Surveillance Distribuée pour la Sécurité d’un Réseau...

Département : Informatique

THESE DE DOCTORAT

Spécialité Informatique

Option : Sécurité Informatique

Intitulé :

Présenté par : Benahmed Khelifa Encadrement : Haffaf Hafid

Devant les membres du jury :

Président : Rahmouni Mustapha kemal Professeur - Université d’Oran

Directeur de thèse : Haffaf Hafid Professeur - Université d’Oran

Examinateur : Feham Mohamed Professeur -Université de Tlemcen

Examinateur : Benmohamed Mohamed Professeur - Université de Constantine

Examinateur : Ghoualmi Nacira Maitre de conférence –A- - Université d’Annaba

Examinateur : Kechar Bouabdellah Maitre de conférence –A- -Université d’Oran

Année universitaire 2010/2011

Surveillance Distribuée pour la Sécurité d’un Réseau de Capteurs Sans Fil

A la mémoire de mes parents.

A ma petite famille.

Résumé Les progrès technologiques réalisées ces dernières années dans les réseaux sans fil ont conduit au développement d’une nouvelle génération de réseaux ad hoc, appelés réseaux de capteurs sans fil (wireless sensor networks en anglais), constitués de nœuds déployés en grand nombre dans une zone géographique en vue de collecter et transmettre des données environnementales vers un ou plusieurs points de collecte, d'une manière autonome. Ces réseaux ont un intérêt particulier pour les applications militaires, environnementales, domotiques, médicales, et bien sûr les applications liées à la surveillance des infrastructures critiques. La spécificité de ce type de réseaux sans fil est sa limitation en ressources énergétique, de stockage, et en capacité de calcul. Ajoutant à cela la communication sans fil et leur déploiement dans des environnements hostiles, ceci rend ce type de réseau vulnérable à différents types d’attaques et défaillance physique, crée des contraintes fortes pour les techniques classiques de sécurité utilisées dans les réseaux sans fil et les rend généralement non applicables aux réseaux de capteurs sans fil. Dans cette thèse, nous avons conçu des stratégies pour la surveillance d’un réseau de capteurs sans fil pour des raisons de sécurité. Ces stratégies sont basées en premier lieu sur une approche distribuée pour la détection d’anomalies dans un réseau de capteurs sans fil, puis sur une deuxième approche qui consiste à l’utilisation des règles d’associations pour la détection et l’isolation des nœuds capteurs malicieux.

Mots clés : Réseaux de capteurs sans fil, Sécurité, Mécanisme de surveillance, Algorithmes distribués, Clustering, Confiance et Réputation, Détection d’anomalies, Règles d’associations, nœuds malicieux, attaques réseau.

Abstract Recent technological advances in wireless networks have led to the development of a new generation of ad hoc networks called wireless sensor networks. A wireless sensor network consists of a large number of sensor nodes deployed over a geographical area for monitoring physical phenomena and transmit environmental data to one or more collection points, autonomously. These networks have a particular interest for military applications, environmental, home automation, medical, and the applications related to the surveillance of critical infrastructure. The specificity of this type of networks is their limited energy resources, storage and computing capacity. Coupled with wireless communication and deployment in hostile environments, this makes this type of network vulnerable to a different types of attacks and physical failure, creates strong constraints for traditional security techniques used in wireless networks and makes them generally not applicable to wireless sensor networks. In this thesis, we have developed strategies for monitoring wireless sensors network for the security reasons. These strategies are based primarily on a distributed approach for detecting anomalies in a wireless sensors network, then a second approach using association rules for detection and isolation of compromised or malicious nodes in the network .

Keywords- Wireless sensor networks, Security, Monitoring mechanism, Distributed algorithms, Clustering, Trust and reputation, Anomalies detection, Association rules.

