de la valeur de q est directement li au niveau de e e scurit de chaque alerte. Donc, pour les deux joueurs, le jeu consiste dans le choix des meilleures e e probabilits pour chacun dentre eux. e Par la suite et en se basant sur ces rsultats les auteurs ont considr le cas ou lattaque se fait e ee sur plusieurs paquets [2]. Ils ont aussi utilis les cha e nes de Markov pour modliser les alertes e venant des capteurs tel que dcrit dans [3]. e Dans [21], K. Murali et T.V. Lakshman partent du principe que la dtection dun paquet permet e de dtecter lattaque. Ils dnissent ensuite un jeu entre lintrus et lIDS o` la stratgie de e e u e lintrus consiste ` choisir un chemin pour atteindre la cible et lIDS vrie le trac rseau en a e e chantillonnant des paquets traversant certains arcs du rseau. Ils consid`rent le rseau comme e e e e un graphe orient G(N, E) o` : e u N et E sont respectivement lensemble des nuds et lensemble des arcs. ce est la capacit de larc e. e fe est le ux traversant larc e. se est le taux dchantillonnage sur larc e. e se est la probabilit dchantillonnage sur larc e. e e pe = fe U = {p : pe fe B} est lensemble des probabilits qui respectent le seuil dchantillonnage. e e
eE
28
B est le seuil dchantillonnage, avec e
eE
pe fe B. Cela contraint lIDS ` nechantillonner a
que B paquets par seconde sur tout le rseau. e Le choix des arcs ` chantillonner se fait ` laide de lalgorithme du minimumcut en considrant ae a e les ux fe . q(P ) correspond ` la probabilit du choix du chemin P par lintrus. a e
t Ps est lensemble des chemins menant du nud attaquant s au nud cible t. V = {q : q(P ) = 1} est lensemble reprsentant la distribution de la probabilit q e e
t P Ps
relativement ` Ps a t La probabilit de dtection est donc donne par la formule suivante : e e e

t P Ps
q(P )
eP
pe
Cette probabilit va faire lobjet dune maximisation pour lIDS et dune minimisation pour e lintrus. Le rsultat du jeu est donne par : e e = minqV maxpU
t P Ps
q(P )
eE
pe
Pour un q V xe, les auteurs consid`rent le probl`me suivant : e e max [ ] q(P ) pe
t eE pPs :P e
eE
fe pe B pe 0
En associant une variable duale avec le seuil dchantillonnage B, les auteurs ont dni le e e probl`me dual suivant : e min B fe
t pPs :P e
q(P )e E
29
En interprtant q(P ) comme tant le ux sur le chemin P , la contrainte e e
t pPs :P e
q(P ) fe
restreint la valeur du ux sur larc e ` tre infrieur ou gale ` fe . Cela veut dire que fe est ae e e a gal ` la capacit ce de larc e. La contrainte e a e q(P ) = 1 oblige ` avoir un ux gal ` 1 entre les a e a
t pPs
nuds s et t. Pour que cela soit possible il faut avoir la plus petite valeur de . Pour solutionner le probl`me les auteurs proposent de : e dterminer le ux maximal Mst (f ) entre les nuds s et t en considrant que fe est la capacit e e e de larc e, prendre = Mst (f )1 , avoir = BMst (f )1 . ` A partir de l` les auteurs ont dtermin les stratgies des deux joueurs. a e e e Dun ct lintrus calcule le ux maximal Mst (f ). Il le dcompose en ux m1 , m2 , ..., ml entre les oe e l t lments de lensemble Ps des chemins entre les nuds s et t, sachant que ee mi = Mst (f ). Il envoie un paquet malicieux sur le chemin Pi avec une probabilit gale ` mi Mst (f )1 . ee a De lautre ct lIDS calcule le ux maximal Mst (f ). Il dtermine lensemble {e1 , e2 , ..., er } des arcs oe e r fi = Mst (f ). Il chantillonne e qui compose la coupure minimale (minimum cut) sachant que larc ei avec un taux sei = Bfi Mst (f )1 .
i=1 i=1
Dans [18 et 19] M. Mehrandish et al. ont utilis le mme principe pour traiter dans le pree e mier temps le cas o` la dtection se fait sur plusieurs paquets [18]. Dans un deuxi`me temps, ils u e e se sont intresss au cas o` lattaque se fait avec une coalition dattaquants et que la dtection e e u e se fait sur plusieurs paquets [19].
N. Marchang et R. Tripathi, de leur ct, ont dni un jeu non coopratif et ` somme non oe e e a nulle entre lIDS et lintrus dans un rseau ad hoc mobile(MANET)[17]. Dans leur optique, il e consid`re les hypoth`ses suivantes : e e LIDS est prsent sur tous les nuds du rseau. e e LIDS na pas besoin dtre actif durant toute la dure dune session du rseau. e e e Lintrus, non plus, na pas besoin dattaquer durant toute la dure dune session du rseau. e e M est le gain de lIDS lorsquil dtecte une intrusion. e L est la perte de lIDS lorsquil ne dtecte pas une intrusion avec M L. e N est la perte de lIDS lorsquil dtecte une fausse intrusion. e Cd reprsente le cot de lactivit de lIDS avec L > Cd . e u e Ca reprsente le cot de lactivit de lintrus avec L > Ca . e u e
30
Les auteurs prsentent un mod`le de jeu qui montre linteraction entre lIDS et lintrus durant une e e session rseau qui dure un temps T . Pendant cette priode de temps lIDS peut surveiller le rseau e e e durant t% du temps T , et lintrus peut attaquer durant s% du temps T . Dans la modlisation de e leur jeu ils attribuent deux stratgies pour chacun des deux joueurs. Pour lIDS, lensemble des e deux stratgies est not par Sd =(actif t%,passif ). De la mme faon, ils reprsentent lensemble e e e c e des deux stratgies de lintrus par Sa =(attaque s%,nattaque pas). e Dans leur recherche, les auteurs ont considr deux types dIDS ; lIDS parfait qui est suppos ee e avoir un taux de dtection a gal ` 100% et le taux de faux positif b gal ` 0%. De lautre e e a e a ct lIDS imparfait avec un taux de dtection a et un taux de faux positif b compris entre oe e 0% et 100%. Les gures 2.9, 2.10. 2.11 et 2.12 montrent les matrices de gain des joueurs pour les deux types dIDS.
IDS/Intrus actif t% passif
attaque s% tsM (1 t)sL tCd sL
nattaque pas tCd 0
Figure 2.9 Matrice de gain de lIDS parfait IDS/Intrus actif t% passif attaque s% tsM + (1 t)sL sCa sL sCa nattaque pas 0 0
Figure 2.10 Matrice de gain de lintrus (IDS parfait) IDS/Intrus actif t% passif attaque s% atsM (1 a)tsM (1 t)sL tCd sL Figure 2.11 Matrice de gain de lIDS imparfait nattaque pas btN tCd 0
31
IDS/Intrus actif t% passif
attaque s% atsM + (1 a)tsM + (1 t)sL sCa sL sCa
nattaque pas 0 0
Figure 2.12 Matrice de gain de lintrus (IDS imparfait)
La solution du jeu est un quilibre de Nash en stratgies mixtes. En eet, en supposant que p et e e q sont respectivement la probabilit que lIDS choisisse dtre actif et la probabilit que lintrus e e e choisisse dattaquer, les auteurs sont arrivs aux rsultats suivants : e e L Ca Cd Pour un IDS parfait : p = et q = . t(M + L) s(M + L) Pour un IDS imparfait : p = L Ca bN + Cd et q = . t(2aM M + L) 2asM sM + sL + bN
32
Chapitre 3
Prsentation du jeu e
3.1
Introduction
Notre travail vise ` aporter une contribution dans le domaine de la dtection dintrusion. Cette a e contribution consiste en une solution qui permet ` lIDS de chercher la meilleure stratgie pour a e ses activits de vrication. Cette stratgie consiste dans le choix dune frquence dactivit qui e e e e e permet doptimiser le gain de lIDS dans les conditions dfavorables. Pour ce faire, nous propoe sons de modliser le probl`me de la dtection dintrusion en utilisant la thorie des jeux selon un e e e e mod`le probabiliste. e Nous considrons un jeu avec deux protagonistes ; dun ct le syst`me de dtection dintrue oe e e sion(IDS) et de lautre ct lintrus. LIDS cherche ` dbusquer les attaques de lintrus pour oe a e protger le rseau. Par ailleurs, lintrus essaye datteindre sa cible et ainsi accomplir son forfait. e e En dtection dintrusion, lattaque se compose de plusieurs paquets. Lintrus atteint son objectif e lorsque tous les paquets arrivent ` la cible. Par contre si lIDS arrive ` intercepter un certain a a nombre de ces paquets, lattaque est alors dbusque. e e Dans la ralit les deux adversaires adoptent des stratgies ` dirents niveaux et de direntes e e e a e e mani`res pour atteindre leurs objectifs. Nous avons vu, dans la revue de littrature, que les trae e vaux qui traitent de la probl`matique laborde selon dirents aspects. e e Dans notre recherche nous considrons uniquement laspect qui concerne lactivit et la passivit e e e de lIDS et de lintrus. Pour lintrus, nous dirons quil est actif(A) lorsquil envoie un paquet intrusif dans le rseau, autrement il est passif(P). Pour lIDS, nous dirons quil est actif quant e il vrie le trac rseau et il est passif(P) dans le cas contraire. Nous considrons dans notre e e e
33
travail que si lintrus est actif en mme temps que lIDS, ce dernier intercepte le paquet intrusif. e Par ailleurs nous associons ` la stratgie de chaque joueur une probabilit qui reprsente le taux a e e e dactivit du joueur. En eet, nous supposons que : e lIDS est actif avec une probabilit p et est passif avec une probabilit 1 p, e e lintrus est actif avec une probabilit q et est passif avec une probabilit 1 q . e e
3.2
Prsentation du mod`le e e
Nous considrons un jeu J(n, a, b, g, c) o` : e u n est la taille du jeu. Cela signie quapr`s n coups, de part et dautre, on arrive ` lissue e a dune partie. Donc si lintrus narrive pas ` envoyer tous les paquets formant lattaque apr`s a e n coups, il perd la partie et natteint pas son objectif mme si lIDS nintercepte aucun e paquet intrusif, a reprsente la taille dune attaque en nombre de paquets, avec a n, e b correspond au nombre minimal de paquets que lIDS doit intercepter pour dtecter une e intrusion, avec b a, g est le gain de lIDS. Il le peroit soit en interceptant b paquets parmis les a, soit que lintrus c narrive pas ` envoyer les a paquets apr`s n coups. Il est ` noter dans le dernier cas que tant a e a que lIDS na pas encore dtect b paquets, lintrus fait quand mme passer ses paquets mme e e e e lorsque les deux joueurs sont actifs en mme temps, e c est le cot dune activit de vrication unitaire de lIDS. u e e A A P P , , , , o` le numrateur correspond ` u e a A P A P lactivit ou la passivit de lintrus et le dnominateur correspond ` lactivit ou la passivit de e e e a e e Chaque tape du jeu peut avoir la conguration e lIDS. A LIDS marque un point lorsque le rsultat est (paquet dtect) et lintrus marque un point e e e A A lorsque le rsultat est e (paquet non dtect). e e P Lintrus gagne lorsquil totalise a points en au plus n coups avant que lIDS ne totalise b points. LIDS gagne lorsquil totalise b points ou lorsque n coups ont eu lieu avant que lintrus ne totalise a points. Pour reprsenter le gain de lIDS, nous dnissons les trois fonctions suivantes : e e
G est la fonction du gain brut espr qui associe ` chaque couple (p, q) le gain brut espr de ee a ee lIDS. Ce gain brut espr sobtient par le produit de la probabilit du gain pg par la valeur ee e
34
g du gain de lIDS lorsquil intercepte une attaque.
G : [0, 1] [0, 1] R G(p, q) = pg g
C est la fonction du cot espr qui associe ` chaque couple (p, q) le cot espr pour lactiu ee a u ee vit de lIDS. Il sobtient par le produit du nombre espr des activits de lIDS EAcids par e ee e le cot dune activit de vrication unitaire c. u e e
C : [0, 1] [0, 1] R C(p, q) = EAcids c Dans la suite de ce rapport nous considrons que c = 1 et nous noterons le jeu par J(n, a, b, g) e au lieu de J(n, a, b, g, c)
Pour reprsenter le gain de lIDS, nous dnissons la fonction du gain net espr V qui assoe e ee cie ` chaque couple (p, q) le gain net espr de lIDS. La valeur du gain net espr de lIDS a ee ee sobtient en soustrayant le cot du gain espr du gain brut espr. u ee ee
V : [0, 1] [0, 1] R V (p, q) = G(p, q) C(p, q)
Il est vident que lissue du jeu se dcide en fonction de la valeur de V (p, q). En eet, lIDS tentera e e de la maximiser, par contre, lintrus seorcera ` la minimiser. On suppose que lintrus sera actif a avec une probabilit dactivit qui minimisera le gain net espr de lIDS, il cherchera donc le e e ee pire cas pour lIDS quelque soit la valeur de p. De lautre ct, sachant que son adverssaire le met oe dans les situations les plus dfavorables, lIDS sera actif avec une probabilit dactivit qui lui e e e permettra datteindre le plus haut gain en pire cas. Pour rsoudre le jeu, il faut dabord trouver e les valeurs, q (p), de la probabilit de lactivit de lintrus qui minimise le gain de lIDS pour e e chaque valeur de p , cest ` dire dterminer la valeur q (p) telle que pour chaque valeur de p a e V (p, q (p)) = min{V (p, q) : q [0, 1]}.
35
Ensuite, nous trouverons la valeur p de la probabilit de lactivit de lIDS qui maximise le gain e e pour chaque valeur de q (p), cest ` dire dterminer p telle que pour chaque valeur de q (p) a e V (p , q (p )) = max{V (p, q (p)) : p [0, 1]} Cette valeur de p est la probabilit que doit utiliser lIDS pour maximiser son gain en pire cas. e Pour calculer le cot de lIDS nous utiliserons les notations suivantes : u
` 1. Pk (J) signie que le joueur J est passif au k eme coup. ` 2. Ak (J) signie que le joueur J est actif au k eme coup.
k 3. Ck,i,Ak (IDS) : le cot de lIDS lorsque : u
A (Int),j
la partie se termine en exactement k coups, lIDS est actif i fois,

