Retour au site du LAAS-CNRS

Abstract

Security of distributed systems is an increasingly serious concern, in particular with the massive development of the Internet. To cope with the threat growth, it is crucial to design more efficient mechanisms to protect our systems and networks. This research work proposes a contribution to the protection of computer systems against malicious activities, by tackling the problem through two approaches: an architectural one and an experimental one. The architectural approach consists in designing security architectures that are suited to counter current threats and we propose several solutions that were investigated through three different PhDs. The experimental approach focuses on methods and techniques that enable to capture the attacker behaviors and analyze the attack processes, in particular those using Internet as a support.

Résumé

La sécurité des systèmes informatiques répartis est un problème de plus en plus important, en particulier avec l'utilisation massive du réseau Internet. Il est donc essentiel de pouvoir imaginer des techniques de protection efficaces de nos systèmes et de nos réseaux. Ces travaux proposent une contribution à la protection des systèmes informatiques vis-a-vis des malveillances, en abordant le problème sous deux angles : un angle architectural et un angle expérimental. L'angle architectural concerne la conception d'architectures de sécurité permettant de faire face aux menaces actuelles, en proposant plusieurs approches suivies dans la cadre de différentes thèses. L'angle expérimental se focalise sur des techniques permettant d'améliorer notre connaissance des attaquants et des processus d'attaques, en particulier, les processus qui utilisent le réseau Internet comme support.

Mots-Clés / Keywords

Sûreté de fonctionnement; Sécurité; Protection; Contrôle d'accès; Tolérance aux intrusions; Redondance adaptative; Pots de miel haute interaction; Réseaux de machines compromises; Noyaux de système d'exploitation; Mécanismes de protection matériels; Dependability; Security; Access control; Intrusion tolerance; Adaptative redundancy; High interaction honeypots; Botnets; Operating system kernels; Hardware protection mechanisms;

Abstract

L'Internet, fort de son succès populaire, n'est pas un environnement sûr. Il pèse sur l'Internet et ses utilisateurs un risque qui augmente au fur et à mesure que l'économie numérique se développe. Ce risque se présente souvent sous la forme de botnets, de larges ensembles de machines corrompues par des pirates qui peuvent les utiliser à dessein pour lancer des attaques massives, des campagnes de spam, etc. Pour lutter de façon proactive contre ces menaces, il est essentiel d'analyser le trafic malveillant dans l'Internet correspondant à la diffusion et au mode d'action des virus, vers ou autres maliciels qui servent à la constitution des botnets. Cet article décrit donc une plateforme de collecte et d'exécution de ces maliciels qui permet d'observer et analyser l'activité illégitime de l'Internet. Toutefois, la législation en vigueur rend responsable le propriétaire d'une machine de tout le trafic généré. Aussi, cette plateforme doit contrôler le trafic qu'elle génère. Un élément essentiel de cette plateforme est donc un nouveau type de pare-feu adapté à l'analyse de toutes les formes de communications, et qui ne va laisser passer que les paquets ne présentant aucun danger. L'article présente les composants de la plateforme et détaille le pare-feu. Il illustre également son fonctionnement et propose une évaluation de ses performances.

Résumé

Cet article est consacré à la protection de la sécurité d'un noyau de système d'exploitation. Nous proposons une caractérisation des actions malveillantes pouvant corrompre ce noyau, basée sur la façon dont elles accèdent au noyau tout d'abord et dont elles corrompent l'espace d'adressage ensuite. Puis nous discutons des mesures de sécurité permettant de contrer de telles attaques. Enfin, nous exposons notre approche basée sur un hyperviseur matériel, qui est partiellement ilmplémenté dans notre démonstrateur Hytux. Celui-ci est inspiré de bluepill, un malware qui s'installe en tant qu'hyperviseur léger -- sur un CPU possédant le technique de virtualisation matérielle -- et installe un système opératoire Microsoft Windows dans une machine virtuelle. À la différence de bluepill, Hytux est un hyperviseur léger qui implémente des mécanismes de protection dans un mode plus privilégié que le noyau Linux.

Mots-Clés / Keywords

Actions noyau malicieuses; Sécurité noyau; Virtualisation matérielle;