Escolar Documentos
Profissional Documentos
Cultura Documentos
g{x
Gestion de la scurit dune application Web
laide dun IDS comportemental optimis
par lalgorithme des K-means
Ralis par :
-
BENDELLA Zineb
Mr BENAMMAR Abdelkrim
(Prsident)
Mr BENMAMMAR Badr
(Encadreur)
Mr BENMOUNA Youcef
(Examinateur)
Mr BELABED Amine
(Examinateur)
Remerciements
Je souhaite dadresser mes remerciements les plus sincres aux personnes qui mont
apport leur aide et qui ont contribu llaboration de ce mmoire.
Ddicace
A l'aide de DIEU tout puissant, qui trace le chemin de ma vie, j'ai pu arriver raliser ce
modeste travail que je ddie:
A la mmoire de ma grande mre paternel ;
A mon trs cher pre et ma trs chre mre qui n'ont pas cess de m'encourager et de se
sacrifier pour que je puisse franchir tout obstacle durant toutes mes annes d'tude que Dieu me
les garde en trs bonne sant ; Aucune ddicace ne pourra compenser les sacrifices de mes
parents;
A ma plus belle toile qui puisse exister dans l'univers, mon trs cher mari Ali,
Ali celui qui je
souhaite une longue vie pleine de joie, de bonheur et de sant;
A ma grandgrand-mre pour toutes ses prires ;
A ma chre sur du monde Merie
Meriem, que je leur souhaite une longue vie pleine de joie et de
russite.
A mon frre Abd Elghani,
Elghani et mon petit chre frre Mohamed ;
Aux petites surs adorables Amira & Hassnaa ;
A ma belle famille, aux chers parents de mon mari,
mari Karima,
Karima Rabie,
Rabie Issam et Ilyes
Ilyes, je leur
souhaite une vie pleine de bonheur ;
A mes oncles,
oncles mes tantes,
tantes mes cousines,
cousines mes cousins spcialement Sofiane,
Sofiane et toute ma
famille ;
A Yahouni Zakaria,
Zakaria qui ma aider tout au long de ce mmoire, je lui souhaite une vie pleine
de joie, de bonheur et de russite ;
A mes enseignants et surtout Mr Badr Benmammar , mon encadreur;
Et tous ceux qui maiment et qui me cannaient de proche ou de loin.
Bendella Zineb
Introduction : ....................................................................................................................... 6
Dfinition: .................................................................................................................... 6
II.2
III.
III.1
III.2
III.3
Menaces : ..................................................................................................................... 9
III.4
Risques : ...................................................................................................................... 9
IV.
Cryptage : .................................................................................................................. 12
V.2
Pare-Feu : ................................................................................................................... 12
V.3
Antivirus : .................................................................................................................. 13
V.4
VPN : ......................................................................................................................... 13
V.5
IDS : ........................................................................................................................... 14
V.6
IPS : ........................................................................................................................... 14
VI.
VII.
Conclusion :................................................................................................................... 15
I.
Introduction : ..................................................................................................................... 16
III.
III.1
III.2
III.3
III.4
III.5
KIDS/KIPS: ............................................................................................................... 20
IV.
VII.1
Capteur : ................................................................................................................. 21
VII.2
Analyseur : ............................................................................................................. 21
VII.3
Manager : ............................................................................................................... 21
V.2
VI.
VI.3.2
VI.3.3
VII.
VII.1
VII.2
VII.3
Introduction : ..................................................................................................................... 28
II.2
II.3
III.
III.1
IV.1.2
IV.1.3
IV.2.2
Organigramme : .................................................................................................. 41
IV.2.3
IV.2.4
V. Conclusion : ...................................................................................................................... 46
Conclusion gnrale ................................................................................................................. 47
Rfrences bibliographiques .................................................................................................... 48
Liste des figures ....................................................................................................................... 52
Liste des abrviations ............................................................................................................... 54
Introduction gnrale
Dans la socit de linformation , la scurit des systmes informatiques
constitue un enjeu crucial. Le contrle de linformation traite et partage au sein de ces
systmes est un problme dautant plus dlicat que le nombre dutilisateurs de ces
systmes est important. Relier ces systmes entre eux au sein de rseaux informatiques,
eux-mmes interconnects, complexifie donc la tche des responsables scurit.
La scurit dun systme informatique repose en premier lieu sur la mise en place
dune politique de scurit. Celle-ci peut tre dfinie comme un ensemble de rgles
permettant dassurer trois proprits : [16]
o
o lintgrit des donnes : seuls les utilisateurs autoriss peuvent modifier une
information donne ;
o la disponibilit du systme : le systme doit tre capable de rendre le service
prvu en un temps born.