` lIDS est actif au k eme coup, ` lintrus est actif au k eme coup
et lintrus ne se fait pas attraper j fois dans les (k 1) premiers coups.

k 4. Ck,i,Ak (IDS) : le cot de lIDS lorsque : u
A (Int)
la partie se termine en exactement k coups, lIDS est actif i fois,

` lIDS est actif au k eme coup ` et lintrus est actif au k eme coup
5. Ck,i,Pk (IDS) : le cot de lIDS lorsque : u la partie se termine en exactement k coups, lIDS est actif i fois,
` lIDS est passif au k eme coup
6. Ck,i : le cot de lIDS lorsque : u la partie se termine en exactement k coups, et lIDS est actif i fois. Remarque : Lorsquon omet de spcier Ak (J) et Pk (J) dans une formule, cela signie que le e joueur J peut tre actif ou passif e Dans la suite de ce travail, nous allons consacrer un chapitre pour ltude du jeu J(n, a, 1, g) o` e u lIDS na qu` intercepter un seul paquet pour dbusquer lattaque. Nous allons ensuite, tudier le a e e jeu J(n, n, n, g) o` la taille de lattaque, la taille du jeu ainsi que le nombre de paquets ncessaires u e pour dbusquer une attaque sont gaux. e e
36
Chapitre 4
Rsolution du jeu J(n, a, 1, g) e

4.1 Introduction
Dans ce chapitre nous allons considrer le jeu J(n, a, 1, g) qui peut durer n coups avec n 1. e Lattaque doit contenir a paquets, sachant que a n. Le gain de lIDS lorsquil intercepte une attaque est g 0. LIDS gagne sil intercepte un seul paquet intrusif avant la n du jeu ou si la partie se termine alors que lintrus na pas russit ` passer les a paquets. Rsoudre ce jeu veut e a e dire dterminer la valeur p de la probabilit dactivit de lIDS qui lui assure le meilleur gain e e e en pire cas. Pour ce faire nous allons procder par tapes. Dans un premier temps, nous allons e e dterminer la formule gnrale permettant de calculer le gain net espr de lIDS. Nous allons, e e e ee ensuite, rsoudre analytiquement le jeu pour des valeurs dtermines de n et de a. Enn, nous e e e allons gnraliser pour certaines grandes valeurs de ces param`tres. e e e
4.2
Formule gnrale calculant V (p, q) e e
Dans cette section nous allons dterminer la formule gnrale qui nous permettra de calculer le e e e gain net espr de lIDS V (p, q). Pour se faire, nous allons considrer un jeu J(n, a, 1, g) avec ee e n, a, g quelconques. Le nombre minimal de paquets, b, que doit intercepter lIDS pour dtecter e lattaque est x ` 1. Sachant que le gain net espr se calcule par la dirence entre le gain brut ea ee e espr et le cot espr, V (p, q) = G(p, q) C(p, q), nous allons dabord les dterminer un par ee u ee e un, ensuite faire la dirence. e
37
4.2.1
Formule de calcul du gain brut espr de lIDS G(p, q) e e
Pour dterminer la formule de calcul du gain brut espr G(p, q), il sut de calculer la probabilit e ee e du gain de lIDS. Pour ce faire, nous allons procder comme suit : e Nous allons dabord calculer la probabilit de la perte de lIDS pperte . Par la suite il sut de e prendre le complmentaire ` 1 pour avoir la probabilit du gain. En dautre terme pg = 1 pperte . e a e Pour le jeu J(n, a, 1, g), nous savons que la partie peut se terminer soit au dernier coup n, soit
e e avant le ni`me coup. En supposant que lIDS perd au k i`me coup avec la probabilit pk , la e perte e probabilit de perte de lIDS pperte sera gale ` la somme des probabilits de la perte du ai`me e e a e e e coup au ni`me coup. LIDS ne peut videment pas perdre avant le ai`me coup, car la taille de e e lattaque est de a. En dautre termes pperte = n pk . Ceci dit, la perte de lIDS au k i`me k=a perte
coup est conditionne par les trois points suivants : e A a 1. La partie se termine avec la combinaison , cest ` dire que lintrus est actif par contre P lIDS est passif. Cette condition se ralise avec la probabilit (1 p)q. e e 2. Pour accomplir sont attaque il ne reste ` lintrus quun seul paquet intrusif ` envoyer au a a
e k i`me coup. Lintrus doit donc avoir t actif (a 1) fois dans les (k 1) premiers coups. ee A 3. Il ne doit pas y avoir de combinaison dans les (k 1) premiers coups, sinon la partie A e serait termine avant le k i`me coup avec lIDS gagnant. e ( ) La deuxi`me et la troisi`me conditions se ralisent avec la probabilit k1 q a1 (1p)a1 (1q)ka . e e e e a1 e Cela veut dire que lIDS perd, au k i`me coup exactement, avec la probabilit e (k1) a a ka . En faisant la sommation de toutes les probabilits de la perte pk e perte = a1 (1 p) q (1 q) e e a ` partir du ai`me coup jusquau ni`me coup on obtiendra, donc, la probabilit de la perte de lIDS e n (k1) pperte = (1 p)a q a k=a a1 (1 q)ka .
En conclusion, nous dirons que : la probabilit du gain de lIDS est : pg = 1 (1 p)a q a e
n1 k=a a1
(1 q)ka ,
la formule du gain brut espr de lIDS est donne par : ee e ( G(p, q) = 1 (1 p) q

