Gestion de la sécurité : une nouvelle approche par système multi-agents
-
Upload
sawyer-jefferson -
Category
Documents
-
view
87 -
download
0
description
Transcript of Gestion de la sécurité : une nouvelle approche par système multi-agents
Karima Boudaoud, Charles McCathieNevile
CUI- Université de Genève/ W3C-INRIA
GRES ’2001 - Marrakech - Maroc
Gestion de la sécurité : une nouvelle approche par système multi-agents
2
Problématique
Systèmes multi-agents
Système multi-agents pour la gestion de la sécurité
Conclusion
Plan
3
ProblématiqueProblématique
Systèmes multi-agents
Système multi-agents pour la gestion de la sécurité
Conclusion
Plan
4
Organisations
Gestion de SécuritéGestion de Sécurité
Utilisateurs
Attaques RéseauxSystèmes
Services
Complexité
Une solution Une solution plus efficaceplus efficace
Problématique
5
Mise en place de mécanismes préventifs Protection des données et des ressources
Mise en place de politiques de sécurité Définition et application des politiques de sécurité Violation d’une politique = attaqueViolation d’une politique = attaque
Mise en place d ’outils de sécurité Détection des attaques de sécurité Systèmes de détection d’intrusions (SDI)Systèmes de détection d’intrusions (SDI)
Mise en place de mécanismes de réponse Mesures à prendre en cas d’attaque
Gestion de la sécurité
6
Collectelocale
Entités desurveillance
SDIs centralisés
Architecture Monolithique
+ Analyse
centraliséeEntitécentrale
SDIs distribués
Architecture Distribuée
Détectionlocale
Entités d’analyse
+ Coopération(information)
Pas d’entitécentrale
Systèmes de détection d’intrusions (1)
7
Difficulté demise à jour
Nouvelles méthodesde détection
Difficulté de s’adapter aux changements
Evolutiondu comportementdes utilisateurs
Nouvelles ressources/applications
+
SDIs Traditionnels
En cas d’attaque/défaillance
Un point de rupture
Déploiementà grande échelle
Analysepar une seule entité
Systèmes de détection d’intrusions (2)
8
Solution idéale
Réseaux et systèmes dynamiques
Adaptée à l’évolutionet à la dynamicité
des besoins de sécurité
Futurs SDIsFuturs SDIsAdaptatifs & FlexiblesAdaptatifs & Flexibles
SDI existantsRéseaux et systèmes
bien définis
Non adaptés à des environnements
dynamiques
Systèmes de détection d’intrusions (3)
9
Distribution attaques = comportements anormaux sur différents éléments du
réseau détection par un seul système = trop compliqué + beaucoup
d’échanges de messages distribuer les fonctions de surveillance parmi plusieurs distribuer les fonctions de surveillance parmi plusieurs
entitésentités
Autonomie distribution des données = trafic de données excessif
(problème de congestion) analyse locale + détection comportement intrusif local utiliser des entités autonomesutiliser des entités autonomes
Caractéristiques idéales d’un SDI (1)
10
Délégation dynamicité des réseaux = adapter les tâches de gestion de
sécurité délégation continue de nouvelles tâches de détection déléguer la détection des attaques aux entités autonomesdéléguer la détection des attaques aux entités autonomes
Communication et Coopération difficulté pour une entité individuelle de détecter les attaques
réparties besoin de corréler les analyses faites par les entités autonomes communiquer + coopérer = détection coordonnée des communiquer + coopérer = détection coordonnée des
attaquesattaques
Caractéristiques idéales d’un SDI
(2)
11
Problématique
Systèmes multi-agentsSystèmes multi-agents
Système multi-agents pour la gestion de la sécurité
Conclusion
Plan
12
Coopération AgentAgent
Autonomie
Pro-activité
SociabilitéAdaptabilité
Réactivité Délégation
Communication
Coordination
SMASMA
Les systèmes multi-agents
13
Un système multi-Un système multi-agents pour la agents pour la gestion de la gestion de la
sécuritésécurité
Similitudes Caractéristiquesd’un bon SDI
Propriétés des SMAs
Solution proposée
14
Problématique
Systèmes multi-agents
Système multi-agents pour la gestion Système multi-agents pour la gestion de la sécuritéde la sécurité
Conclusion
Plan
15
Conception SMAConception SMA(J. Ferber, D. Kinny, M. Wooldridge)
• Spécifier les politiquesSpécifier les politiques• Identifier les attaquesIdentifier les attaques• Distribuer la tâche de détectionDistribuer la tâche de détection• Détecter les attaquesDétecter les attaques
Structure organisationnelle Architecture interne
Rôles Interactions Attitudes mentales
Fonctions
Système multi-agents proposé
16
Groupegestionnaire
Groupesurveillantlocal
Administrateur
Agent gestionnaire intermédiaire
Agent gestionnaire global
Agent gestionnaire des politiques de sécurité
Agent local
Agent gestionnaire intermédiaire
Dépendance hiérarchiqueReports d’informations Communication & coopération agents
Agent local
Agent local
Agent local
Modèle organisationnel
17
Architectures Agents
Agents réactifs Agents hybrides Agents délibératifs • réaction rapide pour des problèmes simples• pas de raisonnement complexe
• solution pour des problèmes complexes• capacité de raisonnement
agents délibératifs + réactifs
Architecture choisiedétection rapided’attaques simples
détectiond’attaques complexes
Architectures d’agents
18
FiltrageFiltrage DélibérationDélibération
DiagnosticDiagnostic
Evénementsde sécurité
Evénementsfiltrés
Rapports/alarmes
Informations
Agent/ administrateur
RéseauxActions
CoordinationCoordination
Architecture interne d’un agent
19
Problématique
Systèmes multi-agents
Système multi-agents pour la gestion de la sécurité
ConclusionConclusion
Plan
20
Systèmes de détection d’intrusions difficulté des SDIs de s’adapter à des environnements dynamiques nécessité de systèmes flexibles + adaptatifs
Solution similitudes entre propriétés SMAs et caractéristiques d’un bon SDI systèmes multi-agents approprié pour remplir les nouveaux besoins systèmes multi-agents approprié pour remplir les nouveaux besoins
de sécuritéde sécurité
Travaux courants implémentation d’un prototype pour la détection d’attaques connues, en
utilisant la plate-forme DIMA (Z. Guessoum, LIP6-France)
Travaux futurs implémentation d’un algorithme d’apprentissage pour la détection
d’attaques non connues
Conclusion