Détection des intrusions : vers moins d empirisme

Détection des intrusions : vers moins d empirisme Ludovic Mé ludovic.me@supelec.fr http://www.rennes.supelec.fr/ren/perso/lme/ Novembre 2009 logo Ludovic Mé - ludovic.me@supelec.fr D.I. : vers moins d empirisme / Nice, M2 IFI 1

Sécurité : proaction et réaction Démarche de sécurisation d un S.I. Définir une politique de sécurité Mettre en œuvre cette politique Surveiller afin d assurer son respect : Identifier a priori les failles de sécurité : surveillance statique scanner de vulnérabilités Analyser a posteriori ce qui s est produit afin de détecter d éventuelles intrusions : surveillance dynamique intrusion detection systems (IDS) Ludovic Mé - ludovic.me@supelec.fr D.I. : vers moins d empirisme / Nice, M2 IFI 2

Objectifs de la présentation 1 Présentation de la D.I. et de son coté empirique 2 Quelques rares travaux plus «formels» 3 Un modèle de détection proposé à Supélec 4 Intégration à ce modèle de la dynamicité de la politique Ludovic Mé - ludovic.me@supelec.fr D.I. : vers moins d empirisme / Nice, M2 IFI 3

Détecter des intrusions? Source de données Activité Sonde Vulnérabilité Capteur événement Analyseur alerte Attaque Manager Ludovic Mé - ludovic.me@supelec.fr D.I. : vers moins d empirisme / Nice, M2 IFI 4

Principe de détection Approche par signatures d attaque (misuse detection) Modèle d attaques (base de signatures == symptômes d attaques dans activités observées) Alerte si présence de symptôme(s) Dans la pratique : analyseur == (multiple-)pattern matching Question : attaque intrusion? Approche comportementale (anomaly detection) Modèle des comportements légaux Alerte si activité observée hors des comportements normaux Dans la pratique : analyseur == apprentissage et modèle statistique Question : légal usuel? Ludovic Mé - ludovic.me@supelec.fr D.I. : vers moins d empirisme / Nice, M2 IFI 5

Modèle d attaques : exemple CVE-2001-0144 : allows remote attackers to execute arbitrary commands on an SSH server or client via an integer overflow Faute de conception dans SSH 1.5 trouvé en 98 Problème non patchable car touchant à la sémantique même du protocole D où mise en place dans SSH1 d une fonction de détection de l exploitation de la dite vulnérabilité En 2001, une autre vulnérabilité est découverte dans cette fonction de détection (permet l exécution d un code qcq coté client ou coté serveur) Signature snort pour cette seconde vulnérabilité alert tcp $EXTERNAL NET any $HOME NET 22 (msg :"EXPLOIT ssh CRC32 overflow NOOP" ; flow :to server,established ; content :" 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 " ; reference :bugtraq,2347 ; reference :cve,cve-2001-0144 ; classtype :shellcode-detect ; sid :1326 ; rev :3 ;) Ludovic Mé - ludovic.me@supelec.fr D.I. : vers moins d empirisme / Nice, M2 IFI 6

Modèle de comportements normaux : exemple 1 [Wang et Stolfo, Anomalous Payload-based Network Intrusion, RAID 2004] Modèle == fréquence d apparition des octets dans un flux http Détection : «each incoming payload is scanned and its byte value distribution is computed. This new payload distribution is then compared against model [ndlr : Mahalanobis Distance] ; if the distribution of the new payload is significantly different from the norm, the detector flags the packet as anomalous and generates an alert» Ludovic Mé - ludovic.me@supelec.fr D.I. : vers moins d empirisme / Nice, M2 IFI 7