a a n ( k 1) k=a
) (1 q)
ka
a1
(4.1)
4.2.2
Formule de calcul du co t espr de lIDS u e e
Le cot espr de lIDS dpend du nombre de ses activits durant le jeu. Dans le cas o`, par u ee e e u
e exemple, la partie sarrte au k i`me coup, lIDS ne peut pas payer plus que k fois. Par contre, il e
peut payer moins, sil na pas t tout le temps actif. Pour calculer, donc, ce cot, il faut prendre ee u 38
en considration le nombre de coups que dure la partie ainsi que le nombre de fois o` lIDS est e u actif. Dans une partie ` k coups(k n), lIDS peut tre actif i fois avec 0 < i k. Nous allons a e
e dterminer les cots dans le cas o` la partie nisse avant le ni`me coup et dans le cas o` elle e u u u e nisse au ni`me coup exactement. e 1. Dans le cas o` la partie se termine au k i`me coup avec k < n, lintrus doit tre actif au u e
dernier coup. La n sera, donc, caractrise de deux faons. La premi`re, lorsque lIDS est e e c e actif et la deuxi`me, lorsquil est passif. On peut, alors, dire quune partie peut se terminer e A A soit avec la combinaison , soit avec la combinaison . A P Si la partie se termine avec la combinaison A , cela veut dire que lintrus ainsi que lIDS A sont actifs au dernier coup. Pour que cela se ralise, il faut que les conditions suivantes e soient vries : e e (a) Il ny a pas eu de combinaison A dans les (k 1) premiers coups pour viter que la e A e partie ne se termine avant le k i`me coup,
(b) lIDS doit tre actif (i 1) fois dans les (k 1) premiers coups, puisquil est actif ` e a la n de la partie et quil ne peut ltre que i fois exactement, e (c) lintrus peut tre actif au plus (a 1) fois dans les (k 1) premiers coups sinon la e
e partie serait termine avant le k i`me coup. On suppose donc que lintrus est actif j e
fois, sachant que j a 1. En conclusion, nous dirons que : les trois conditions prcdentes se ralisent avec la probabilit e e e e (k1)
i1
pi1 (1 q)i1 (1 p)ki
a1 (ki)
j=0 j
q j (1 q)kij pq
e le cot espr de lIDS lorsque la partie se termine au k i`me coup, exactement, quand u ee
lintrus et lIDS sont actifs est :

Ak (Int) Ck,i,Ak (IDS)
( ) a1 (k i) k1 i ki i1 =i p (1 p) q(1 q) q j (1 q)kij i1 j
j=0
(4.2)
39
Si la partie se termine avec la combinaison
A , cela veut dire quau dernier coup lintrus P est actif mais lIDS est passif. Les conditions suivantes sont ncessaires pour que cela se e produise : (a) Il ny a pas eu de combinaison
e serait termine avant le k i`me e
A dans les (k 1) premiers coups sinon la partie A coup,
(b) lIDS doit tre actif i fois dans les (k 1) premiers coups, e (c) lintrus doit tre actif (a 1) fois dans les (k 1) premiers coups pour quil puisse e
e faire passer tous ses paquets avec son action au k i`me coup.
En conclusion, nous dirons que : les trois conditions prcdentes se ralisent avec la probabilit e e e e (k1)
i
pi (1 q)i (1 p)ki1
(ki1)
a1
q a1 (1 q)kia (1 p)q
e le cot espr de lIDS lorsque la partie se termine au k i`me coup, exactement, quand u ee
lintrus est actif mais lIDS passif est :

Ak (Int) Ck,i,Pk (IDS)
( ) ( ) k1 i ki k i 1 =i p (1 p) q a (1 q)ka i a1
(4.3)
e Le cot de lIDS pour le jeu J(n, a, 1, g) lorsque la partie se termine, exactement, au k i`me u
coup (avec k < n) est donc :

A (Int) A (Int)
k k Ck,i = Ck,i,Ak (IDS) + Ck,i,Pk (IDS)
(4.4)
e Le calcul du cot Ck lorsque la partie se termine au k i`me coup, avec k < n, sobtient par u
la double sommation sur k et i applique ` Ck,i . En dautres termes e a Ck =

n1 k k=1 i=1
Ck,i
(4.5)
Par les quations (4.4) et (4.5) nous avons : e Ck =

n1 k k=1 i=1 Ak (Int) Ck,i,Ak (IDS)
n1 k k=1 i=1
k Ck,i,Pk (IDS)
A (Int)
(4.6)
40
e 2. Dans le cas o` la partie se termine au ni`me coup, la n sera caractrise de quatre faons u e e c
direntes. e Si la partie se termine avec la combinaison A , cela veut dire que les deux joueurs sont A actifs au dernier coup. Pour que cela soit possible il faut que les conditions suivantes soient vries : e e (a) Il ny a pas eu de combinaison
e serait termine avant le ni`me e
A dans les (n 1) premiers coups sinon la partie A coup,
(b) lIDS doit tre actif (i 1) fois dans les (n 1) premiers coups, e (c) lintrus peut tre actif au plus (a 1) fois dans les (n 1) premiers coups sinon la e
e partie serait termine avant le ni`me coup. On suppose donc que lintrus est actif j e
fois, sachant que j a 1. En conclusion, nous dirons que : les trois conditions prcdentes se ralisent avec la probabilit e e e e (n1)
i1
pi1 (1 q)i1 (1 p)ni
a1 (ni)
j=0 j
q j (1 q)nij pq
e le cot espr de lIDS lorsque la partie se termine au ni`me coup, exactement, quand u ee
lintrus et lIDS sont actifs est :

An (Int) Cn,i,An (IDS)
( ) a1 (n i) n1 i ni i1 =i p (1 p) q(1 q) q j (1 q)nij i1 j
j=0
(4.7)
A , cela veut dire que lintrus est actif par P contre, lIDS est passif. Dans ce cas les conditions suivantes doivent tre vries : e e e (a) Il ny a pas eu de combinaison
(b) lIDS doit tre actif i fois dans les (n 1) premiers coups, e (c) lintrus peut tre actif au plus (a 1) fois dans les (n 1) premiers coups sinon la e
fois, sachant que j a 1. En conclusion, nous dirons que : les trois conditions prcdentes se ralisent avec la probabilit e e e e (n1)
i
pi (1 q)i (1 p)ni1
a1 (ni1)
j=0 j
q j (1 q)nij1 (1 p)q
41
lintrus est actif et lIDS pactif est :

An (Int) Cn,i,Pn (IDS)
( ) a1 (n i 1) n1 i ni i =i p (1 p) q(1 q) q j (1 q)nij1 (4.8) i j

j=0
P , cela veut dire que lintrus est passif mais A lIDS pas contre, il est acti. Dans ce cas les conditions suivantes doivent tre vries : e e e (a) Il ny a pas eu de combinaison
(b) lIDS doit tre actif (i 1) fois dans les (n 1) premiers coups, e (c) lintrus peut tre actif au plus (a 1) fois dans les (n 1) premiers coups sinon la e
fois, sachant que j a 1. En conclusion nous dirons que : les trois conditions prcdentes se ralisent avec la probabilit e e e e (n1)
i1
pi1 (1 q)i1 (1 p)ni
a1 (ni)
j=0 j
q j (1 q)nij p(1 q)
lintrus passif et lIDS actifs est :

Pn (Int) Cn,i,An (IDS)
( ) a1 (n i) n1 i ni i q j (1 q)nij =i p (1 p) (1 q) i1 j
j=0
(4.9)
P , cela veut dire que les deux joueurs sont P tous les deux passifs. Dans ce cas, les conditions suivantes doivent tre vries : e e e (a) Il ny a pas eu de combinaison
(b) lIDS doit tre actif i fois dans les (n 1) premiers coups, e (c) lintrus peut tre actif au plus (a 1) fois dans les (n 1) premiers coups sinon la e
fois, sachant que j a 1.
42
En conclusion, nous dirons que : les trois conditions prcdentes se ralisent avec la probabilit e e e e (n1)
i
pi (1 q)i (1 p)ni1
a1 (ni1)
j=0 j
q j (1 q)nij1 (1 p)(1 q)
lintrus et lIDS sont pactifs est :

Pn (Int) Cn,i,Pn (IDS)
( ) a1 (n i 1) n1 i ni i+1 =i p (1 p) (1 q) q j (1 q)nij1 (4.10) i j

j=0
e Le cot de lIDS pour le jeu J(n, a, 1, g) lorsque la partie se termine au ni`me coup est u
donn par : e
n n n n Cn,i = Cn,i,An (IDS) + Cn,i,Pn (IDS) + Cn,i,Pn (IDS) + Cn,i,An (IDS)
A (Int),j
A (Int),j
P (Int),j
P (Int),j
Or que par les quations (4.7) et (4.9) nous avons : e

An (Int),j Cn,i,An (IDS)
Pn (Int),j Cn,i,An (IDS)
( ) a1 (n i) n1 i ni i1 =i p (1 p) (1 q) q j (1 q)nij i1 j
j=0
(4.11)
et par les quations (4.8) et (4.10) nous avons : e