Remerciements

I

Remerciements

Je tiens à remercier en premier lieu Mr. Haffaf Hafid mon directeur de thèse et Mr. Merabti Madjid mon co-encadreur à l’étranger, pour leurs encouragements, leurs disponibilités, leurs idées, leurs conseils et leurs sympathies qui m’ont permis de mener à bien cette thèse. J’adresse aussi mes très sincères remerciements à Mr. RAHMOUNI Mustapha kemal pour l’honneur qui nous a été accordé en présidant le jury. J’exprime ensuite ma plus profonde gratitude à Mme GHOUALMI Nacira, Mr. KECHAR Bouabdellah, Mr. FEHAM Mohammed, et Mr. BENMOHAMED Mohamed, qui ont accepté de rapporter cette thèse. La plus grande partie de ce travail a été réalisé au sein du Laboratoire NISTL (Network and Information Security Technology Lab) du School of Computer and mathematical sciences, de l’Université John Moores à Liverpool, U.K . Je tiens donc à remercier les responsables de ce laboratoire de m’avoir accueilli et donné l’opportunité de réaliser ce travail de thèse. Un grand merci à tous le staff de l’Université John Moores à Liverpool (LJMU), plus précisément : Mrs. Carol Oliver, qui m’ont procuré une ambiance chaleureuse pour effectuer mon travail ainsi que des séjours extrêmement agréable. Merci à tous mes collègues chercheurs et enseignants de l’équipe Sécurité des Réseaux de Capteurs du School of Computer and mathematical sciences, LJMU : plus précisément le Prof. Merabti Madjid, le Prof. Taleb Bendyab, Dr. David Llewellyn-Jones, Dr. Kashif Kifayat, et Dr. Faycal Bouhafs pour leurs sympathies durant le temps où on a travaillé ensemble et pour les discussions de recherche dans le domaine des réseaux de capteurs sans fil. Merci à tous mes amis yamanites, anglais et de toute nationalité qui m’ont énormément soutenu aux moments les plus difficiles et qui étaient toujours près de moi. Je n’oublierai jamais les moments qu’on a passés ensemble. Un merci sans égal à ma famille pour son soutien, son encouragement et d’être le pilier de ma réussite, surtout ma femme et mes enfants que j’aime et j’adore. Enfin et avant tout, le grand et le vrai merci à Dieu qui m’a donné la force et la vie pour accomplir cette tache.

Table des matières

II

Table des matières

Table des Figures …………………………..…………….……………………………..…… V Liste des Tableaux ……………………………………………….…………………….…. VIII

Introduction

Chapitre 1 : Introduction générale ...……………………….…………………................................................................................9 1.1 Introduction……………………………………………….…………………………..…. 9 1.2 Problématique………………………………………….………………………….......... 10 1.3 Motivations, objectifs et principales contributions…….………………………………..11 1.4 Plan de la thèse…………………………………………………………………….……. 13

Chapitre 2 : Introduction aux réseaux de capteurs sans fil ………………………..…… 14 2.1 Introduction……………………………….…………………………………….……….14 2.2 Un Capteur...…………………………………………………………………………….15

2.2.1 Architecture d’un nœud-capteur……..………………………….………………. 15 2.2.2 Technologie des capteurs……………………………………………………....... 16

2.3 IEEE 802.15.4, ZigBee………………………………………………………………….18 2.4 Un réseau de capteurs sans fil………………………………...………………………... 18

2.4.1 La pile protocolaire dans un RCSF……………………………………………... 20 2.4.2 Connectivité et capture dans un réseau de capteurs………….…………….…….21 2.4.3 Domaines d’application des réseaux de capteurs ……………….……………… 22 2.4.4 Caractéristiques des réseaux de capteurs sans fil ………………….…………… 25 2.4.5 Système d’exploitation………………………………………………….…….… 25 2.4.6 Déploiement d’un réseau de capteurs……………………………………….…... 26 2.4.7 Localisation des nœuds……………………………………..………………....…26 2.4.8 Synchronisation…………………………….…………………………………….27 2.4.9 Agrégation de données……………………….…………………………………..27 2.4.10 Clustering……………………………………….………………………………27 2.4.11 Sécurité………………………………………………………………………….28

2.5 Conclusion……………………………………………………………………………….29

Etat de l’art Chapitre 3 : La Sécurité dans les réseaux de capteurs sans fil ………..……….……….. 30 3.1 Introduction …………………………………………………………………….……… 30