Modèle de comportements normaux : exemple 2 [Forrest et al., A Sense of Self for Unix Processes, SSP 1996] Suite de syscalls : open, read, mmap, mmap, open, getrlimit, mmap,... Suite de N-grams : open read mmap mmap read mmap mmap open mmap mmap open getrlimit mmap open getrlimit mmap.... sendmail modélisé de manière «stable» avec 1500 6-grams Taille idéale des N-grams? Kymie M. C. Tan, Roy A. Maxion : Why 6?. IEEE Symposium on Security and Privacy. 2002 Ludovic Mé - ludovic.me@supelec.fr D.I. : vers moins d empirisme / Nice, M2 IFI 8

Propriétés attendues de l analyse Pour détecter quoi? Les violations de la politique de sécurité en vigueur Fiabilité Attaque alerte Pas de faux négatif (attaque non détectée) Pertinence Alerte attaque Pas de faux positif (fausse alerte) Contraintes (Quasi-)temps réel Ressources limitées Ludovic Mé - ludovic.me@supelec.fr D.I. : vers moins d empirisme / Nice, M2 IFI 9

Manque de fiabilité et/ou de pertinence si modèle incomplet ou incorrect Faux positif Approche par scénarios Actions illégales Modèle de comportement Faux positif Faux negatif Base de signatures Actions légales Approche comportementale Faux negatif Ludovic Mé - ludovic.me@supelec.fr D.I. : vers moins d empirisme / Nice, M2 IFI 10

Fiabilité et pertinents des approches classiques Approche par scénarios (Misuse Detection) + Pas parfaitement fiable, mais peu de faux négatifs - Fiabilité décroît si base de signatures mal maintenue (et évidemment problème pour les attaques nouvelles «zero day» ) - Pertinence en théorie bonne, mais faible en pratique (utilisation de signatures trop génériques pour minimiser la consommation de ressources) Approche comportementale par apprentissage (Anomaly Detection) + Pas parfaitement fiable, mais peu de faux négatifs + Capacité de détection des zero day - Faible pertinence (problème des changements de contexte) - Pas de diagnostic associé aux alertes Ludovic Mé - ludovic.me@supelec.fr D.I. : vers moins d empirisme / Nice, M2 IFI 11

Alors? Coopération inter-analyseur Corrélation logico-temporelle d alertes Très nombreux travaux... toujours aussi empiriques... Améliorer la qualité des analyseurs Corrélation d événements (pattern matching multi-événements) Amélioration du mécanisme d apprentissage Approches comportementales alternatives : Détection basée sur la spécification explicite implicite Détection basée sur la politique de sécurité Ce qui nous paraît nécessaire Preuve des capacités de détection Ludovic Mé - ludovic.me@supelec.fr D.I. : vers moins d empirisme / Nice, M2 IFI 12

1 Présentation de la D.I. et de son coté empirique 2 Quelques rares travaux plus «formels» 3 Un modèle de détection proposé à Supélec 4 Intégration à ce modèle de la dynamicité de la politique Ludovic Mé - ludovic.me@supelec.fr D.I. : vers moins d empirisme / Nice, M2 IFI 13

Détection basée sur la spécification Principe Spécification du comportement d un programme == expression pour ce programme des contraintes imposées par la politique de sécurité [Execution monitoring of security-critical programs in a distributed system. C.Ko, M.Ruschitzka, and K.Levitt. SSP 97] The valid operation sequences of subjects are specified in terms of grammars whose alphabets are system operations. We developed a novel type of grammar, parallel environment grammars (PE-grammars), for specifying trace policies. [Experiences with Specification-Based Intrusion Detection. P.Uppuluri and R.Sekar. RAID 2001] We can increase the effectiveness of the intrusion detection system by developing more precise specifications [of programs] parameterized with respect to system calls as well as their arguments. By appropriately instantiating these parameters, such specifications can be used to monitor almost any program. Ludovic Mé - ludovic.me@supelec.fr D.I. : vers moins d empirisme / Nice, M2 IFI 14