Introduction gnrale
CHAPITRE I :
Scurit des Rseaux
Chapitre I
I.
Introduction :
L'informatique et en particulier l'Internet jouent un rle grandissant dans le
domaine des rseaux. Un grand nombre d'applications critiques d'un point de vue de
leur scurit sont dployes dans divers domaines comme le domaine militaire, la sant,
le commerce lectronique, etc. La scurit des rseaux devient alors une problmatique
essentielle tant pour les individus que pour les entreprises ou les tats. Il est donc
important de dfinir une politique de scurit pour ces rseaux et de veiller son
respect. Nanmoins les mcanismes de scurit prventifs mis en place ne sont pas
incontournables. Il est ncessaire de mettre en uvre des outils permettant de dtecter
toute violation de la politique de scurit, c'est--dire toute intrusion.
Tout au long de ce chapitre, notre intrt se porte sur les principales menaces
pesant sur la scurit des rseaux ainsi que les mcanismes de dfense.
II.
II.1
II.2
La scurit d'un rseau peut s'valuer sur la base d'un certain nombre de critres
de scurit. On distingue gnralement trois principaux critres de scurit [1]:
Intgrit : Elle consiste s'assurer que les donnes n'ont pas t altres durant
la communication (de manire fortuite ou intentionnelle).
Chapitre I
En plus des ces trois critres, on peut ajouter les critres suivants:
III.
Chapitre I
Chapitre I
III.3 Menaces :
Chapitre I
IV.
Un ver (ou worm) est un type de virus particulier qui se propage par le rseau. Le
vers contrairement aux virus, une fois implants et activs dans un ordinateur, sont des
programmes capables de se propager dun ordinateur un autre via le rseau, sans
intervention de lutilisateur et sans exploiter le partage de fichiers.
IV.3 Cheval de Troie :
Logiciel Espion :
Un logiciel espion (ou spyware) est un programme, conu dans le but de
collecter des donnes personnelles sur ses utilisateurs et de les envoyer son
concepteur, ou un tiers via Internet ou tout autre rseau informatique, sans avoir
obtenu au pralable une autorisation explicite et claire desdits utilisateurs.[1]
10
Chapitre I
Spam :
Le spam est une vraie problmatique. Il encombre les rsultats de recherche ce
qui gne lutilisateur. Un spam peut tre dfinit comme tant un email anonyme, non
sollicit, indsirable et envoy en grand nombre de faon automatique sans l'accord de
son destinataire.
IV.6
Cookies :
Un cookie est un petit fichier trs simple, en fait un texte, enregistr sur le disque
dur de lordinateur dun internaute la demande du serveur grant le site Web visit. Il
contient des informations sur la navigation effectue sur les pages de ce site. Lide
originelle est de faciliter lutilisation ultrieure du site par la mme personne.
Un cookie ntant pas excutable, il ne peut contenir de virus.
IV.7 Bombe logique :
Une Bombe logique est une partie dun programme malveillant (virus, cheval de
Troie, etc.) qui reste dormante dans le systme hte jusqu ce quun instant ou un
vnement survienne, ou encore que certaines conditions soient runies, pour
dclencher des effets dvastateurs en son sein. [6]
Les bombes logiques sont gnralement utilises dans le but de crer un dni de
service en saturant les connexions rseau d'un site, d'un service en ligne ou d'une
entreprise.
11
Chapitre I
V.
Mcanismes de la scurit :
cause des menaces provenant des logiciels malveillants, Il faut mettre en place
Cryptage :
Le chiffrement est un procd de cryptographie grce auquel on souhaite rendre
Pare-Feu :
Cest un ensemble de diffrents composants matriels (physique) et logiciels
Chapitre I
Antivirus :
Les antivirus sont des logiciels conus pour identifier, neutraliser et liminer
des logiciels malveillants. Ceux-ci peuvent se baser sur l'exploitation de failles de scurit,
mais il peut galement s'agir de programmes modifiant ou supprimant des fichiers, que
ce soit des documents de l'utilisateur de l'ordinateur infect, ou des fichiers ncessaires
au bon fonctionnement de l'ordinateur. [7]
Un antivirus vrifie les fichiers et courriers lectroniques, les secteurs de boot
(pour dtecter les virus de boot), mais aussi la mmoire vive de l'ordinateur, les mdias
amovibles (clefs USB, CD, DVD, etc.), les donnes qui transitent sur les
ventuels rseaux (dont internet), etc.
