Formalization and guaranty of system security properties : application to the detection of intrusions
Formalisation et garantie de propriétés de sécurité système : application à la détection d'intrusions
Résumé
In this thesis, we are interested in the guaranty of the properties of integrity and confidentiality of an information system. We first of all propose a language of description of the system activities used as a basis for the definition of a set of security properties. This language rests on a notion of causal dependence between system calls and on operators of correlation. Thanks to this language, we can define all the system security properties classically met in the literature, extend these properties and propose news of them. In order to guaranty the respect of these properties, an implementation of this language is presented. We prove that this implementation captures all the dependences perceptible by a system. This method thus makes it possible to enumerate the whole of the possible violations of the properties expressed by our language. Our solution exploits the definition of an access control policy in order to compute various graphs. These graphs contain the terminals of the language and make it possible to guaranty the respect of the properties. We then use this method to provide a system of detection of intrusions which detects the effective violations of the properties. The tool can re-use the access control policies available for various target systems DAC (Windows, Linux) or MAC such as SELinux and grsecurity. This tool was tested on a honeypot during several months and makes it possible to detect the violations of the desired properties.
Dans cette thèse, nous nous intéressons à la garantie des propriétés d'intégrité et de confidentialité d'un système d'information.
Nous proposons tout d'abord un langage de description des activités système servant de base à la définition d'un ensemble de propriétés de sécurité.
Ce langage repose sur une notion de dépendance causale entre appels système et sur des opérateurs de corrélation.
Grâce à ce langage, nous pouvons définir toutes les propriétés de sécurité système classiquement rencontrées dans la littérature, étendre ces propriétés et en proposer de nouvelles.
Afin de garantir le respect de ces propriétés, une implantation de ce langage est présentée.
Nous prouvons que cette implantation capture toutes les dépendances perceptibles par un système.
Cette méthode permet ainsi d'énumérer l'ensemble des violations possibles des propriétés modélisables par notre langage.
Notre solution exploite la définition d'une politique de contrôle d'accès afin de calculer différents graphes.
Ces graphes contiennent les terminaux du langage et permettent de garantir le respect des propriétés exprimables.
Nous utilisons alors cette méthode pour fournir un système de détection d'intrusion qui détecte les violations effectives des propriétés.
L'outil peut réutiliser les politiques de contrôle d'accès disponibles pour différents systèmes cibles DAC (Windows, Linux) ou MAC tels que SELinux et grsecurity.
Cet outil a été expérimenté sur un pot de miel durant plusieurs mois et permet de détecter les violations des propriétés souhaitées.
Nous proposons tout d'abord un langage de description des activités système servant de base à la définition d'un ensemble de propriétés de sécurité.
Ce langage repose sur une notion de dépendance causale entre appels système et sur des opérateurs de corrélation.
Grâce à ce langage, nous pouvons définir toutes les propriétés de sécurité système classiquement rencontrées dans la littérature, étendre ces propriétés et en proposer de nouvelles.
Afin de garantir le respect de ces propriétés, une implantation de ce langage est présentée.
Nous prouvons que cette implantation capture toutes les dépendances perceptibles par un système.
Cette méthode permet ainsi d'énumérer l'ensemble des violations possibles des propriétés modélisables par notre langage.
Notre solution exploite la définition d'une politique de contrôle d'accès afin de calculer différents graphes.
Ces graphes contiennent les terminaux du langage et permettent de garantir le respect des propriétés exprimables.
Nous utilisons alors cette méthode pour fournir un système de détection d'intrusion qui détecte les violations effectives des propriétés.
L'outil peut réutiliser les politiques de contrôle d'accès disponibles pour différents systèmes cibles DAC (Windows, Linux) ou MAC tels que SELinux et grsecurity.
Cet outil a été expérimenté sur un pot de miel durant plusieurs mois et permet de détecter les violations des propriétés souhaitées.
Fichier principal
thesis.pdf (3.15 Mo)
Télécharger le fichier
piga.pdf (939.82 Ko)
Télécharger le fichier
Format : Autre