An (Int),j Pn (Int),j Cn,i,Pn (IDS) +Cn,i,Pn (IDS)
( ) a1 (n i 1 ) n1 i ni i =i p (1p) (1q) q j (1q)nij1 i j

j=0
(4.12)
On a donc Cn,i ( ) a1 (n i) n1 i ni i1 =i p (1 p) (1 q) q j (1 q)nij i1 j

j=0
( ) a1 (n i 1 ) n1 i ni i +i p (1 p) (1 q) q j (1 q)nij1 i j
j=0
(4.13)
e Le calcul du cot Cn lorsque la partie se termine au ni`me coup sobtient par sommation u
sur i applique ` Cn,i . En dautres termes e a Cn =

n i=1
Cn,i
(4.14)
43
Par les quations (4.13) et (4.14) nous avons : e

n a1 (n 1 ) (n i) i ni i1 i p (1 p) (1 q) Cn = q j (1 q)nij i1 j n i=1
( ) a1 (n i 1) n1 i i p (1 p)ni (1 q)i q j (1 q)nij1 i j

j=0
i=1
j=0
(4.15)
En utilisant les quations (4.6) et (4.14) nous concluons que le cot, C(p, q) = Ck + Cn , de e u lIDS pour le jeu J(n, a, 1, g) est : C(p, q) =
n1 k k=1 i=1
k Ck,i,Ak (IDS) +
A (Int)
n1 k k=1 i=1
k Ck,i,Pk (IDS) +
A (Int)
n i=1
Cn,i
(4.16)
4.2.3
Calcul du gain net espr e e
Par les quations (4.1),(4.16) et la fonction du gain net espr dnie au paragraphe 3.2, e ee e nous obtenons la formule gnrale de calcul de V (p, q) e e ) ( n (k 1 ) ka a a (1 q) g V (p, q) = 1 (1 p) q a1
n1 k k=1 i=1
k Ck,i,Ak (IDS)
A (Int)
k=a n1 k k=1 i=1
k Ck,i,Pk (IDS)
A (Int)
n i=1
(4.17) Cn,i
Remarque Dans le cas particulier du jeu J(n, a, 1, g) o` n = a = 1, le calcul du cot ne prend en u u

e considration que le cas o` le jeu se termine au ni`me coup. e u
4.3
Rsolution du jeu J(1, 1, 1, g) e
Dans cette section nous allons dterminer la valeur p de la probabilit dactivit de lIDS e e e qui lui assure le meilleur gain en pire cas pour un jeu o` : u la taille n est gale ` 1, e a la taille a de lattaque est de 1, une intrusion est dtect si lIDS intercepte un seul paquet (b = 1), e e le gain g de lIDS lorsquil intercepte une attaque est suprieur ` zro e a e Dans ces conditions o` n = 1, si lintrus nest pas actif, il perd la partie apr`s le premier u e coup. Lintrus na donc dautres choix que dtre actif. De la mme mani`re, vu que le jeu e e e ne dure quun seul coup et que lattaque nest que sur un seul paquet, si lIDS reste passif, il risque de perdre la partie. Son meilleur choix dpend de la grandeur du gain g par rapport e 44
au cot unitaire. u Pour n = 1, lissue dune partie est en faveur de lintrus uniquement sil est actif et que lIDS est passif comme le montre la gure 4.1.
IDS Intrus Vainqueur
P P IDS
P A Intrus
A P IDS
A A IDS
Figure 4.1 Issues du jeu pour n = 1 et a = 1 La premi`re observation qui dcoule est que G(p, q) = (1 q(1 p))g puisque la probabilit e e e du gain de lIDS est gale ` 1 q(1 p). La deuxi`me observation cest le cot espr e a e u ee C(p) = p, puisque n = 1. De ces deux constatations dcoule la valeur du gain net espr : e ee V (p, q) = (1 q(1 p))g p En eet, si nous remplaons n, a, et b par leurs valeurs correspondantes du jeu J(1, 1, 1, g) c dans la formule gnrale du gain net espr, nous obtenons la mme expression pour le gain e e ee e net espr. On remarque que quelque soit la probabilit dactivit de lIDS, la valeur du ee e e gain net espr V (p, q) est minimale si la valeur de q(1 p) est maximale. Pour que cela ee soit vrai il faut que q soit gal ` 1. La probabilit de lactivit de lintrus qui minimise le e a e e gain net espr de lIDS est donc q (p) = 1. ee En remplaant p par q (p) dans la formule de calcul du gain net espr de lIDS on aura : c ee V (p, 1) = (1 (1 p))g p V (p, 1) = pg p V (p, 1) = p(g 1)
Puisque la valeur de V (p, 1) dpend de p et de g, il faut considrer deux cas : e e 1er cas : Lorsque g > 1, la valeur de V (p, 1) est maximale et est gale ` g 1, quand p = 1. e a
` 2eme cas : Lorsque g < 1, la valeur de V (p, 1) est maximale et gale ` 0, quand p = 0. e a
En conclusion, nous dirons que : Lorsque g > 1, la valeur de la probabilit dactivit de lIDS qui lui assure le meilleur e e gain en pire cas est p = 1. 45
Lorsque g 1, la valeur de la probabilit dactivit de lIDS qui lui assure le meilleur e e gain en pire cas est p = 0.
4.4
Dans cette section nous allons dterminer la valeur p de la probabilit dactivit de lIDS e e e qui lui assure le meilleur gain en pire cas pour un jeu o` : u la taille n est gale ` 2, e a la taille a de lattaque est de 1, une intrusion est dtecte si lIDS intercepte un paquet (b = 1), e e le gain g de lIDS lorsquil intercepte une attaque est suprieur ou gal ` zro e e a e Nous allons utiliser la formule gnrale de calcul du gain net espr, V (p, q), vue dans le e e ee chapitre 3 pour calculer q (p) et p . La formule de V (p, q) est une fonction ` deux inconnues a (p et q). Pour rsoudre ce jeu, nous allons dabord chercher la valeur q (p), de la probabilit e e dactivit de lintrus qui minimise la valeur de V (p, q) quelque soit la valeur de p. Par la e suite nous allons calculer la valeur p de la la probabilit dactivit de lIDS qui maximise e e V (p, q (p)). Dans le cas prsent, nous allons dtailler le calcul du la formule du gain net espr, e e ee V (p, q) = G(p, q) C(p, q), en utilisant la formule gnrale de calcul du gain net espr de e e ee lIDS. Par les quations (4.1) et (4.16), nous avons : e ( ) 2 (k 1 ) k1 G(p, q) = 1 (1 p)q (1 q) g 0
k=1
(4.18)
et C(p, q) =
1 k k=1 i=1
k Ck,i,Ak (IDS) +
A (Int)
1 k k=1 i=1
k Ck,i,Pk (IDS) +
A (Int)
2 i=1
C2,i
(4.19)
Dun ct le dveloppement de lquation (4.18) nous donne oe e e ( (0) () ) G(p, q) = 1 (1 p)q( 0 (1 q)0 + 1 (1 q)1 g 0 = (1 (1 p)q(1 + (1 q))) g = (1 (1 p)(q + q(1 q))) g ( ) = 1 (1 p)(q + q q 2 )) g 46
( ) = 1 (1 p)(2q q 2 ) g ( ) = 1 + (1 p)q 2 2(1 p)q g
En dautres termes G(p, q) = g + g(1 p)q 2 2g(1 p)q (4.20)
De lautre ct le dveloppement de lquation (4.19) nous donne oe e e 1

k=1
(a)
Ak (Int) i=1 Ck,i,Ak (IDS)
(0 )
0
() p(1 p)0 q(1 q)0 ( 0 q 0 (1 q)0 ) 0
En dautres termes
k 1 k=1 i=1
k Ck,i,Ak (IDS) = pq,
A (Int)
(b)
1
k=1
Ak (Int) i=1 Ck,i,Pk (IDS)
(0)
1
p(1 p)0
(1)
0
q(1 q)0
Puisque
(0 )
1
= 0 cela implique
1 k k=1 i=1
k Ck,i,Pk (IDS) = 0,
A (Int)
(c)
i=1 C2,i
(1)
0
() () () p(1 p)0 (1 q)0 ( 0 q 0 (1 q)) + 2 1 p2 (1 p)0 (1 q)( 1 q 0 (1 q)0 )+ 0 1 0 (1) (0) 0 () ( ) 0 ) + 2 1 p2 (1 p)0 (1 q)2 ( 1 q 0 (1 q)2 ) 1 p(1 p)(1 q)( 0 q (1 q) 2 0
() Puisque 1 = 0 on aura : 2 (1) () (1) 2 (1) 0 2 0 0 0 0 0 0 i=1 C2,i = 0 p(1 p) (1 q) ( 0 q (1 q)) + 2 1 p (1 p) (1 q)( 0 q (1 q) )+ (1 ) (0) 0 0 1 p(1 p)(1 q)( 0 q (1 q) ) 2 2 = p(1 p)(1 q) + 2p2 (1 q) + p(1 p)(1 q) = 2p 2pq
i=1 C2,i
i=1 C2,i
` A partir de l`, nous dirons que le cot espr de lIDS pour le jeu j(2, 1, 1, g) est : a u ee
C(p, q) = 2p pq 47
(4.21)
Les quations (4.20),(4.21) et la fonction du gain net dnie au paragraphe 3.2 impliquent e e que V (p, q) = g(1 p)q 2 (2g(1 p) p)q + g 2p. (4.22)
En considrant g comme tant une constante, la valeur du gain net espr de lIDS dans ce e e ee cas est une fonction ` deux variables p et q comme on la dit plus haut, la gure suivante a montre le graphique qui met en vidence le comportement de cette fonction pour un valeur e de g = 5.
5 4 V(p,q) 3 2 1 0 1 0.5 p 0 0 0.2 0.4 q 0.6 0.8 1
Figure 4.2 Graphe de la fonction du gain net espr de lIDS pour g = 5 ee
4.4.1
Probabilit de lactivit de lintrus qui minimise le gain net espr e e e e
de lIDS : q (p)
Pour calculer q (p), nous allons tudier la fonction du gain net espr de lIDS par rapport e ee ` la variable q. Ceci dit, la drive de V (p, q) par rapport ` q, a e e a V = 2g(1 p)q (2g(1 p) p), q sannule pour q= 2g(1 p) p . 2g(1 p)
De plus, la drive seconde de V (p, q) par rapport ` q, e e a 2V = 2g(1 p), 2q est toujours positive. Cela implique que V (p, q) est minimale pour q= 2g(1 p) p . 2g(1 p) 48
En conclusion nous dirons que la valeur q (p) de la probabilit dactivit de lintrus qui e e minimise la valeur du gain net espr de lIDS quelque soit la valeur de la probabilit ee e dactivit de lIDS p est donne par : e e q (p) = 2g(1 p) p 2g(1 p)
4.4.2
Probabilit de lactivit de lIDS qui maximise la gain net espr e e e e
de lIDS en pire cas : p