V.4
VPN :
Dans les rseaux informatiques , le rseau priv virtuel (Virtual Private
Network en anglais, abrg en VPN) est une technique permettant aux postes distants de
communiquer de manire sre, tout en empruntant des infrastructures publiques
(internet). [10]
Un VPN repose sur un protocole, appel protocole de tunnelisation, c'est--dire un
protocole permettant aux donnes passant d'une extrmit l'autre du VPN d'tre
scurises par des algorithmes de cryptographie.[10]
13
Chapitre I
IDS :
Un systme de dtection d'intrusion (ou IDS : Intrusion Detection System) est un
mcanisme destin reprer des activits anormales ou suspectes sur la cible analyse
(un rseau ou un hte). Il permet ainsi d'avoir une connaissance sur les tentatives
russies comme choues des intrusions.[11]
Il faut distinguer deux aspects dans le fonctionnement dun IDS : le mode de
dtection utilis et la rponse apporte par lIDS lors de la dtection dune intrusion.
V.6
IPS :
Un systme de prvention d'intrusion (ou IPS, Intrusion Prevention System) est un
outil similaire aux IDS, sauf que ce systme peut prendre des mesures afin de diminuer
les risques d'impact d'une attaque. C'est un IDS actif, il dtecte un balayage automatis,
l'IPS peut bloquer les ports automatiquement.[11]
VI.
essentiellement par la diversit des aspects considrer. Une politique de scurit peut
se dfinir par un certain nombre de caractristiques : les niveaux o elle intervient, les
objectifs de cette politique et enfin les outils utiliss pour assurer cette scurit.
Chaque aspect diffrent doit tre pris en compte, de faon atteindre les
objectifs de scurit dsirs, en utilisant de faon coordonne les diffrents outils
disposition.[12]
14
Chapitre I
Nous allons tout dabord parler des diffrents aspects dune politique de scurit,
avant de dfinir les objectifs viss, puis de voir les outils disponibles pour appliquer
cette politique.[12]
scuriser laccs physique aux donnes : serveurs placs dans des salles
blindes avec badge daccs
De mme, si les utilisateurs laissent leur mot de passe crit ct de leur PC,
son utilit est limite
des
nouvelles
attaques
existantes,
des
outils
VII.
Conclusion :
Dans ce chapitre, on a prsent les principales notions et concepts de la scurit
des systmes informatiques et des rseaux, dont on a dcrit plus particulirement les
menaces provenant des logiciels malveillants et introduit une politique de scurit.
Ainsi diffrentes mthodes et mcanismes connus pour scuriser les rseaux.
A travers les diffrentes sections quon a montr, on conclu quaucun rseaux
nest sr 100% et il est impossible de garantir la scurit totale dun rseau.
15
CHAPITRE II :
Systme de Dtection
dIntrusion
Chapitre II
I.
Introduction :
Une proprit de valeur doit tre protge contre le vol et la destruction. Certaines
maisons sont quipes de systmes d'alarme qui peuvent dcourager des voleurs,
prvenir les autorits dans le cas d'une effraction et mme avertir les propritaires que
leur maison est en feu. De telles mesures sont ncessaires pour assurer l'intgrit des
maisons et la scurit de leurs propritaires.[30]
La mme assurance d'intgrit et de scurit devrait galement tre applique aux
systmes et donnes informatiques. L'internet a facilit le flux d'informations,
personnelles, financires et autres. En mme temps, il a galement promu autant de
dangers. Les utilisateurs malveillants et les craqueurs recherchent des proies vulnrables
comme les systmes sans correctifs, les systmes affects par des chevaux de Troie et
les rseaux excutant des services peu srs. Des alarmes sont ncessaires pour prvenir
les administrateurs et les membres de l'quipe de scurit qu'une effraction s'est produite
afin qu'ils puissent rpondre en temps rel au danger. Les systmes de dtection
d'intrusions ont t conus pour jouer le rle d'un tel systme d'alarme.[13]
Deux approches ont t proposes ce jour dans ce but: l'approche
comportementale et l'approche par signatures. La premire se base sur l'hypothse que
lon peut dfinir un comportement normal de l'utilisateur et que toute dviation par
rapport celui-ci est potentiellement suspecte. La seconde s'appuie sur la connaissance
des techniques employes par les attaquants : on tire des signatures d'attaque et on
recherche dans les traces d'audit leur ventuelle survenue. [14]
Dans ce chapitre nous prsentons tout dabord la notion de systme de dtection
dintrusions ainsi que son architecture. Je prsente galement la classification des IDS,
dans ce cadre plusieurs critres sont pris en compte nous commenons par la
classification selon la mthode danalyse qui dcoupe les IDS en deux approches
(comportementale et par signatures), enfin nous allons mettre le point sur la dtection
dintrusions Web.
16
Chapitre II
II.