Table des matières

III

3.2 Définitions de base……………………………………………………………………….30 3.3 Obstacles de la sécurité des RCSFs ………………………………………….................. 35

3.3.1 Ressources très limitées………………………..……………….……………….....35 3.3.2 Communication non fiable ………………………………………………………..36 3.3.3 Fonctionnement sans surveillance……………………..…………………………..36

3.4 Les exigences de la sécurité ………………………………………………….…………..37 3.4.1 Les objectifs principaux ………….………………………………………………..37 3.4.2 Les objectifs secondaires…………….……………………………………….....…38

3.5 Les attaques dans un RCSF………………………………………………………………39 3.5.1 Classification des attaques …………..…………………………………………....41 3.5.2 Description de quelques attaques……………………………………….................46

3.6 Les mauvais comportements dans un RCSF …………...……..…………………………55 3.7 Travaux de recherche liés à cette même thématique……………………………………..56 3.8 Conclusion………………………………………………………………………………..64

Contributions Chapitre 4 : Surveillance distribué pour la sécurité d’un réseau de capteurs sans fil ….. 66 4.1 Introduction………………………………………………………………………………66 4.2 Les mauvais comportements dans un RCSF…………………………..............................67 4.3 Détection d’anomalie …………………………………………….........................………67 4.4 Monitorage d’un RCSF…………………………………………………………………...68 4.5 Techniques de clusterisation ……………………………………………………………..69 4.6 Le multicritère d’aide à la décision …….…………………………………………………70 4.7 Notre approche…………………………………………………………………………....71 4.7.1 Architecture du système …………………………………………………………….71 4.7.2 Calcul des métriques de sécurité…………………………………………...…….… 72 4.7.3 Monitorage Local………………………………………….…..…………………… 73 4.7.4 Monitorage Global….……………………………………………………………… 73

- 4.7.5 Approche distribué basée sur une architecture de cluster…………………………...74

4.7.6 Les métriques de l’algorithme de clustering……………………………………….. 75 4.7.7 Méthodologie………………………………………………………………………. 77 4.7.8 Hypothèses…………………………………………………………………………..77 4.7.9 Algorithmes………………………………………………………………………….77 4.8 Simulation et Résultats……………………………………………………………………83 4.9 Conclusion………………………………………………………………………...............88

Table des matières

IV

Chapitre 5 : Utilisation des règles d'association pour la détection des anomalies dans un RCSF……...……..……………………..……………….……………. 89 5.1 Introduction……………………...…………………………………………….………... 89 5.2 Extraction des connaissances à partir de données…………………………..................... 89

5.2.1 Introduction ………..……………………………………………………….……. 89

5.2.2 La recherche des motifs fréquents et l’extraction des règles d’association……..... 91 5.2.3 Les algorithmes de recherche des motifs d’attributs fréquents………….…….…. 95

5.2.4 L’extraction de connaissances à partir de données relationnelles…………………99 5.3 État de l’art des travaux basés sur l’utilisation des règles d’association………………..100 5.4 Notre approche……………………………………………….……………………....... 101

5.4.1 Comportement anormal des capteurs……………………….………….………...101 5.4.2 Idée de base ………………………………………………………….……….… 102 5.4.3 Extraction des règles d’association ……………………………….….……….…103 5.4.4 Interprétation des règles d’association…………………………………….…..... 107 5.4.5 Principe de l’algorithme de détection du comportement anormal…….……..…. 109

5.5 Conception…………………………………………………………………..………… 111 5.5.1 Diagramme de cas d’utilisation ……………...….…………………….…….….. 111 5.5.2 Diagramme de classes…………………………....……………………................112 5.5.3 Diagramme d’états-transitions ……………………………………………..…....113 5.5.4 Diagramme d’activité ……………………………………………………….…. 114 5.5.5 Diagramme d’interaction………………………………………………….......... 115