Pour calculer p , nous allons remplacer, dans la formule de calcul du gain net espr de ee lIDS V (p, q), la valeur q par q (p). p2 On aura donc V (p, q (p)) = + (g 1)p 4g(1 p) La drive V (p, q (p)) = e e (4g 2 4g + 1)p2 2(4g 2 4g + 1)p + 4g 2 4g sannule pour : 4g(1 p)2
p1 = 1
1 4g 2 4g + 1
et p2 = 1 +
1 4g 2 4g + 1
On remarque que 0 p1 1 et p2 > 1. Cela veut dire que p2 ne peut pas constituer une solution pour notre probl`me puisque p doit tre compris entre 0 et 1. e e Pour calculer p on va considrer les deux cas suivants : e Si g 1 : Nous avons dun ct, oe p1 = 1 1 4g 2 4g + 1
constitue un extrmum de la fonction V (p, q (p)) et il est compris entre 0 et 1. e De lautre ct, la drive seconde, oe e e V (p, q (p)) = 1 , 2g(1 p)3
est toujours ngative. Cela implique, donc, que p1 maximise la fonctionV (p, q (p)). En e conclusion nous dirons que la valeur de la probabilit de lactivit de lIDS qui maximise e e la fonction du gain net espr de lIDS est : ee p = 1 1 4g 2 4g + 1
Le graphe suivant montre bien la variation de V (p, q (p)) selon les valeurs de la probabilit e dactivit de lIDS. e 49
3.5 3 2.5 V(p,q*(p)) 2 1.5 1 0.5 0 0 0.2 0.4 p 0.6 0.8 1
Figure 4.3 Graphe de V (p, q (p)) pour g = 5 Si g < 1 : Dans ce cas nous avons V (p, q (p)) 0, ce qui signie que la fonction V (p, q (p)) est dcroissante. Cela signie aussi que le maximum de V (p, q (p)) est atteint pour p = 0 et e que q (0) = 1 En conclusion nous dirons que la valeur de la probabilit de lactivit de lIDS qui maxie e mise sa fonction du gain net espr est : ee p = 0 Le graphe de variation de V (p, q (p)) conrme que pour g < 1, le maximum du gain net espr de lIDS est atteint pour p = 0. ee
0
V(p,q*(p))
0.5
1.5
0.2
0.4 p
0.6
0.8
Figure 4.4 Graphe de V (p, q (p)) pour g =
1 2
50
4.5
Rsolution du jeu J(n, 1, 1, g) e
Rsoudre analytiquement ce jeu pour n 3 semble tre dicile. En eet, la fonction du e e gain V est de degr n par rapport ` la variable q et cest cela qui rend sa rsolution dicile. e a e Juste pour n = 3, le gain net espr de lIDS est donn par ee e V (p, q) = g(1 p)q 3 + (3g(1 p) p) q 2 3 (g(1 p) p) q 3p + g
Sa drive par rapport ` q, e e a V = 3g(1 p)q 2 + 2 (3g(1 p) p) q 3 (g(1 p) p) , q sannule pour (3g(1 p) p) + p(3g(1 p) + p) (3g(1 p) p) p(3g(1 p) + p) et q2 = q1 = 3g(1 p) 3g(1 p) Entre ces deux valeurs de la probabilit dactivit de lintrus cest q2 qui minimise le gain net e e espr de lIDS, en dautres termes q (p) = q2 . En remplaant la valeur q de la probabilit ee c e dactivit de lintrus dans la fonction du gain net espr de lIDS par q (p), on obtiendra une e ee fonction de troisi`me degr avec certains polynmes sous le radical. Cest cela qui augmente e e o la dicult de sa rsolution. e e De ce fait, nous allons tudier dans cette section le comportement asymptotique de la e probabilit optimale du gain de lIDS p en fonction de n et g. e Nous allons montrer que p (n, g) tend vers 1 lorsque g devient tr`s grand et que p (n, g) e tend vers 0 lorque n devient tr`s grand. e Pour ce faire nous allons procder comme suit : e Pour montrer que quelque soit la valeur de n, p (n, g) tend vers 1 lorsque g tend vers linni, nous allons montrer que le contraire nest pas vrai. Supposons pour n x que p (n, g) < p0 < 1 pour des valeurs de g arbitrairement grandes. e La valeur du gain net espr de lIDS obtenue avec p est infrieure ou gale ` p g, donc ee e e a V (p , q ) p g p0 g. Dun autre ct, nous pouvons dire que la valeur du gain net espr de lIDS obtenue oe ee avec p = 1 est suprieure ou gale ` g n ou encore V (1, q(1)) g n. On a donc pour e e a des valeurs de g arbitrairement grandes linquation p0 g g n, ce qui veut dire que n e est suprieur ` (1 p0 )g. e a On remarque bien que ce rsultat est impossible pour des valeurs de g susament grandes. e 51
En conclusion, nous dirons que n lim p (n, g) = 1

g
Pour montrer que quelque soit la valeur de g, p (n, g) tend vers 0 lorsque n tend vers linni, nous allons montrer que le contraire nest pas vrai. Supposons pour g x que la double ingalit p (n, g) > p1 > 0 est vraie pour des valeurs e e e de n arbitrairement grandes. Pour q = 0, le jeu doit durer n coups, donc V (p , 0) g p n < g p1 n. Pour n sufsament grand, cette valeur est ngative. Dun autre ct nous savons que la valeur du e oe gain net espr de lIDS obtenue avec p = 0 est suprieure ou gale ` 0 pour chaque g ou ee e e a encore V (0, q) 0. Donc V (p , 0) ne peut pas tre ngatif. e e Cette contradiction implique : g lim p (n, g) = 0
n
4.6
Version ` probabilits dynamiques du jeu J(n, 1, 1, g) a e
Dans cette section nous allons tudier le jeu J(n, 1, 1, g) dans le cas o` lIDS peut changer e u la probabilit dactivit p ` chaque coup. Cette version sera dnote J(n, 1, 1, g). Pour ce e e a e e faire, nous allons dterminer les valeurs des probabilits qui assurent le meilleur gain ` lIDS e e a en pire cas dans les dirents coups i. Pour rsoudre ce cas particulier nous allons utiliser le e e rsultat obtenu plus haut dans le paragraphe 4.3. Dans ce dernier, nous avons tudi le cas e e e o` la taille du jeu, la taille de lattaque et le nombre de paquets que lIDS doit intercepter u pour dtecter lattaque sont egaux ` 1. Nous avons montr que la probabilit de lactivit e a e e e de lIDS qui lui assure le meilleur gain en pire cas pour des valeurs de g > 1 est p = 1. Nous avons aussi trouv que dans ce cas le meilleur gain net espr de lIDS est V (p , q ) = g 1. e ee Nous allons utiliser ce rsultat pour montrer par induction sur n la meilleure probabilit de e e lactivit de lIDS dans chaque coup. e Dnissons le coup n comme celui au moment duquel le jeu va durer encore n rounds. Donc e les numros des coups dcroient de n ` 1. e e a La gure (4.5) reprsente les direntes possibilits de jeux de lIDS et de lintrus du coup e e e n au coup (n 1). Chaque branche reprsente lintervention des deux joueurs. La branche e 52
(2), par exemple, signie que lIDS est actif et lintrus est passif.
'$ n-1 (1) &%
P P '$ P '$ A E n-1 (2) n &% &% d A d dA A d P d d d d c IDS Vainqueur Intrus Vainqueur (3) (4)
Figure 4.5 Les quatre dirents coups conjoints possibles de lIDS et de lintrus e On remarque que la probabilit de continuer le jeu(branches (1) et (2)) est gale ` 1 q, e e a puisque au coup n lintrus doit alors tre passif. e Puisque lIDS ne peut tre actif quune seule fois en passant du coup n au coup n 1, le e co t espr du coup n est p. u ee
e Supposons que le gain net espr de lIDS au ni`me coup est not Vn . Le calcul de Vn ce fait ee e
ainsi : La partie de Vn correspondant aux branches (1) et (2) apr`s le coup n est (1 q)Vn1 . Le e gain brut correspondant ` la branche (3) est pqg et ` la branche (4) est 0. En ajoutant ces a a valeurs et soustrayant le cot espr p dans le coup n on obtient : u ee
Vn = (1 q)Vn1 + pqg p Vn = Vn1 p + q(pg Vn1 )
53
Nous considrons dabord le cas g > 1. Pour ce faire nous allons traiter les deux cas suivant : e Vn1 1er cas : Si (pg Vn1 ) 0 p : g Ici la valeur Vn est minimale pour q = 0. Cela nous donne Vn = Vn1 p, qui est maximis e Vn1 . Cela nous donne la valeur du gain net espr ee lorsque p est minimal, cest ` dire p = a g Vn1 Vn = (g 1). g Vn1 ` 2eme cas : Si (pg Vn1 ) 0 p : g L` par contre Vn est minimale pour q = 1. Cela nous donne Vn = p(g 1), qui est maximis a e Vn1 lorsque p est maximale, cest ` dire p = a . Cela nous donne la valeur du gain net espr ee g Vn1 Vn = (g 1). g e Notons la probabilit p au ni`me coup par pn . Comme nous avons montr avant on a e e V1 = g 1 et p1 = 1. (g 1)n On a donc Vn = . g n1 Vn1 (g 1)n1 Puisque pn = , cela implique que pn = g g n2 g )n1 ( g1 ou encore pn = . g En conclusion nous dirons que si g > 1 et dans le cas o` lIDS peut choisir une probabilit u e ` chaque coup, pour le jeu J(n, 1, 1, g), la probabilit dactivit de lIDS au coup n est a e e ( pn = et la valeur du gain net espr est ee (g 1)n g n1 g1 g )n1
Vn = Il reste ` considrer le cas 0 < g 1. a e
Pour n = 1, comme on la vu dans le paragraphe 4.3, la valeur du gain net espr de lIDS ee est V1 = 0. Dans ce cas nous avons q (p) = 1 et p = 0. Nous allons prouver par induction que Vn = 0. Pour n > 1 on a Vn = (1 q)Vn1 + pqg p. Par hypoth`se inductive a implique Vn = pqg p. e c Cette formule est minimise, pour chaque p, lorsque q = 0 et sa valeur devient p, ce qui e est minimis lorsque p = 0. On obteint Vn = 0. e Il sensuit que lorsque g 1, la meilleure stratgie de lIDS est de ne jamais tre actif. e e
54
4.7
Dans cette section nous allons dterminer la valeur p de la probabilit dactivit de lIDS e e e qui lui assure le meilleur gain en pire cas pour un jeu o` : u la taille n est gale ` 2, e a la taille a de lattaque est de 2, une intrusion est dtecte si lIDS intercepte un paquet (b = 1), e e le gain g de lIDS lorsquil intercepte une attaque est suprieur ou gal ` zro e e a e
4.7.1
Calcul de la formule du gain net espr V (p, q) = G(p, q) C(p, q) e e
Par les quations (4.1) et (4.16), nous avons : e ( ) 2 (k 1) 2 2 k2 G(p, q) = 1 (1 p) q (1 q) g 1

