Détection d'intrusions : une nouvelle approche par systèmes multi-agents

Les réseaux et systèmes informatiques sont devenus des outils indispensables au fonctionnement des entreprises. Ils sont aujourd'hui déployés dans tous les secteurs professionnels : la banque, les assurances, la médecine ou encore le domaine militaire. Initialement isolés les uns des autres ces réseaux sont à présent interconnectés et le nombre de points d'accès ne cessent de croître. Ce développement phénoménal s'accompagne naturellement de l'accroissement du nombre d'utilisateurs, qui ne sont pas forcément pleins de bonnes intentions vis-à-vis de ces réseaux. Dès lors que ces réseaux sont apparus comme des cibles d'attaques potentielles, les sécuriser est devenu un enjeu incontournable. Cependant, prévenir de toutes les violations de sécurité apparaît quelque peu irréel. Malgré la mise en place de politiques préventives de sécurité, les réseaux et les systèmes restent sujets à des attaques potentielles entreprises par des personnes qui réussissent à contourner ces mesures préventives par des comportements frauduleux. Par conséquent, dans ce travail, nous nous sommes focalisés sur un aspect particulier de gestion de sécurité, qui est la détection d'intrusions. Les systèmes de détection d'intrusions existants ont été conçus pour des environnements connus et bien définis. Ils ne sont donc pas adaptés à des environnements dynamiques et c'est là leur principale faiblesse. Dans ce type d'environnement où les besoins en sécurité sont en perpétuelle augmentation, flexibilité et adaptativité deviennent des critères primordiaux. L'objectif de ce travail est donc de rechercher une solution de détection d'intrusions souple et flexible pour s'adapter aux changements et à l'évolution complexe et non-prédictive des réseaux. Ces caractéristiques que nous recherchons ont également fait l'objet de nombreuses recherches notamment dans le cas de la gestion de réseaux et ce pour résoudre des problèmes tels que la gestion de fautes et l'analyse de trafic. Des solutions récentes ont montré que des approches à base d'agents étaient adaptées pour résoudre des problèmes complexes. Dans la perspective d'offrir un système de détection d'intrusions pour les réseaux actuels mais aussi pour la nouvelle génération, nous proposons une nouvelle génération de systèmes de détection d'intrusions fondés sur les systèmes multi-agents pour modéliser et implémenter une détection d'intrusions intelligente. Pour concevoir notre système de détection d'intrusions, nous proposons : 1. un modèle de politiques pour spécifier les politiques de sécurité, qui permettront d'identifier les schémas d'attaques à détecter ; 2. un modèle agent, représentant le modèle abstrait de notre système, pour distribuer la détection de ces schémas d'attaques aux différentes entités du système multi-agents ; 3. un modèle événementiel, représentant le modèle opérationnel de notre système, pour détecter ces attaques qui se caractérisent par des suites d'événements spécifiques.