5.6 Résultats et discussions…………………………………………………………….….. 118 5.6.1 Modèle de simulation……………………….…………………………………... 118 5.6.2 Architecture du système…………………….………………………………....…118 5.6.3 Tests et résultats de simulation……………….……………………………….….119 5.7 Conclusion………………………………………………………………………….….. 121

Conclusion et Perspectives

Conclusion et Perspectives ………………………………………….……………….....… 122 Conclusion Générale …………………...………………………………………………...…122 Perspectives …………………………….……………………………………………….......123

Bibliographie Bibliographie ………….……………………………………………………………….…....125

Table des figures V

Table des figures

Figure 2.1 - Architecture physique d’un nœud-capteur………………………….………15 Figure 2.2 - Consommation d’énergie dans un nœud de capteur…………………….…. 16 Figure 2.3 - Echantillon de capteurs existants………………………………………….. 16 Figure 2.4 - Architecture simplifiée d’un réseau de capteurs………………………....... 18 Figure 2.5 - Architecture plate………………………………………………………….. 19 Figure 2.6 - Architecture hiérarchique……………………………………………..….... 20 Figure 2.7 - Topologie basée sur la localisation………………………………………... 20 Figure 2.8 - Architecture de communication. ……………………………………..….... 21 Figure 2.9 - Rayons de communication et de sensation d’un capteur…………………... 22 Figure 2.10 - Application des réseaux de capteurs sans fil…………………………….... 24 Figure 2.11 - Deux configurations pour les RCSFs découpés en Clusters………..…..… 28 Figure 3.1 - Schéma de dépendance……………………………………………….…..... 31 Figure 3.2 - Principe de surveillance d'un RCSF ………………….………….……...… 33 Figure 3.3 - Intrusion interprétée comme une faute composite……………….……...… 34 Figure 3.4 - Classification des attaques selon Stallings………………….……………... 42 Figure 3.5 - Principales attaques sur les réseaux de capteurs………………………...….46 Figure 3.6 - Attaque d’espionnage…………………………………………………...…. 47 Figure 3.7 - L’attaque trou noir……………………………………………………...….. 48 Figure 3.8 - L’attaque Sinkhole………………......……………………………….…..... 48 Figure 3.9 - Différents scénarios de l’attaque Sinkhole……………………………...…..49 Figure 3.10 - Transmission sélective…..………………………………...………...……. 49 Figure 3.11 - Attaque Hello Floods………………………………………………..……. 50 Figure 3.12 - Attaques contre l’agrégation de données………………………………..… 51 Figure 3.13 - Acknowledgement Spoofing…………………………………………….... 51 Figure 3.14 - Attaque de brouillage.………………………………………………….…. 52 Figure 3.15 - L’attaque d’identités multiples……………………………………….…… 53 Figure 3.16 - Attaque Wormhole…………………………………………………..……. 53 Figure 3.17 - Attaque Wormhole………………………………………………………... 54 Figure 3.18 - Les comportements anormaux dans un RCSF……………………….…… 56 Figure 3.19 - Lignes de défense : nouvelle classification……………………………….. 57 Figure 3.20 - CORE : principe de fonctionnement…….……………………………..…. 59 Figure 3.21 - Monitorage distribué avec DAMON…………………………………….... 61 Figure 3.22 - Écoute d’une transmission omnidirectionnelle.……………………..……. 62

Table des figures VI

Figure 4.1 - Fonctionnement d'un système de détection d’anomalies dans un RCSF......68 Figure 4.2 - Architecture du système de surveillance distribué…………………..….…72 Figure 4.3 - Calcul des métriques de sécurité dans chaque nœuds membre………...…..73 Figure 4.4 - Local Monitoring…………………………………………………………...73