Détection basée sur la politique de sécurité Principe Etant donnés : un modèle du système surveillé un modèle de la politique de sécurité en vigueur sur ce système un modèle de détection (c-à-d de l algorithme de détection) «preuve» de fiabilité et de pertinence de la détection [Noninterference and Intrusion Detection, C.Ko and T.Redmond, SSP 2002] Modélisation du système par une machine à état Modélisation d une politique d intégrité par une propriété de non-interférence La détection des violations de cette politique peut être réalisée par un algorithme prouvé par un théorème de déroulement Ludovic Mé - ludovic.me@supelec.fr D.I. : vers moins d empirisme / Nice, M2 IFI 15

1 Présentation de la D.I. et de son coté empirique 2 Quelques rares travaux plus «formels» 3 Un modèle de détection proposé à Supélec 4 Intégration à ce modèle de la dynamicité de la politique Ludovic Mé - ludovic.me@supelec.fr D.I. : vers moins d empirisme / Nice, M2 IFI 16

L approche «Supélec» : dans quel contexte? La politique est «spécifiée» par les droits DAC Car DAC est universellement utilisé...... mais est contournable si on cherche à violer confidentialité et/ou intégrité Vivre avec DAC... F 1 F 2 F 3 Alice {r, w} {r} Bob {r, w} {r, w } Charlie {r, w} {r, w } Question : un flux d information de F 1 vers F 3 est-il légal? Réponse : voilà qui est sujet à interprétation... la politique est-elle transitive, ou non? Devrait-elle l être? Faut-il empêcher un tel flux? Ou bien seulement le détecter? Comment le détecter? Ludovic Mé - ludovic.me@supelec.fr D.I. : vers moins d empirisme / Nice, M2 IFI 17

L approche «Supélec» : pour détecter quoi? Les attaques par délégation Exemple bien connue, l attaque (patchée) contre le démon d impression (lpd) : permet d imprimer un fichier non lisible Principe de délégation d actions chaque action est unitairement légale...... mais le(s) flux d information engendré(s) viole(nt) la confidentialité ou l intégrité, c-à-d la politique Ludovic Mé - ludovic.me@supelec.fr D.I. : vers moins d empirisme / Nice, M2 IFI 18

L approche «Supélec» : démarche globale Contrôler les flux d information engendrés sur une machine DAC 1 Définir les 3 modèles : système, politique (de flux), détection 2 Prouver fiabilité et pertinence sous réserve d observation exacte des flux d information 3 Outiller un OS discrétionnaire (linux) pour suivre les flux réels et détecter des attaques Interpréter DAC en terme de flux d information pour inférer une politique de flux concrète 4 Eventuellement raffiner l implémentation Puis, par extension Contrôle du respect de politiques non transitives Ludovic Mé - ludovic.me@supelec.fr D.I. : vers moins d empirisme / Nice, M2 IFI 19

Modèle du système Un ensemble de conteneur d information Des informations initialement présentes dans ces conteneurs (et considérées ensuite de manière atomique) Des opérations (abstraction des appels système) qui engendrent des flux d information d un ensemble de conteneur vers un autres (par forcément disjoint) ensemble de conteneur Ludovic Mé - ludovic.me@supelec.fr D.I. : vers moins d empirisme / Nice, M2 IFI 20

Modèle de la politique CCAL (Contents - Container Authorised Link) Permet de définir les associations légales contenus/conteneurs On exprime une politique de flux à l aide de CCAL ex : le CCAL ({i 1, i 2, i A }, {c 1, c A }) exprime le fait que les informations i 1, i 2, i A ont le droit d aller dans les conteneurs c 1 et c A. Interprétation d une politique de contrôle d accès discrétionnaire en politique de flux exprimable par des CCAL o 1 o 2 o 3 s A rw - - s B r rw rw s C - rw - Objet == 1 conteneur, 1 contenu CCAL A =({i 1, i A }, {c 1, c A }) CCAL B =({i 1, i 2, i 3, i B }, {c 2, c 3, c B }) CCAL C =({i 2, i C }, {c 2, c C }) Ludovic Mé - ludovic.me@supelec.fr D.I. : vers moins d empirisme / Nice, M2 IFI 21