k=2 k 1 k=1 i=1
(4.23)
et
Ak (Int) Ck,i,Ak (IDS)
C(p, q) =
k 1 k=1 i=1
Ak (Int) Ck,i,Pk (IDS)
2 i=1
C2,i
(4.24)
Dun ct le dveloppement de lquation (4.23) nous donne oe e e ( (1 ) ) G(p, q) = 1 (1 p)2 q 2 ( 1 (1 q)0 ) g ( ) = 1 (1 p)2 q 2 g
En dautres termes G(p, q) = g g(1 p)2 q 2 De lautre ct le dveloppement de lquation (4.24) nous donne oe e e (0 ) () (1) 0 1 k Ak (Int) 0 0 0 0 0 0 (a) k=1 i=1 Ck,i,Ak (IDS) = 0 p(1 p) q(1 q) ( 0 q (1 q) + 0 q (1 q) ) = pq(1 + 0) (4.25)
En dautres termes
1 k k=1 i=1
k Ck,i,Ak (IDS) = pq,
A (Int)
(b)
1
k=1
Ak (Int) i=1 Ck,i,Pk (IDS)
(0)
1
p(1 p)0
(1)
0
q(1 q)1
55
Puisque
(0 )
1
= 0 cela implique
1 k k=1 i=1
k Ck,i,Pk (IDS) = 0,
A (Int)
(c)
i=1 C2,i
(1)
0
() () p(1 p)(1 q)0 ( 1 q 0 (1 q) + 1 q(1 q)0 )+ 0 0 (1) 2 () () 0 (1 q)( 0 q 0 (1 q)0 + 0 q 0 (1 q)1 )+ 2 1 p (1 p) 0 1 (1) (0) 0 () 0 + 0 q(1 q)1 )+ 1 p(1 p)(1 q)( 0 q (1 q) 1 (1) 2 () () 0 (1 q)2 ( 0 q 0 (1 q)1 + 0 q(1 q)2 ) 2 2 p (1 p) 0 1
() () Puisque 1 = 0 = 0on aura : 2 1 (1) () (1 ) 2 0 1 0 0 i=1 C2,i = 0 p(1 p)(1 q) ( 0 q (1 q) + 0 q(1 q) )+ () () () () 2 1 p2 (1 p)0 (1 q)( 0 q 0 (1 q)0 ) + 1 p(1 p)(1 q)( 0 q 0 (1 q)0 ) 1 0 1 0 2 = p(1 p)(1 q) + p(1 p)q + 2p2 (1 q) + p(1 p)(1 q) = pq + 2p p2 q
i=1 C2,i
i=1 C2,i
` A partir de l`, nous dirons que le cot espr de lIDS pour le jeu j(2, 2, 1, g) est : a u ee C(p, q) = 2p p2 q (4.26)
Les quations (4.25), (4.26) et la fonction du gain net espr dnie au paragraphe 3.2 ime ee e pliquent que
V (p, q) = g(1 p)2 q 2 + p2 q 2p + g
(4.27)
Nous allons donc dans un premier temps chercher la valeur q (p) qui minimise la fonction de gain net espr de lIDS pour chaque p. Par la suite, nous allons calculer la valeur p de ee la probabilit de lactivit de lIDS qui maximise V (p, q (p)). e e
4.7.2
Probabilit de lactivit de lintrus qui minimise le gain net espr e e e e
de lIDS : q (p)
V p2 = 2g(1 p)2 q + p2 sannule pour q = . q 2g(1 p)2 2V e Dun autre ct, la drive seconde 2 = 2g(1 p)2 est toujours ngative. Ce qui oe e e q Dans ce cas la drive e e
56
implique que V (p, q) atteint son maximum pour q =
p2 . Cela veut dire que le mi2g(1 p)2 nimum de V (p, q) est atteint soit pour q = 0, soit pour q = 1. Pour en dcider laquelle e des valeurs de q minimise la fonction du gain net de lIDS, nous allons tudier le signe de e
D(p) = V (p, 1) V (p, 0). Pour ce faire nous allons chercher les racines de D(p). Nous avons D(p) = (1 g)p2 + 2gp g qui sannule pour g g g+ g et p2 = . g1 g1
p1 =
Il y a trois remarques qui dcoulent de ces rsultats. La premi`re nous dit quon doit tenir e e e compte de p1 puisquil est compris entre 0 et 1 (0 p1 1). La deuxi`me remarque exclut e p2 de notre calcul puisque p2 1. En n la troisi`me remarque nous signie que le signe de e D(p) dpend des valeurs de g et de p. e Dans le cas o` g > 1 : u Si p est compris entre 0 et p1 , D(p) est infrieur ` 0. Ce qui veut dire que V (p, 1) est e a infrieur ` V (p, 0). e a On a donc la valeur de la probabilit dactivit de lintrus qui minimise le gain net e e espr de lIDS est q (p) = 1. ee Si p est compris entre p1 et 1, D(p) est suprieur ` 0. Ce qui veut dire que V (p, 1) est e a suprieur ` V (p, 0). e a On a donc la valeur de la probabilit dactivit de lintrus qui minimise le gain net e e espr de lIDS est q (p) = 0. ee Dans le cas o` g < 1 : u Si p est compris entre 0 et p1 , D(p) est suprieur ` 0. Ce qui veut dire que V (p, 1) est e a suprieur ` V (p, 0). e a On a donc la valeur de la probabilit dactivit de lintrus qui minimise le gain net e e espr de lIDS est q (p) = 0. ee Si p est compris entre p1 et 1, D(p) est infrieur ` 0. Ce qui veut dire que V (p, 1) est e a infrieur ` V (p, 0). e a On a donc la valeur de la probabilit dactivit de lintrus qui minimise le gain net e e espr de lIDS est q (p) = 1. ee Dans le cas o` g = 1, on a V (p, 0) = 1 2p et V (p, 1) = 0. La fonction V (p, 0) est une u fonction dcroissante, elle dcroit de V (0, 0) = 1 jusqu` V (1, 0) = 1 et elle sannule e e a 1 pour p = . 2
57
On remarque que le maximum de V (p, 1) est toujours infrieur au maximum de V (p, 0). e Ce qui veut dire que la valeur de la probabilit dactivit de lintrus qui minimise le gain e e net espr de lIDS est q (p) = 1 ee
4.7.3
Probabilit de lactivit de lIDS qui maximise la gain net espr e e e e
de lIDS : p
Pour calculer p trois cas sont ` prendre en considration : a e Dans le cas o` g > 1, on remarque de ce qui prc`de que : u e e Pour p compris entre 0 et p1 , la fonction V (p, 1) = (1 g)p2 2(1 g)p est croissante, g 2 3g + 2 g elle croit de V (0, 1) = 0 jusqu` V (p1 , 1) = a . g1 Pour p compris entre p1 et 1, la fonction V (p, 0) = g 2p est dcroissante, elle dcroit e e g 2 3g + 2 g de V (p1 , 0) = jusqu` V (1, 0) = g 2. a g1 La fonction V (p, q (p)) qui croit de V (0, 1) jusqu` V (p1 , q (p1 )) et en suite elle dcroit a e jusqu` V (1, 0). Ce qui implique que V (p, q (p)) atteint son maximum pour p = p1 . a En conclusion nous dirons que pour g > 1, la valeur de la probabilit de lactivit de e e lIDS qui maximise la fonction du gain net espr de lIDS est : ee p = g g g1
Le graphique suivant montre bien la variation de V (p, q (p)) en fonction de p
4 3.5 3 V(p,q*(p)) 2.5 2 1.5 1 0.5 0 0 0.2 0.4 p 0.6 0.8 1
Figure 4.6 Graphe de V (p, q (p)) pour g = 5
58
Dans le cas o` g < 1, On remarque de ce qui prc`de que : u e e Pour p compris entre 0 et p1 , la fonction V (p, 0) = g 2p est dcroissante, elle dcroit e e 2 3g + 2g g de V (0, 0) = g jusqu` V (p1 , 0) = a . g1 Pour p compris entre p1 et 1, la fonction V (p, 1) = (1g)p2 2(1g)p est dcroissante, e g 2 3g + 2 g jusqu` V (1, 1) = g 1. a elle dcroit de V (p1 , 0) = e g1 Les deux points prcdents signient que le maximum de la valeur du gain net espr e e ee de lIDS est V (0, 0) = g. En conclusion nous dirons que puisque pour g < 1, la valeur de la probabilit de lIDS e qui maximise son gain net espr en pire cas est : ee p = 0 Le graphique reprsentant la variation de V (p, q (q)) conrme que pour g < 1 le meilleur e gain pour lIDS se ralise pour p = 0 e
0.5 V(p,q*(p)) 1 1.5
0.2
0.4 p
0.6
0.8
Figure 4.7 Graphe de V (p, q (p)) pour g =
1 2
1 Dans le cas o` g = 1, puisque V (p, 1) = 0 pour p u et que V (p, 0) est ngatif pour e 2 1 1 p > , il sut de prendre la valeur de p infrieure ou gale ` pour maximiser le gain e e a 2 2 net espr de lIDS. En conclusion nous dirons que pour g = 1, la valeur de la probabilit ee e de lactivit de lIDS qui maximise la fonction du gain net espr de lIDS est : e ee 1 p 2
59
Dans ce cas aussi, le graphe de V (p, q (p)) montre bien que le meilleur gain de lIDS 1 est atteint pour p 2
0.4 0.2 0 V(p,q*(p)) 0.2 0.4 0.6 0.8 1 0 0.2 0.4 p 0.6 0.8 1
Figure 4.8 Graphe de V (p, q (p)) pour g = 1
60
Chapitre 5
Rsolution du jeu J(n, n, n, g) e