Figure 4.5 - Monitorage global au niveau de la station base………………………..…..74 Figure 4.6 - Niveau de comportement des nœuds, B[0,1]………………………..……75 Figure 4.7 - Exemple de réseau avec niveau de comportement………………………....79 Figure 4.8 - Identification des clusters cas des nœuds normaux………………………...80 Figure 4.9 - La formation finale des clusters…………………………………........…… 81 Figure 4.10 - Graphe de connectivité de 100 nœuds………………………………..…... 84 Figure 4.11 - La topologie du réseau après formation des clusters………………….…...84 Figure 4.12 - Le nombre de clusters formés en fonction du rayon de transmission…….. 85 Figure 4.13 - Nombre de nœuds Vs. Nombre moyen de clusters, Rayon_Tx= 150…..… 85 Figure 4.14 - Les capteurs de couleurs jaune sont anormaux, mais non malicieux……... 86 Figure 4.15 - Les capteurs de couleur rouge sont des capteurs suspects………………... 86 Figure 4.16 - Les capteurs de couleur noir sont des capteurs compromis……………..... 86 Figure 4.17 - Niveau de comportement (Behavior level) de quelques capteurs……..…..87 Figure 4.18 - Pourcentage de nœuds malicieux détectés par notre système………….…..87 Figure 5.1 - Le processus d’extraction de connaissances………………………………. 90 Figure 5.2 - Un exemple de relation binaire……...…………………………………….. 92 Figure 5.3 - La décroissance des fréquences au sein de l’ordre des motifs…………...…93 Figure 5.4 - Treillis de concepts formels…………………………………...................... 97 Figure 5.5 - Classes d’équivalence de motifs……………………………………….….. 98 Figure 5.6 - Topologie du réseau…………………………….……………….……….. 103 Figure 5.7 - Diagramme de cas d’utilisation…………………………………...……….111 Figure 5.8 - Diagramme de classes………………………………..…………………... 112 Figure 5.9 - Diagramme d’états-transitions……………………………………........… 113 Figure 5.10 - Diagramme d’activité d’envoi des messages hello……………..…...........114 Figure 5.11 - Diagramme d’activité d’envoi de paquets de données….………………..115 Figure 5.12 - Diagramme de communication de la création de la liste des voisins…… 116 Figure 5.13 - Diagramme de communication de la création de la liste noire…………...116 Figure 5.14 - Diagramme de séquence d’envoi des messages hello……………..……...117 Figure 5.15 - Diagramme de séquense d’envoi des messages de données…………..… 118 Figure 5.16 - L’organigramme du système……………………………………..……… 119 Figure 5.17 - Contribution de chaque règle dans la détection des nœuds malicieux…... 119 Figure 5.18 - Temps de commencement des anomalies pour chaque règle………….… 120

Table des figures VII

Figure 5.19 - Taux des messages perdus…………………..…………………………… 120

Figure 5.20 - Taux des messages directs et successives……..……………………….… 121

Liste des Tableaux

VIII

Liste des Tableaux Tableau 2.1 - Caractéristiques de nœuds de capteurs existants actuellement..……………….17 Tableau 3.1 - Les classes de fautes élémentaires……………………………………………..31 Tableau 3.2 - Les éventuelles menaces dans les RCSFs…………………………………...…40 Tableau 3.3 - Attaques contre les réseaux de capteurs sans fil par couche de la pile réseau....46 Tableau 3.4 - Différent attaques dans un RCSF et leurs comportements………………….…56 Tableau 3.5 - Comparaison des techniques de détection d’intrusion………………………....64 Tableau 4.1 - Les différents critères des nœuds capteurs…………………………….........…79 Tableau 4.2 - Poids des voisins des nœuds normaux………………………………………....80 Tableau 5.1 - Un extrait de la base de données du trafic normal...……………………….....104 Tableau 5.2 - Un extrait de la base de données du trafic courant…………………………...108