Tags de sécurités et détection de flux illégaux Notion de tag Projection de la politique sur les objets : projection sur le contenu : tag en lecture projection sur le conteneur : tag en écriture Tag en lecture Définit l ensemble des conteneurs vers lesquels le contenu de o peut s écouler Tag en écriture Définit quelles informations peuvent s écouler vers le conteneur de o Ludovic Mé - ludovic.me@supelec.fr D.I. : vers moins d empirisme / Nice, M2 IFI 22

Modèle de détection Détection de flux illégitimes Alerte ssi intersection vide entre tag(s) en lecture et tag en écriture En effet, dans ce cas, les CCAL n expriment pas simultanément que l information peut partir des sources et arriver dans le puit Propagation des tags en cas de flux d information L intersection des tags en lecture des sources est propagée aux puits Le tag en lecture suit l information à tout moment, le contenu réel de o est une partie de l intersection des I des CCAL constituant ce tag Ludovic Mé - ludovic.me@supelec.fr D.I. : vers moins d empirisme / Nice, M2 IFI 23

Ex : initialisation des tags o 1 o 2 o 3 s A rw - - s B r rw rw s C - rw - CCAL A =({i 1, i A }, {c 1, c A }) CCAL B =({i 1, i 2, i 3, i B }, {c 2, c 3, c B }) CCAL C =({i 2, i C }, {c 2, c C }) Tags initiaux des différents conteneurs TAG en lecture TAG en écriture o 1 (CCAL A,CCAL B ) (CCAL A ) o 2 (CCAL B,CCAL C ) (CCAL B, CCAL C ) o 3 (CCAL B ) (CCAL B ) o A (CCAL A ) (CCAL A ) o B (CCAL B ) (CCAL B ) o C (CCAL C ) (CCAL C ) Ludovic Mé - ludovic.me@supelec.fr D.I. : vers moins d empirisme / Nice, M2 IFI 24

Ex : propagation des tags en fonction des flux (1/2) Etat initial TAG en lecture TAG en écriture o 1 (CCAL A,CCAL B ) (CCAL A ) o 2 (CCAL B,CCAL C ) (CCAL B, CCAL C ) o 3 (CCAL B ) (CCAL B ) o A (CCAL A ) (CCAL A ) o B (CCAL B ) (CCAL B ) o C (CCAL C ) (CCAL C ) TAG en lecture TAG en écriture o 1 (CCAL A,CCAL B ) (CCAL A ) o 2 (CCAL B,CCAL C )(CCAL B ) (CCAL B, CCAL C ) o 3 (CCAL B ) (CCAL B ) o A (CCAL A ) (CCAL A ) o B (CCAL B ) (CCAL B ) o C (CCAL C ) (CCAL C ) Ludovic Mé - ludovic.me@supelec.fr D.I. : vers moins d empirisme / Nice, M2 IFI 25

Ex : propagation des tags en fonction des flux (2/2) TAG en lecture TAG en écriture o 1 (CCAL A,CCAL B ) (CCAL A ) o 2 (CCAL B ) (CCAL B, CCAL C ) o 3 (CCAL B ) (CCAL B ) o A (CCAL A ) (CCAL A ) o B (CCAL B ) (CCAL B ) o C (CCAL C ) (CCAL C ) TAG en lecture TAG en écriture o 1 (CCAL A,CCAL B ) (CCAL A ) o 2 (CCAL B ) (CCAL B, CCAL C ) o 3 (CCAL B ) (CCAL B ) o A (CCAL A ) (CCAL A ) o B (CCAL B ) (CCAL B ) o C (CCAL C ) (CCAL C ) Ludovic Mé - ludovic.me@supelec.fr D.I. : vers moins d empirisme / Nice, M2 IFI 26