5.1 Introduction
Dans ce chapitre nous allons tudier le jeu qui dure n coups o` lattaque tient sur n e u paquets et pour gagner la partie, lIDS doit intercepter tous les paquets. Ceci dit, lintrus doit aussi tre actif durant toute la partie pour faire passer les n paquets de lattaque. e
5.2
Formule gnrale calculant V (p, q) e e
Dans le chapitre 3, nous avons vu que le gain net espr de lIDS V (p, q) est obtenu par la ee dirence entre le gain brut espr G(p, q) et le cot espr de lIDS C(p, q). Nous avons e ee u ee aussi dni le gain brut espr et le cot espr de lIDS. e ee u ee
5.2.1
Calcul du gain brut espr G(p, q) e e
Comme nous lavons dni plus haut, le gain brut espr est obtenu par le produit de la e ee probabilit du gain de lIDS pg et la valeur g du gain de lIDS lorsquil intercepte une e attaque. Nous remarquons bien que dans le cas que nous traitons dans ce chapitre, lIDS perd quand il nest pas actif durant tous les n coups que dure le jeu et que lintrus quand ` a lui il est tout le temps actif. Cette perte se ralise avec un probabilit de (1 pn )q n . Ceci e e dit, la probabilit de gain de lIDS est : e pg = (1 (1 pn )q n )
Nous avons donc, montr que dans un jeu qui dure n coups o` lattaque se fait avec n e u paquets et que lIDS doit intercepter tous les paquets pour dbusquer une intrusion, le e 61
gain brut espr de lIDS est donn par : ee e G(p, q) = (1 (1 pn )q n )g
5.2.2
Calcul du co t espr de lIDS C(p, q) u e e
Dans ce cas, dterminer le cot espr de lIDS revient ` dterminer lesprance mathmatique e u ee a e e e du nombre de succ`s dans une srie de Bernoulli. Cela est d au fait que dun ct, le jeu e e u oe
e doit se terminer au ni`me coup. De lautre ct ` chaque coup lIDS doit tre soit actif oea e
avec une probabilit p soit passif avec une probabili (1 p). Nous pouvons donc dire e e que lIDS est en situation de suc`s avec un probabilit p et en situation contraire avec e e une probabilit (1 p). Nous pouvons associer une variable alatoire de Bernoulli Xi ` e e a chaque coup i. Cette derni`re sera gale ` A lorsque lIDS est actif et elle sera gale ` P e e a e a
` lorsque lIDS est passif. La probabilit dactivit de lIDS au ieme sera exprime par : e e e
P [Xi = A] = p et P [Xi = P ] = 1 p
Pour une variable alatoire de Bernoulli Xi , lesprance mathmatique est E(Xi ) = p. Le e e e nombre dactivits de lIDS est reprsent par la variable X = n Xi . e e e i=1 n On aura lesprance mathmatique E(X) = i=1 E(Xi ) qui nous donnera E(X) = np. e e En conclusion nous dirons que pour un jeu qui dure n coups o` lattaque se fait avec n u paquets et que lIDS doit intercepter tous les paquets pour dbusquer une intrusion, le e cot espr de lIDS est : u ee
C(p, q) = np
5.2.3
Gain net espr e e
Pour un jeu qui dure n coups o` lattaque se fait avec n paquets et que lIDS doit inu tercepter tous les paquets pour gagner la partie, le gain net espr de lIDS est donne par : ee e
V (p, q) = (1 (1 pn )q n )g np
62
5.3
Rsolution du jeu e
Dans cette section nous allons chercher la valeur p de la probabilit dactivit de lIDS e e qui lui assure le meilleur gain en pire cas. Pour ce faire nous allons dabord dterminer e le pire cas pour lIDS en calculant, pour toutes les valeurs possibles de p, la valeur de la probabilit dactivit de lintrus q (p) qui minimise la valeur du gain net espr de lIDS. e e ee En nous basant sur cette valeur q (p), nous allons dterminer p . e
5.3.1
Calcul de q (p)
En examinant la formule du gain net espre de lIDS, V (p, q) = g(1 pn )q n np + g, e e calcule plus haut, nous remarquons que la valeur de la probabilit q qui la minimise est e e q = 1 quelque soit la valeur de p. Cela veut dire que : q (p) = 1
5.3.2
Calcul de p
Pour calculer la valeur de la probabilit de lIDS p qui maximise son gain en pire cas, e nous allons remplacer la variable q dans la la formule V (p, q) par 1. Nous allons, ensuite, chercher la valeur de p qui maximise V (p, 1). Nous avons V (p, 1) = gpn np. Dun ct la drive de V (p, 1) donne par oe e e e 1 V (p, 1) = ngpn1 n sannule pour p = n1 . De lautre ct la drive seconde de oe e e g V (p, 1) donne par V (p, 1) = n(n 1)gpn2 est toujours positive, ce qui veut dire que e la valeur de p qui annule la drive de V (p, 1) minimise le gain net espr de lIDS. e e ee Il est donc vident que la valeur de la probabilit p qui maximise le gain net espr de e e ee lIDS va tre soit p = 0 soit p = 1. En remplaant p par ces deux valeurs dans la formule e c V (p, 1) nous aurons : V (0, 1) = 0 et V (1, 1) = g n Donc pour g > n on a p = 1 et pour g n, on a p = 0.
63
5.3.3
Conclusion
Pour un jeu qui dure n coups o` lattaque tient sur n paquets et pour gagner la partie, u lIDS doit intercepter tous les paquets, la meilleure stratgie pour ce dernier dpend de e e la valeur du gain g. Dans le cas o` g est suprieur ` n, lIDS va tout le temps tre actif, u e a e p = 1. Dans les autres cas, il va tre passif, p = 0. e
64
Chapitre 6
Conclusion
Dans ce mmoire, nous avons tudi la problmatique de modlisation des IDS en utilisant e e e e e la thorie des jeux. En particulier, nous nous intressions au calcul de stratgies optimales e e e dans un mod`le de jeux probabilistes. Pour ce faire, nous avons commenc par prsenter e e e une revue de littrature pour les syst`mes de dtection dintrusions existants. Dans un e e e premier temps, nous avons dni la dtection dintrusion, le fonctionnement des IDS et e e leurs catgories. Par la suite, nous avons pass en revue lvolution de la technologie en e e e prsentant les solutions les plus pertinentes. Par ailleurs, nous nous sommes penchs sur e e les contributions qui traitent la modlisation des IDS en utilisant la thorie des jeux. Sur e e ce sujet, nous avons remarqu que la plupart des solutions existantes traitent le probl`me e e en se basant sur larchitecture rseau, le trac entre les nuds, les sessions rseau et bien e e sr sur le comportement des deux joueurs, lIDS et lintrus. u ` A partir de ce constat nous avons orient nos recherches vers la modlisation du probl`me e e e en un jeu entre lIDS et lintrus en tenant compte uniquement de lactivit des joueurs. e Notre jeu se base sur un mod`le probabiliste. Ce choix est motiv par le souci de trouver e e un moyen qui permettra ` lIDS de choisir une stratgie de jeu qui lui garantit les meilleurs a e gains. LIDS choisit cette stratgie en calculant la frquence de ses activits qui permet e e e davoir le meilleur gain net en pire cas. Dans les rsultats que nous avons prsents e e e plus haut, nous sommes arrivs ` dmontrer que notre mod`le permet ` lIDS de choisir e a e e a dans plusieurs cas la stratgie qui lui ore le meilleur gain en optimisant le cot de ses e u activits. e Nous prvoyons que notre approche qui combine la dtection probabiliste dintrusion e e et la thorie des jeux contribuera ` amliorer le taux de dtection dintrusion tout en e a e e optimisant son cot. Ceci dit, le probl`me que nous avons tait reste ouvert. En eet, il u e e
65
serait intressant de traiter le jeu J(n, a, b, g) o` lIDS doit intercepter plus quun paquet e u pour gagner.
66
Bibliographie
[1] T. Alpcan et T. Basar. A game theoretic approach to decision and analysis in network intrusion detection. In Proc. of the 42nd IEEE Conference on Decision and Control, pages : 2595 - 2600, Maui, Hawaii, dcembre 2003. e [2] T. Alpcan et T. Basar. A game theoretic analysis of intrusion detection in access control systems. In Proc. of the 43rd IEEE Conference on Decision and Control, page(s) : 1568-1573, Paradise Island, Bahamas, dcembre 2004. e [3] T. Alpcan et T. Basar. An intrusion detection game with limited observations. In 12th Int. Symp. on Dynamic Games and Applications, Sophia Antipolis, France, july 2006. [4] J.P. Anderson. Computer Security Threat Monitoring and Surveillance. Technical Report, J.P. Anderson Company, Fort Washington, Pennsylvania, 1980. [5] R. Bace, P. Mell. Intrusion detection systems. National Institute of Standards and Technology, special publication on intrusion detection systems, Gaithersburg, Maryland, 2001. [6] N. Berlin et al. Thorie des jeux : Introduction ` la thorie des jeux rpts, Paris, e a e e ee Edition de lEcole Polytechnique, janvier 2007. [7] M. Couture. Dtection des variations dattaques ` laide dune logique temporelle. e a Mmoire de ma e trise en informatique de luniversit de Laval, juin 2005. e [8] F. Cuppens. Managing Alerts in a Multi-Intrusion Detection Environment. In 17th Annual Computer Security Applications Conference, New-Orleans, dcembre 2001. e [9] D. Curry et H. Debar. Intrusion Detection Exchange Format Data Model and Extensible Markup Language (XML) Document Type Denition. Intrusion Detection Working Group. Merrill Lynch et France Telecom, 2002 [10] H. Debar. Corrlation dalertes et cartographie de sites. Projet RNTL DICO e France Tlcom 22 mai 2002. Publi sur http ://www.lsv.ens-cachan.fr/ gouee e bault/DICO/DICO/SP5 1 draft V01.pdf, 2002 67
[11] D.E. Denning An Intrusion Detection Model, IEEE TRANSACTIONS ON SOFTWARE ENGINEERING, VOL :SE-13, issue : 2 ; pages : 222-232 , 1987. [12] T. Evangelista. Les syst`mes de dtection dintrusions informatiques. Paris : Dunod, e e 2004. [13] L. Hamza, 2005. Gnration automatique de scnario dattaques pour les syst`mes e e e e de dtection dintrusions. Mmoire de magister, Bjaia, Universit A. Mira de Bjaia. e e e e e [14] Kasperky en Lab. votre Eviter la majorit e Publi e des sur infections le site virales Internet tout :
protgeant e
ordinateur.
http ://kb.kaspersky.fr/index.php ?article=583onglet=4 [15] G. Lehmann. Gnralits sur les syst`mes de dtection dintrusions. Publi le 13 e e e e e e Avril 2003 sur le site Internet : http ://lehmann.free.fr/RapportMain/node10.html [16] P.L Lesprance. Dtection dintrusions et analyse passive du rseaux. Mmoire de e e e e ma trise en informatique de luniversit de Laval, aot 2005. e u [17] N. Marchang et R. Tripathi. A Game Theoretical Approach for Ecient Deployment of Intrusion Detection System in Mobile Ad Hoc Networks. In 15th International Conference on Advanced Computing and Communications, pages :460-464, Guwahati, India, dcembre 2007. e [18] M. Mehrandish et al.. A Game Theoretic Model to Handle Network Intrusions over Multiple Packets. In 2006 IEEE International Conference on Communications vol. 5, page(s) :2189 - 2194 , Istanbul, Turky, juin 2006. [19] M. Mehrandish et al.. A Game Theoretic Approach to Detect Network Intrusions : The Cooperative Intruders Scenario. In IEEE Global Telecommunications Conference, pages 1-5, San Francisco, dcembre 2006. e [20] L. M, e 1997. Un complment de lapproche formelle : la dtection e e CIDR97, Rennes, octobre 1997. Publi e sur
dintrusions.
Journe e
http ://www.rennes.supelec.fr/rennes/si/equipe/lme/ [21] B. Morin. Corrlation dalertes issues doutils de dtection dintrusions avec prise e e en compte dinformations sur le syst`me surveill. Th`se de doctorat en informatique e e e de linstitut nationnal des sciences appliques de Rennes, fvrier 2004. e e [22] K. Murali et T.V. Lakshman, 2003. A Detecting network intrusions via sampling : a game theoretic approach. In the twenty-Second Annual Joint Conference of the IEEE Computer and Communications, vol.3, pages :1880 - 1889, San Francisco, avril 2003 68
[23] D. K. Shneider. Modlisation de la dmarche du dcideur politique dans la perspective e e e de lintelligence articielle. Th`se de doctorat `s sciences conomiques et sociales, e e e mention science politique. Universit de Gen`ve Facult des Sciences conomiques et e e e e sociales Dpartement de science politique, septembre 1994. e [24] J. Zimmermann et L. M. . Les syst`mes de dtection dintrusions : principes algoe e e rithmiques. Publi dans le magazine Multi-System & Internet Security Cookbook, e numro 3, pages : 24-30, juin 2002. e [25] J. Zimmermann. Dtection dintrusions paramtre par la politique par le contrle e e e o de ux de rfrences. Th`se de doctorat de luniversit de Rennes, dcembre 2003. ee e e e [26] The National Information Assurance Partenership. Cisco Intrusion Detection System Sensor Appliance IDS-4215 series Version 4.1(3) Security Target. . Manual of Cisco, 2004.
69