Chapitre 1. Introduction Générale

9

Chapitre 1

Introduction Générale

1.1 Introduction

L’émergence des réseaux de capteurs sans fil représentent une révolution technologique des instruments de mesures, issue de la convergence des systèmes électroniques miniaturisé (nanotechnologie) et des systèmes de communication sans fil et les Systèmes Micro-Electro-Mécaniques (SMEM) (ou anglais MEMS pour Micro-Elecro-Mecanical Systems) à base de capteurs. Il s’agit d’ensembles d’unités électroniques miniaturisées capables de mesurer certains phénomènes physiques dans l’environnement où ils sont déployés. Vers la fin des années 1990 de l’université de Berkeley fut naitre le concept de poussière intelligente (ou Smart dust [1]) ce qui a constitué un point de départ décisif vers une nouvelle ère de l’informatique pervasive (pervasive computing) et du calcul omniprésent (ubiquitous computing), dont la technologie des réseaux de capteurs est la plus représentative. Les réseaux de capteurs sans fil représentent une classe particulière des réseaux ad hoc [2], où l’infrastructure fixe de communication et l’administration centralisée sont absentes et les nœuds jouent, à la fois, le rôle des hôtes et des routeurs. Les nœuds capteurs sont des capteurs intelligents "smart sensors", capables de collecter des grandeurs physiques de l’environnement telles que la température, vitesse du vent, humidité, …etc. Le traitement éventuel de ces grandeurs physiques et la communication entre eux en employant des canaux sans fil en fréquence radio pour faire aboutir les informations collectées à un point de collecte appelé puits ou Sink. Ces informations sont ensuite transmises via un réseau de transport (Internet, réseau cellulaire, etc.) vers un centre de traitement où d’éventuels analyses, interprétations et prises de décision sont réalisées par un utilisateur final. L’ensemble de ces capteurs, déployés pour une application, forme un réseau de capteurs. Le but de celui-ci est de surveiller une zone géographique, et parfois d’agir sur celle-ci (il s’agit alors de réseaux de capteurs-actionneurs). On peut citer comme exemples la détection de feu de foret, la surveillance d’un champ de bataille, la surveillance des déplacements des véhicules en zone hostile, l’observation de la vie des espèces rares, la surveillance des infrastructures, ou l’optimisation de traitement pour les patients etc. Le réseau peut comporter un grand nombre de nœuds (des milliers). Les capteurs sont placés de manière plus ou moins aléatoire (par exemple par largage depuis un hélicoptère) dans des environnements pouvant être dangereux, où toute intervention humaine après le déploiement des nœuds capteurs est exclue, le réseau doit donc s’autogérer. Afin que les nœuds capteurs travaillent d’une façon coopérative, les informations recueillies sont partagées entre eux par voie hertzienne. Dans la suite de cette thèse, les réseaux de capteurs sans fil, seront désignés tout simplement par l’abréviation (RCSF) ou en anglais Wireless sensor network (WSN).