Dfinition :
La dtection des intrusions est le processus de surveillance des vnements se
trouvant dans un systme des ordinateurs ou du rseau et les analysant pour dtecter les
signes des intrusions, dfini comme des tentatives pour compromettre la confidentialit,
lintgrit, la disponibilit ou viter des mcanismes de scurit de lordinateur ou du
rseau. Lintrusion est cause par les attaques accdant au systme via lInternet,
autorise lutilisateur du systme qui essaye de gagner les privilges supplmentaires
pour lesquels ils nont pas autoriss, et autoris les utilisateurs qui abusent les privilges
donns. Le systme de dtection des intrusions est un logiciel ou un matriel qui
automatise des surveillances et les processus analyss.[15]
Fiabilit : toute intrusion doit effectivement donner lieu une alerte. Une
intrusion non signale constitue une dfaillance de lIDS, appele faux ngatif.
(voir Figure II.1)
Pertinence des alertes : toute alerte doit correspondre une intrusion effective.
Toute fausse alerte (appele galement faux positif) diminue la pertinence
de lIDS. (voir Figure II.1)
Un IDS est parfaitement fiable en absence de faux ngatif ; il est parfaitement
Chapitre II
Analyse: Analyse des journaux du systme pour identifier des intentions dans la
masse de donnes recueillie par l'IDS. Il y a deux mthodes d'analyse : L'une
base sur les signatures d'attaques, et l'autre sur la dtection d'anomalies. [17]
III.
Action: Alerter l'administrateur quand une attaque dangereuse est dtecte. [17]
Le rle essentiel d'un IDS rseau (NIDS) est l'analyse et l'interprtation des
paquets circulant sur ce rseau.
Limplantation dun NIDS sur un rseau se fait de la faon suivante : des
capteurs sont placs aux endroits stratgiques du rseau et gnrent des alertes sils
dtectent une attaque. Ces alertes sont envoyes une console scurise, qui les analyse
et les traitent ventuellement. Cette console est gnralement situe sur un rseau isol,
qui relie uniquement les capteurs et la console.[12]
18
Chapitre II
Les HIDS (Host IDS) analysent le fonctionnement et ltat des machines sur
lesquelles ils sont installs. Lintgrit des systmes est alors vrifie priodiquement et
des alertes peuvent tres leves. [18]
Les IDS hybrides rassemblent les caractristiques des NIDS et HIDS. Ils
permettent, en un seul outil, de surveiller le rseau et les terminaux. Les sondes sont
places en des points stratgiques, et agissent comme NIDS et/ou HIDS suivant leurs
emplacements. Toutes ces sondes remontent alors les alertes une machine qui va
centraliser le tout, et agrger/lier les informations dorigines multiples. Ainsi, on
comprend que les IDS hybrides sont bass sur une architecture distribue, o chaque
composant unifie son format denvoi. Cela permet de communiquer et dextraire des
alertes plus pertinentes. Les avantages des IDS hybrides sont multiples :[18]
19
Chapitre II
Ce type dIDS analyse les appels systmes et bloque tout accs suspect au systme .
Ainsi les KIPS sont des solutions rarement utiliss sur des serveurs souvent sollicits.
IV.
de dtection dintrusions. La Figure II.6 illustre les interactions entre ces trois
composants.
20
Chapitre II
Le manager collecte les alertes produites par le capteur, les met en forme et les
prsente loprateur. ventuellement, le manager est charg de la raction adopter
qui peut tre : [16]
21
Chapitre II
V.
dtection utilis et la rponse apporte par lIDS lors de la dtection dune intrusion. Il
existe deux modes de dtection, la dtection danomalies et la reconnaissance de
signatures. De mme, deux types de rponses existent, la rponse passive et la rponse
active. [12]
V.1
Modes de dtection :
a) La dtection danomalies :
Elle consiste dtecter des anomalies par rapport un profil "de trafic habituel".
La mise en uvre comprend toujours une phase d'apprentissage au cours de laquelle les
IDS vont "dcouvrir" le fonctionnement "normal" des lments surveills. Ils sont ainsi
en mesure de signaler les divergences par rapport au fonctionnement de rfrence. [12]
b) La reconnaissance de signature :
Cette approche consiste rechercher dans l'activit de l'lment surveill les
empreintes (ou signatures) d'attaques connues. Ce type d'IDS est purement ractif ; il ne
peut dtecter que les attaques dont il possde la signature. De ce fait, il ncessite des
mises jour frquentes. [12]
De plus, l'efficacit de ce systme de dtection dpend fortement de la prcision
de sa base de signature.
Une signature permet de dfinir les caractristiques dune attaque, au niveau des
paquets ou au niveau protocole.
V.2
Chapitre II
VI.
mthode d'analyse tant le principal. Deux mthodes drivant de cette dernire existent
aujourd'hui : l'approche comportementale et l'approche par scnarios.