Discussion Détection vraiment temps réel Les maillons de la «chaîne d attaque» peuvent être très espacés dans le temps «Retours arrières» possibles Permet aussi la détection d attaques à distance (remote) Ludovic Mé - ludovic.me@supelec.fr D.I. : vers moins d empirisme / Nice, M2 IFI 27

Résultats obtenus Formalisation Flux d information engendrés par des actions sur un système utilisant DAC Politique de flux engendrée par une politique d accès Propriété d une politique de contrôle d accès : accès aux objets versus accès à l information contenue dans les objets Si cette propriété n est pas vérifiée : détection modèle de détection Modèle de détection Preuve qu un flux est légal ssi l intersection des tags entre sources et puits est non vide Détection fiable et pertinente sous réserve d observation exacte des flux Implémentations Expérimentations : détection des attaques engendrant des flux illégaux observables et discernables atténue la fiabilité et la pertinence Deux implémentations à deux niveau de granularité pour raffiner l observation des flux Ludovic Mé - ludovic.me@supelec.fr D.I. : vers moins d empirisme / Nice, M2 IFI 28

1 Présentation de la D.I. et de son coté empirique 2 Quelques rares travaux plus «formels» 3 Un modèle de détection proposé à Supélec 4 Intégration à ce modèle de la dynamicité de la politique Ludovic Mé - ludovic.me@supelec.fr D.I. : vers moins d empirisme / Nice, M2 IFI 29

Prise en compte des changements de politique d accès Si modification de la politique de contrôle d accès : Adapter la politique de flux en fonction de cette modification Changement d un droit sur un objet quelle interprétation donner en termes d information et de flux? Plusieurs interprétations possibles Une interprétation des modifications de droit d accès Ajout d un droit en lecture (+r,s,o) le contenu initial de o peut maintenant légalement s écouler, seul ou mélangé aux informations initiales couramment lisible par s, vers tous les objets dans lesquels s peut écrire Ajout d un droit en écriture (+w,s,o) toute information initiale lisible actuellement par s ou tout mélange de ces informations peut maintenant s écouler vers o Retrait d un droit en lecture (-r,s,o) l information initialement contenue par o ne peut plus s écouler vers des objets dans lesquels s peut actuellement écrire, sauf si autorisé pour un autre utilisateur Retrait d un droit en écriture (-w,s,o) ne peut plus s écouler vers o toute information initiale actuellement lisibles par s, seule ou mélanger à une autre information, sauf si autorisé pour un autre utilisateur Ludovic Mé - ludovic.me@supelec.fr D.I. : vers moins d empirisme / Nice, M2 IFI 30

Modification de la politique de contrôle de flux en cas d ajout de droit Notations I 0 s == info initiale des objets lisibles par le sujet s I 0 o == info initiale de l objet o Cs n i == o/(w, s i, o) == ensemble des objets dans lesquels s i peut écrire couramment Interprétation en termes de flux d un ajout de droit d accès (+r,s i,o j ) le contenu initial de o j peut maintenant légalement s écouler, seul ou mélangé aux informations initiales couramment lisible par s i, vers tous les objets dans lesquels ) s peut écrire P n+1 = P n (I s 0 {I 0 oj }, C n si (+w,s i,o j ) toute information initiale lisible actuellement par s i ou tout mélange de ces informations peut maintenant s écouler vers o j P n+1 = P n ( I 0 s i, C n s i {o j } ) Ludovic Mé - ludovic.me@supelec.fr D.I. : vers moins d empirisme / Nice, M2 IFI 31