10

1.2 Problématique

En raison des contraintes de miniaturisation, et aussi de coût de fabrication, les nœuds de capteurs sont généralement dotés de ressources très limitées en termes de capacité de calcul, d’espace de stockage de données, de débit de transmission et d’énergie embarquée, en ajoutant l’absence de sécurité physique, une topologie fréquemment changeante dûe aux pannes des nœuds capteurs (épuisement d’énergie, mobilité des nœuds ou attaques) , la communication sans fil par diffusion avec une faible portée radio , et les environnements hostiles dans lesquels ils pourraient être déployés. Ces facteurs rendent ce type de réseaux très vulnérables à plusieurs types d’attaques réseau similaires à celles des réseaux traditionnelles. Ces limitations motivent une grande partie des problématiques de recherche dans le domaine des réseaux de capteurs sans fil, en particulier la problématique de la sécurité qui est un problème fondamental surtout pour les applications critiques (comme exemple : les applications militaire (la surveillance d’une zone ennemis), ou la surveillance d’une usine nucléaire). Une des attaques possibles sur les réseaux de capteurs s'appelle une attaque de capture de nœud (NCA : node capture attack) [3]: où on peut avoir un contrôle total de l’adversaire sur un nœud capteur par le biais d’accès physique direct. Cela peut conduire à la compromission de la communication dans le réseau entier. Une telle attaque pourrait permettre à un adversaire de lancer de nombreuses autres attaques, par exemple : l’attaque Replay, l’attaque Blackhole et les attaques par déni de service. Le nœud capteur compromis peut être un nœud d'agrégation, un nœud chef de cluster (cluster head) ou un nœud capteur normal. Ce qui rend la confidentialité et l'intégrité des données ainsi que la disponibilité des nœuds capteurs à risque élevé. Les nœuds du réseau qui causent un dysfonctionnement dans le réseau et endommagent les autres nœuds sont appelés nœuds à mauvais comportement (Misbehaving nodes) ou nœuds critiques. Les mauvais comportements des nœuds capteurs dans un réseau de capteurs sans fil peuvent prendre différentes formes: vole de paquets, modification des structures de données importantes pour le routage, la modification de paquets, la dégradation de la topologie du réseau ou la création des nœuds fictifs (voir [2] pour une liste plus complète). Un capteur entièrement contrôlé par un attaquant peut exécuter toute forme de mauvaise conduite pour économiser sa batterie. Le dysfonctionnement d’un capteur peut également être considéré comme un type de comportement indésirable. Les réseaux de capteurs comme d'autres réseaux sans fil sont susceptibles d'attaques actives et passives. Dans les attaques passives, seulement le vol des données peut se produire, tandis que dans les attaques actives, les opérations telles que la répétition, la modification ou la suppression des données sont possibles. Certains nœuds dans les réseaux de capteurs peuvent produire des attaques qui causent la congestion, la distribution des informations de routage incorrectes, les services qui empêchent ou désactive le bon fonctionnement du réseau. Les nœuds du réseau qui assurent des attaques actives pour endommager les autres nœuds et provoquer la déconnection dans le réseau sont appelés nœuds malicieux ou compromis. En outre, les nœuds qui n'envoient pas les paquets reçus (technique utilisée pour économiser sa batterie et à l’utilisée que pour ses propres communications) sont appelés nœuds égoïstes [3]. Les ressources limitées d'un nœud de capteur et ses caractéristiques différentes de celles d'un ordinateur classique, rend difficile l'utilisation des techniques traditionnelles de sécurité pour les réseaux de capteurs sans fil. En général, les solutions de sécurité dans les RCSF sont


11

catégorisées dans deux techniques: ceux basés sur la prévention et ceux basés sur la détection. Les techniques de prévention tel que la cryptographie et l'authentification sont difficiles à appliquer pour les RCSF à cause de leurs limitation en ressources, l'utilisation d'un medium de diffusion et la nécessité des techniques assurant la distribution des clés cryptographiques. Les techniques de détection identifiée les attaques on se basant sur le comportement des nœuds du réseau. Comme il sera décrit par la suite, un nœud capteur est un dispositif minuscule, avec seulement une petite quantité de mémoire et d'espace de stockage pour le code. Afin de construire un mécanisme de sécurité efficace, il est nécessaire de limiter la taille du code des algorithmes de sécurité et de distribuer ces algorithmes a travers les nœuds du réseau pour assurer une collaboration des nœuds, une partage des taches, une économie d`énergie et une tolérance au faute qui garantie une disponibilité des services de sécurité. Par exemple, le type de capteur (TelosB) a 16-bits, 8 MHz de CPU avec seulement 4-10K de RAM, 48K de mémoire programme, et 1024K de mémoire flash pour le stockage [3]. Avec une telle limitation, le logiciel embarqué pour le nœud capteur doit également être assez faible. Par conséquent, la taille du code de sécurité doit être petite. La sécurité devient aussi plus difficile lorsque l'on parle sur les réseaux de capteurs à grande échelle ou si des considérations de mobilité sont ajoutées au réseau de capteurs. Lors de nos recherches, nous avons vu que, même la topologie du réseau touche directement la sécurité comme dans [4]. Toutes ces questions sont inter-reliés les uns aux autres, ce qui rend encore plus difficile la mise en œuvre d’une politique de sécurité efficace et finale. 1.3 Motivations, objectifs et principales contributions La technologie des RCSF est un domaine de recherche nouveau. Cette technologie des RCSF a bénéficié d’une position centrale dans l’espace de recherche des réseaux émergents futurs ces dernières années. Il y a de plus en plus de travaux de recherche intéressants sur plusieurs aspects des RCSF : énergie, localisation, synchronisation, mobilité et changement de topologie, qualité de service, sécurité, traitement dans le réseau (in-network processing), scalabilité…etc., mais les axes de recherche qui ont suscités le plus d’intérêt de la part de la communauté des chercheurs, jusqu’à ce jour, sont :l’économie d’énergie et la sécurité. La sécurité est une nécessite pour la majorité des applications qui utilisent les RCSFs, notamment si les nœuds capteurs sont déployés dans des endroits peu surs, tels que les champs de bataille, les lieux stratégiques (aéroports, bâtiments critiques, etc.). Ces nœuds capteurs qui opèrent dans des lieux difficiles d’accès, sans protection et sans possibilité de rechargement de batterie, peuvent être soumis à des actions perturbatrices et malveillantes susceptibles de compromettre l’essence même d’un RCSF. C’est pourquoi, il est primordial de pouvoir leur assurer un niveau de sécurité acceptable. Compte tenu de leurs spécificités contraignantes, la sécurité dans ce type de réseaux relève d’un véritable challenge. Comme l’objectif premier des nœuds d’un RCSF est de rassembler des données de surveillance et de les transmettre à un lieu de décision, cette opération doit se faire sans interférences malicieuses et avec un niveau de sécurité approprié. Dans ce contexte, quelques techniques et protocoles de détection d'intrusion sont disponibles [5], [6]. La plupart d'entre eux sont étroitement liés à des protocoles de routage. Le système de surveillance tel que « Watch dog » [7] a été utilisé dans différents IDSs, mais il présente plusieurs limites et en cas de collisions, il ne peut pas fonctionner correctement et conduit à des fausses accusations, de plus l’élection du nœud choisi pour la surveillance n’est pas basée