On peut citer aussi d'autres critres de classification des IDSs : la frquence d'utilisation,
les sources de donnes analyser, le comportement de l'IDS aprs intrusion.[20]
VI.1 Approche comportementale :
L'approche comportementale est fonde sur une description statistique des sujets.
L'objectif est de dtecter les actions anormales effectues par ces sujets (par exemple,
des heures de connexion anormales, un nombre anormal de fichiers supprims ou un
nombre anormal de mots de passe incorrects fournis au cours d'une connexion).
Le comportement normal des sujets est appris en observant le systme pendant
une priode donne appele phase dapprentissage (par exemple, un mois). Le
comportement normal, appel comportement sur le long terme, est enregistr dans la
base de donnes et compar avec le comportement prsent des sujets, appel
comportement court terme. Une alerte est gnre si une dviation entre ces
comportements est observe. Dans cette approche, le comportement sur le long terme
est, en gnral, mis jour priodiquement pour prendre en compte les volutions
possibles des comportements des sujets. Je considre traditionnellement que l'avantage
principal de l'approche comportementale est de pouvoir tre utilise pour dtecter de
nouvelles attaques. Autrement dit, en signalant toute dviation par rapport au profil, il
est possible de dtecter a priori toute attaque qui viole ce profil, mme dans le cas o
cette attaque n'tait pas connue au moment de la construction du profil. [20]
23
Chapitre II
Ensuite, cette approche gnre souvent de nombreux faux positifs car une
dviation du comportement normal ne correspond pas toujours l'occurrence d'une
attaque. Citons titre dexemples, en cas de modifications subites de l'environnement
de l'entit modlise, cette entit changera sans doute brutalement de comportement.
Des alarmes seront donc dclenches.
Pour autant, ce n'est peuttre qu'une raction normale la modification de
l'environnement. [20]
24
Chapitre II
Parmi les autres critres de classification existants, nous pouvons citer entre autres :
Une autre faon de classer les systmes de dtection d'intrusions, consiste voir
quelle est leur raction lorsqu'une attaque est dtecte. Certains se contentent de
dclencher une alarme (rponse passive). [20]
VI.3.3 La frquence dutilisation :
Chapitre II
La plupart des systmes de dtection d'intrusions rcents effectuent leur analyse des
traces daudit ou des paquets rseau de manire continue afin de proposer une dtection
en quasi temps rel. Cela est ncessaire dans des contextes sensibles (confidentialit) ou
commerciaux (confidentialit, disponibilit). C'est toutefois un processus coteux en
temps de calcul car il faut analyser la vole tout ce qui se passe sur le systme. [20]
VII.
La collecte
l'administrateur.
La mise en service d'un dtecteur d'anomalies est donc prcde d'une phase
d'apprentissage au cours de laquelle le profil, initialement construit uniquement partir
d'une politique de scurit, volue, afin que toute utilisation juge normale soit
reconnue comme telle. Dans certains cas, cet apprentissage continue galement aprs la
26
Chapitre II
diffrentes
approches
de
dtection
d'anomalies
se
distinguent
essentiellement par le choix des entits modlises dans le profil et l'interprtation qui
est faite des divergences par rapport ce profil. [21]
normales et ainsi seules les requtes dtectes comme anormales sont passes lIDS
par signatures. [21]
VIII.
Conclusion :
La plupart des IDS sont fiables, ce qui explique qu'ils sont souvent intgrs dans les
solutions de scurit. Les avantages qu'ils prsentent face aux autres outils de scurits
les favorisent, mais d'un autre ct cela n'empche pas que les meilleurs IDS prsentent
aussi des lacunes et quelques inconvnients. Nous comprenons donc bien qu'ils sont
ncessaires mais ne peuvent pas se passer de l'utilisation d'autres outils de scurit
visant combler leurs dfauts.
27
CHAPITRE III:
Conception et Ralisation
Chapitre III
I.
Introduction :
Ce chapitre prsente la description dune solution propose dont le but est de
scuriser une application web. Cette partie comprend trois tapes. La premire tape
consiste dcrire la ralisation en dtail de cette application Web (boutique en ligne) en
utilisant le paradigme MVC2 travers la version 2 du Framework Struts. La deuxime
tape consiste scuriser lapplication Web ralise on se basant sur lapproche
comportementale des IDS et enfin la dernire tape consiste appliquer lalgorithme
K-means afin de diminuer le nombre des faux-positifs.
II.
Outils de ralisation :
Cette partie prsente les principaux outils utiliss pour la mise en place de
II.1
Les modules conus ont t raliss sous Java dont les principales vertus, sont
rsumes dans les points suivants :
Java est un langage orient objet : un programme Java est centr compltement
sur les objets et fournit un ensemble prdfini de classes facilitant la
manipulation
des
entres-sorties,
la
programmation
rseau,
systme,
graphique
Le langage Java est distribu : il est conu pour dvelopper des applications en
rseau, les manipulations des objets distants ou locaux se font de la mme
manire.