36

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

36

Загружено:

Авторское право:

Доступные форматы

Modlisation de dtection dintrusion par des jeux e e probabilistes

Prsent par e e Madjid Ouharoun

sous la direction de Prof. Kamel Adi et Prof. Andrzej Pelc

Table des mati`res e

Sources de donnes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 e Mthodes danalyses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 e Fonctionnement des IDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Evolution des IDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 2.2.1 2.2.2 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 Exemples . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

Thorie des jeux et dtection dintrusion . . . . . . . . . . . . . . . . . . . . . . . . 27 e e

3 Prsentation du jeu e 3.1 3.2

Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 Prsentation du mod`le . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 e e 37

4 Rsolution du jeu J(n, a, 1, g) e 4.1 4.2

4.5 4.6 4.7

5 Rsolution du jeu J(n, n, n, g) e 5.1 5.2

Les syst`mes de dtection dintrusion e e

Un HIDS est un agent logiciel que lon installe gnralement sur la e e

Figure 2.2 Exemple de NIDS

Fonctionnement des IDS

Evolution des IDS

Module de dtection e Base de signatures

Figure 2.3 Les dirents modules de Snort ` lorigine e a

Nouveau module de dtection e Module de dtection e Base de signatures

synscan. Le second dtecte ladresse du routeur. e

Ports TCP ouverts et sessions actives [7] :

scan des ports.

Adresse du routeur [7] :

P1 = {USER roo} P2 = {o} P3 = {t} P = {USER rooot}

Figure 2.5 Attaque sur plusieurs paquets

La thorie des jeux e

Prisonniers dnonce e se tait

dnonce e (-5,-5) (-10,0)

se tait (0,-10) (-3,-3)

Figure 2.8 Reprsentation sous la forme extensive du dilemme du prisonnier e

Thorie des jeux et dtection dintrusion e e

B est le seuil dchantillonnage, avec e

pe fe B. Cela contraint lIDS ` nechantillonner a

relativement ` Ps a t La probabilit de dtection est donc donne par la formule suivante : e e e

Pour un q V xe, les auteurs consid`rent le probl`me suivant : e e max [ ] q(P ) pe

En interprtant q(P ) comme tant le ux sur le chemin P , la contrainte e e

IDS/Intrus actif t% passif

attaque s% tsM (1 t)sL tCd sL

nattaque pas tCd 0

IDS/Intrus actif t% passif

attaque s% atsM + (1 a)tsM + (1 t)sL sCa sL sCa

Figure 2.12 Matrice de gain de lintrus (IDS imparfait)

g du gain de lIDS lorsquil intercepte une attaque.

G : [0, 1] [0, 1] R G(p, q) = pg g

V : [0, 1] [0, 1] R V (p, q) = G(p, q) C(p, q)

la partie se termine en exactement k coups, lIDS est actif i fois,

et lintrus ne se fait pas attraper j fois dans les (k 1) premiers coups.

la partie se termine en exactement k coups, lIDS est actif i fois,

Rsolution du jeu J(n, a, 1, g) e

Formule gnrale calculant V (p, q) e e

Formule de calcul du gain brut espr de lIDS G(p, q) e e

En conclusion, nous dirons que : la probabilit du gain de lIDS est : pg = 1 (1 p)a q a e

la formule du gain brut espr de lIDS est donne par : ee e ( G(p, q) = 1 (1 p) q

Formule de calcul du co t espr de lIDS u e e

pi1 (1 q)i1 (1 p)ki

lintrus et lIDS sont actifs est :

Si la partie se termine avec la combinaison

A dans les (k 1) premiers coups sinon la partie A coup,

lintrus est actif mais lIDS passif est :

coup (avec k < n) est donc :

k k Ck,i = Ck,i,Ak (IDS) + Ck,i,Pk (IDS)

la double sommation sur k et i applique ` Ck,i . En dautres termes e a Ck =

Par les quations (4.4) et (4.5) nous avons : e Ck =

'$ n-1 (1) &%