Modification de la politique de contrôle de flux en cas de retrait de droit Interprétation en termes de flux d un retrait de droit d accès (-r,s i,o j ) (I, C) P n : 0 1 B si C @ S s k s i I 0 o j I 0 s k C n s k (I \ Io 0 B B j, C) et @I, C @ C A = :(I, C) devient (I \ Io 0 j, C) sinon : (I, C) 0 remplacé 0 par : 11 S s k s i I 0 o j I 0 s k C n s k CC AA (-w,s i,o j ) (I, C) P n : 0 1 S si I @ A = :(I, C) devient (I, C \{o j }) s k s i o j C n s k I 0 s k sinon : (I, C) remplacé 0 0 par : S (I, C \{o j }) et @I @ s k s i o j C n s k I 0 s k 1 1 A, CA Ludovic Mé - ludovic.me@supelec.fr D.I. : vers moins d empirisme / Nice, M2 IFI 32

Nécessité d un troisième tag Toute modif. de politique se fait par ajout et/ou retrait de CCAL Retrait de CCAL k =(I k, C k ) de la politique de flux Retrait du CCAL partout où il apparaît (retrait d un droit, qqsoit contenu courant des objets) Ajout de CCAL k =(I k, C k ) à la politique de flux Où ajouter le CCAL? Aux tags en lecture des objets qui contiennent couramment I k Aux tags en écriture des objets dont le conteneur apparaît dans C k Pour l ajout Nécessité de doter chaque objet d un nouveau tag permettant de savoir quelles sont les informations courantes contenues dans un objet Ludovic Mé - ludovic.me@supelec.fr D.I. : vers moins d empirisme / Nice, M2 IFI 33

Ex : tag info initial et après un flux Après o 3 o 2 TAG en lecture TAG en écriture TAG info Etat initial TAG en lecture TAG en écriture TAG info o 1 (CCAL A,CCAL B ) (CCAL A ) i 1 o 2 (CCAL B,CCAL C ) (CCAL B, CCAL C ) i 2 o 3 (CCAL B ) (CCAL B ) i 3 o A (CCAL A ) (CCAL A ) i A o B (CCAL B ) (CCAL B ) i B o C (CCAL C ) (CCAL C ) i C o 1 (CCAL A,CCAL B ) (CCAL A ) i 1 o 2 (CCAL B ) (CCAL B, CCAL C ) i 3 o 3 (CCAL B ) (CCAL B ) i 3 o A (CCAL A ) (CCAL A ) i A o B (CCAL B ) (CCAL B ) i B o C (CCAL C ) (CCAL C ) i C Ludovic Mé - ludovic.me@supelec.fr D.I. : vers moins d empirisme / Nice, M2 IFI 34

Exemple de modification de politique Modif. de la politique d accès : (+r, s C, o 3 ) o 1 o 2 o 3 s A rw - - s B r rw rw s C - rw Ajout du CCAL ( I 0 s C {I 0 o 3 }, C n s C ) = ((i3, i C ), (c 2, c C )) Ajout au tag en lecture des objets dont le tag info contient i 3 ou i C (donc o 2, o 3 et o C ) et au tag en écriture des objets dont le conteneur est c 2 ou c C (donc o 2 et o C ) Soit, nouvel état : TAG en lecture TAG en écriture Info o 1 (CCAL A,CCAL B ) (CCAL A ) i 1 o 2 (CCAL B, ((i 3, i C ), (c 2, c c))) (CCAL B, CCAL C, ((i 3, i C ), (c 2, c c))) i 3 o 3 (CCAL B, ((i 3, i C ), (c 2, c c))) (CCAL B ) i 3 o A (CCAL A ) (CCAL A ) i A o B (CCAL B ) (CCAL B ) i B o C (CCAL C, ((i 3, i C ), (c 2, c c))) (CCAL C, ((i 3, i C ), (c 2, c c))) i C r Ludovic Mé - ludovic.me@supelec.fr D.I. : vers moins d empirisme / Nice, M2 IFI 35