28
Chapitre III
Le langage Java est robuste et sr : il est fortement typ ; il limine bien des
erreurs d'incohrence de type la compilation et ne supprime pas tous les
problmes de scurit mais les rduit fortement.
Le langage Java est interprt : un programme Java n'est pas compil en code
machine ; il est transform en code intermdiaire interprt.
On a utilis NetBeans version 7.4 qui est plac en open source par Sun sous licence
CDDL (Common Development and Distribution License). En plus de Java, NetBeans
permet galement de supporter diffrents langages, comme C, C++, XML et HTML. Il
comprend toutes les caractristiques d'un IDE moderne (diteur en couleur, projets
multi-langage, refactoring, diteur graphique d'interfaces et de pages Web).
II.2
des applications Web Java bases sur JSP (Java Server Pages).
Struts2 implmente le modle d'architecture MVC2 (Modle - Vue - Contrleur), il
permet notamment de sparer la partie modle (programmation, traitement des
informations) de la partie prsentation (affichage). Le modle reprsente le code mtier
ou la base de donnes, la vue reprsente le code de conception de pages et le contrleur
reprsente le code de navigation (servlet unique).
29
Chapitre III
II.3
Choix de MySQL :
MySQL est un serveur de BDD relationnelles open-source qui stocke les donnes
dans des tables spares plutt que de tout rassembler dans une seule table.
Cela amliore la rapidit et la souplesse de l'ensemble. Les tables sont relies par des
relations dfinies, qui rendent possible la combinaison de donnes entre plusieurs tables
durant une requte. Le SQL (Structured Query Language) : le langage standard pour les
traitements de bases de donnes [22].
30
Chapitre III
On a choisi EasyPHP comme outil pour crer la BDD qui constitue le langage
intermdiaire entre cette base et l'utilisateur de la base.
comportement
(login,
classeancienne,
classenouvelle,
Cluster_ancien,
news (actualit) ;
III.
31
Chapitre III
A travers une boutique en ligne et comme dans un magasin rel, on peut choisir
et payer des articles. L'acheteur (qui est obligatoirement un client) doit sinscrire cette
boutique si cest un nouveau client ;
La Figure III.3 prsente linscription dun client :
Chapitre III
Si le client est dj inscrit (client ancien) il suffit donc de se connecter avec son Pseudo
et son mot de passe comme il est montr dans la figure suivante :
Quand le client veut savoir les dtails dun produit il suffit uniquement de glisser
le curseur vers ce dernier. Sil veut lachet, il doit cliquer sur ce produit (ADD TO
BASKETS) et automatiquement va sajout au caddie virtuel (basket) ;
Chapitre III
IV.
Dans cette phase, chaque client sera orient dans une classe base de son profile. La
classification des clients est faite par rapport aux critres suivants : temps de connexion,
prix moyen dachat, frquence dachat ;
Prix moyen dachat P : deux choix sont possibles, P1 si le prix est inferieur
3000 et P2 si le prix est suprieur 3000.
Ces trois critres donnent naissance douze classes diffrentes, chaque client va tre
class aprs la phase dapprentissage dans la classe correspondante parmi les classes
cres,
La Figure III.6 montre les diffrentes classes possibles pour un client.
34
Chapitre III
35
Chapitre III
Cette tape est valable uniquement pour les anciens clients (qui ont t dj classs). Si
lun de ces clients vient de se connecter une nouvelle fois, lIDS va le suivre pour
rcuprer son profil grce au temps de connexion, prix dachat et frquence dachat
afin dobtenir son nouveau comportement (sa nouvelle classe), pour enfin mesurer la
similarit entre son nouveau comportement et son profil dtermin dans la phase
dapprentissage.
Si sa nouvelle classe est diffrente de la classe ancienne, lIDS considre le changement
de classe comme attaque.
Par exemple la table suivante prsente le profile de la cliente Zineb pendant la phase
dapprentissage:
Ici, la cliente Zineb un temps moyen de connexions qui dpasse 30 mn, son prix
moyen dachat est infrieur 3000, il a une frquence dachat moins de 10 produits.
Donc aprs le classement en fonction de ces critres sa nouvelle classe est la classe C5.
Lorsque la cliente Zineb a fait une nouvelle connexion, la table comportement sera
modifie, comme indiqu dans les figures suivantes :
Chapitre III
37
Chapitre III
Dans [31], les auteurs ont utiliss une simple analyse de donnes dont le principe
est de minimiser les faux positifs base dun seuil qui est gal 25% (0,25). Ce seuil
reprsente la valeur max tolre dun changement de profil pour un client donn par
rapport son propre profil pour parler dun faux positif. Si le seuil est dpass, il sagit
dune attaque.
Si par exemple le client Ali a fait un changement de profil de la classe 1 tels que
le temps moyen de connexions lapplication Web est gale 28 mn, le prix moyen
dachat est gale 700, la frquence moyenne dachat est gale 7 vers la classe 5 o
les critres sont : le temps de connexion lapplication Web vaut 30 mn, le prix dachat
est de 810, la frquence dachat est gale 5 alors la valeur de changement (Val) est
calcule comme suit :
Val1=
Val2=
Val3=
|
|
= 0.06
= 0.28
|
= 0.13
Puisque Val est < 0.25 donc ici on parle de faux positif malgr le changement de classes
de C1 C5.
Daprs le PFE de lanne prcdente [31], plus le seuil est petit, plus le nombre de faux
positif est rduit. En effet, on veut amliorer ce travail en utilisant un algorithme qui
permet de rduire le nombre de faux positifs.
38
Chapitre III
Lalgorithme de clustering K-means est lun des plus simples algorithmes qui
permettent de rsoudre le problme de classification bien connu. Cet algorithme de
clustering a t dvellopp par MacQueen en 1967. K-means vise partitionner un
ensemble de donnes fournies en clusters ( k grappes), o k est une constante prdfinie
ou dfinie par lutilisateur. Lide principale est de dfinir k centres de gravit, un pour
chaque cluster.
k-means est un algorithme itratif qui minimise la somme des distances entre
chaque individu et le centrode. Le choix initial des centrodes conditionne le rsultat
final. Admettant un nuage d'un ensemble de points. Afin de construire des catgories de
ce nuage de points, k-Means change les points de chaque cluster jusqu' ce que la
somme ne puisse plus diminuer. Le rsultat est un ensemble de clusters compacts et
clairement spars, sous rserve de choisir la bonne valeur k du nombre de clusters [24].
Algorithme :[24]
o Entre
Ensemble de N donnes, not par x
Nombre de groupes souhait, not par k
o Sortie
Une partition de K groupes {C1, C2, , Ck}
o Dbut
1) Initialisation alatoire des centres ck ;
Rpter
2) Affectation : gnrer une nouvelle partition en assignant chaque objet au groupe
dont le centre est le plus proche ;
Avec
|=
le centre de la classe K ;
39
Chapitre III
1- Parcourir tous les objets afin de les affecter ou les raffecter au cluster appropri en
se basant sur la minimisation de la distance entre l'objet et le centre du cluster.
40
Chapitre III
2- Calculer les centres de chaque cluster puisqu'ils peuvent chang aprs affectation des
objets.
3- Refaire les tapes (3) et (4) jusqu'aucun changement du calcul des centres des
clusters ou une stabilit des objets.
IV.2.2 Organigramme :
41
Chapitre III
Lalgorithme de k-means est trs populaire du fait quil est trs facile
comprendre et mettre en uvre. Il permet de regrouper les points en cluster. Dans
notre projet, on a des classes et non pas des points. Donc le problme qui se pose dans
notre cas cest convertir les classes en points qui ont des dimensions (X, Y). Pour cela,
on a propos de calculer la moyenne des trois critres de chaque classe.
Si T<30 :
Si T>60 :
la moyenne du T=20 mn ;
la moyenne du T=90 mn ;
Si P<3000 :
la moyenne du P=2500 ;
Si P>3000 :
la moyenne du P=3500 ;
Si F<10 :
la moyenne du F=5 ;
Si F>10 :
la moyenne du F=12 ;
42
Chapitre III
Donc daprs cette tape, les classes seront transfres en points suivants :
et de 3 clusters.
43
Chapitre III
Daprs le rsultat de lalgorithme de clustering k-means, les clusters sont les suivant :
Cluster1= {C1, C2}
Cluster2= {C5, C6, C9, C10}
Cluster3= {C3, C4, C7, C8, C11, C12}
Dans cette partie, toujours lIDS observe le comportement du client c'est--dire mesure
la similarit entre sa classe_ancienne et sa nouvelle_classe mais en plus et plus
particulirement mesure la similarit entre son ancien cluster et son nouveau cluster .
Si le client change sa classe dans le mme cluster, aucune alerte nest dclanche, mais
sil change le cluster (c'est--dire Cluster_ancien != Cluster_nouveau), une alerte sera
dclanche et le client sera bloqu et il finit son rle dachats.