Impact de la modification de politique Etat atteint TAG en lecture TAG en écriture Info o 1 (CCAL A,CCAL B ) (CCAL A ) i 1 o 2 (CCAL B, ((i 3, i C ), (c 2, c c))) (CCAL B, CCAL C, ((i 3, i C ), (c 2, c c))) i 3 o 3 (CCAL B, ((i 3, i C ), (c 2, c c))) (CCAL B ) i 3 o A (CCAL A ) (CCAL A ) i A o B (CCAL B ) (CCAL B ) i B o C (CCAL C, ((i 3, i C ), (c 2, c c))) (CCAL C, ((i 3, i C ), (c 2, c c))) i C o 2 o c Pas d alerte car intersection non vide entre tag en lecture de o 2 et o C et tag en écriture de o C Ludovic Mé - ludovic.me@supelec.fr D.I. : vers moins d empirisme / Nice, M2 IFI 36

Impact sur la fiabilité et la pertinence Preuve de fiabilité et pertinence faite pour l interprétation présentée de la modification de politique de flux en fonction de la modification de la politique d accès On détecte toujours les flux illégitimes Toujours la même réserver : l observation exacte des flux Ludovic Mé - ludovic.me@supelec.fr D.I. : vers moins d empirisme / Nice, M2 IFI 37

Conclusion Bilan Un modèle permettant d envisager une détection fiable et pertinent, même en cas de modification de la référence que constitue la politique de contrôle d accès Des «preuves» de fiabilité et pertinence Bien sûr sous l hypothèse d une observation exact des flux Moins d empirisme dans le domaine de la détection d intrusions Perspectives Spécification de la politique de plus haut niveau (ORBAC) Preuves formelles (c-à-d mécanisée)? Application à la surveillance d objets de haut niveau (web services) Diagnostic des alertes émises Ludovic Mé - ludovic.me@supelec.fr D.I. : vers moins d empirisme / Nice, M2 IFI 38

Pour en savoir plus... Des publis G.Hiet, V.Viet Triem Tong, and L.Mé. Policy-Based Intrusion Detection in Web Applications by Monitoring Java Information Flows. 3nd International Conference on Risks and Security of Internet and Systems (CRISIS). October 2008. G.Hiet, V.Viet Triem Tong, B.Morin and L.Mé. Monitoring both OS and Program Level Information Flows to Detect Intrusions against Network Servers. 2nd workshop on MONitoring, Attack detection and Mitigation, (MonAM). November 2007. G.Hiet, L.Mé, J.Zimmermann, C.Bidan, B.Morin et V.Viet Triem Tong. Détection fiable et pertinente de flux d information illégaux. 6th Conference on Security and Network Architectures (SARSSI). Juin 2007. J.Zimmermann, L.Mé, and C.Bidan. Experimenting with a Policy-Based HIDS Based on an Information Flow Control Model. In proceedings of the Annual Computer Security Applications Conference (ACSAC). December 2003. J.Zimmermann, L.Mé, and C.Bidan. An Improved Reference Flow Control Model for Policy-Based Intrusion Detection. In proceedings of the 8th European Symposium on Research in Computer Security (ESORICS). October 2003. Encore plus? La thèse de Guillaume Hiet... Guillaume Hiet. Détection d intrusions paramétrée par la politique de sécurité grâce au contrôle collaboratif des flux d informations au sein du système d exploitation et des applications : mise en œuvre sous Linux pour les programmes Java. Thèse de l Université de Rennes 1. Co-direction de L.Mé et V.Viet Triem Tong, Supélec. 2008. Ludovic Mé - ludovic.me@supelec.fr D.I. : vers moins d empirisme / Nice, M2 IFI 39

Détection des intrusions : vers moins d empirisme Ludovic Mé ludovic.me@supelec.fr http://www.rennes.supelec.fr/ren/perso/lme/ Novembre 2009 Ludovic Mé - ludovic.me@supelec.fr D.I. : vers moins d empirisme / Nice, M2 IFI 40