La figure III.18 suivante montre le comportement des clients :
44
Chapitre III
Chapitre III
La courbe montre que lalgorithme k-means permet de dtecter plus dattaques et mois
de faux positifs par rapport lapproche comportementale car lalgorithme k-means
permet de classer les objets dans les clusters, donc si le client change leur comportement
dans le mme cluster aucune attaque ni faux positifs sera dclenche.
V.
Conclusion :
46
Conclusion gnrale
La dfense en profondeur des rseaux passe par une bonne stratgie prventive
pour penser ses rseaux et leurs interconnexions de faon scurise. Cette approche doit
tre complte une fois le rseau en opration pour permettre de dtecter des anomalies
qui peuvent tre rvlatrices. [32]
Ce travail ma permis davoir une ide plus claire sur les applications du
domaine de la scurit informatique. On a galement dcouvert les IDS et leurs
approches, plus prcisement lapproche comportementale. Cette application quon a
labore prsente des avantages comme la dtection rapide des anomalies ainsi qu'un
taux de fausses alertes limit.
En outre, il est important de noter que le risque nul d'tre pirat n'existe pas et il
faut s'avoir sappuyer au mieux sur les outils (nouvellement) disponibles afin de tendre
vers cet idal.
47
Rfrences bibliographiques
[1]
[2]
[3]
[4]
[5]
[6]
[7]
[8]
[9]
Rabehi Sidi Mohamed El Amine, Mise en place dun serveur radius sous linux
pour la scurisation dun rseau 802.11 , Projet de fin dtude, Universit Abou
Bakr Belkaid, Tlemcen-Algrie, 2011.
[10]
48
Rfrences bibliographiques
[11]
https://www.google.fr/search?newwindow=1&q=ddata.over-
blog.com%2F...%2F0%2F...%2FIntroduction_a_la_securite_2008_elies.pdf,
consult le : Mai 2013.
[12]
[13]
http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-sg-fr-4/ch-detection.html, consult
le : Juin 2013.
[14]
ACM
Crossroads
Student Magazine,
disponible sur :
[16]
[18]
[19]
Lalaina KUHN, VolP & Security :IPS support de cours, Ecole dIngnieurs
du Canton de Vaud.
[20]
TER Dtection
49
Rfrences bibliographiques
[21]
Algorithmiques
disponible
sur
url :
http://www.researchgate.net/publication/239917861_Les_systemes_de_d'etection_d'intr
usions_principes_algorithmiques.
[22]
[23]
[24]
[25]
[26]
[27]
[28]
http://netbeans.org/.
[29]
50
Rfrences bibliographiques
[30]
http://stuff.mit.edu/afs/athena/project/rhel-doc/4/RH-DOCS/rhel-sg-fr-4/chdetection.html.
[31]
[32]
http://www.securiteinformatique.gouv.fr/autoformations/securite_reseaux_3/co/secu_reseau_3_2.html,
51
52
53
BDD
Base De Donnes
CDDL
CERT
HIDS
HTML
HTTP
IDE
IDS
IP
Internet Protocol
IPS
JSP
KIDS
MVC
NIDS
SQL
SI
Systme dInformation
URL
VPN
XML
54
Rsum :
Un systme de dtection dintrusion (IDS) est un mcanisme coutant le trafic rseau de
manire furtive afin de reprer des activits anormales ou suspectes et permettant aussi
davoir une action de prvention sur les risques dintrusions. Les mthodes de dtection
dintrusions reposent essentiellement sur deux approches : lapproche comportementale
et lapproche par signatures. Chacune des deux prsente des points forts, mais aussi des
faiblesses qui sont les faux positifs et les faux ngatifs. Notre objectif et de grer la
scurit dune application web (boutique en ligne) en utilisant lapproche
comportementale optimis par lalgorithme K-means.
Mots-Clefs : IDS, approche comportementale, approche par signatures, faux positifs,
faux ngatifs et algorithme K-means.
Abstract:
An intrusion detection system (IDS) is a mechanism for listening to the network traffic
stealth to identify anomalous or suspicious activities and to also have a prevention of
the risk of intrusions. The methods of intrusion detection based on two main
approaches: the behavioral approach and the approach signatures. Each of the two has
strengths, but also weaknesses that are false positives and false negatives. Our goal is to
manage the security of a web application (online store) using the optimized K-means
algorithm behavioral approach.
Keywords: IDS, behavioral approach, approach signatures, false positives, false
negatives and K-means algorithm.
:8 :5
, 5 78 $ +
2 7 @ " AB C
E 5+
:8 1 ' 2 (G
" # $ ('
9 ' .
( IDS)
" $ + , - ! 1 2 3 4
D = 3 5# - > =
# H $ + 7 ?) 9 E
8;?
. ; :8
5?; B .
"
.K-means ?"
" 2 7 @ " ; :8
:8
K-means ?"