12

sur des contraintes de préférence ce qui conduit à la limitation de sa durée de vie. Le système de surveillance CORE [8] quant à lui, ne peut pas détecter les nœuds malicieux de mauvais comportement. C’est pourquoi l’objectif de cette thèse est de traiter le problème de la sécurité dans les réseaux de capteurs. Le souci principal est de détecter les nœuds capteurs qui présentent un mauvais comportement et les éliminer du réseau, afin d’assurer la disponibilité et le bon fonctionnement du réseau. Pour cela, nous avons proposé des stratégies pour assurer la surveillance d’un réseau de capteurs pour des raisons de sécurité :

- La première stratégie est basée sur une approche distribué, où nous utilisons un premier algorithme de partitionnement du réseau en cluster (ensemble de nœuds), le cluster head (ou chef de cluster) est sélectionner selon certain critères de performance et joue un rôle important pour la surveillance des nœuds membres de son cluster. Un deuxième algorithme est utilisé pour la détection et élimination des nœuds capteurs qui présentent des mauvaises activités (Malicious and selfish nodes). Cette première contribution a fait l’objet d’un papier accepté par les conférences :

Italy : “Congratulations! Your contribution 10039 to SENSORCOMM 2010 titled "Distributed Monitoring for Secure Wireless Sensor Networks" is accepted.”

France : “Congratulations - your paper #1569354038 ('Distributed Approach for Secure Wireless Sensor Networks') has been accepted with minor revision for poster presentation at NTMS'2011 - Security Track.”

Publié comme une synthèse de travail dans un chapter book: title ``Monitoring of Wireless Sensor Networks`` - Book "Sustainable Wireless Sensor Networks", ISBN: 978-953-307-297-5, Authors: Khelifa Benahmed, Haffaf Hafid and Madjid Merabti. Puis encours de publication dans le journal: « The Mediterranean Journal of Computers and Networks ».

- La deuxième stratégie repose sur l’utilisation des règles d’association pour la détection des mauvais comportements dans un réseau de capteurs sans fil. Il s’agit là d’une stratégie qui se base sur les techniques du datamining où des règles d’association sont extraites à partir du flux d’information qui circule dans le réseau. Ces règles représentent un profile de bon comportent des nœuds, par la suite ces règles seront utilisées pour détecter toute déviation des profiles des nœuds. Cette deuxième contribution a fait l’objet d’un papier publie dans le journal : « The Mediterranean Journal of Computers and Networks », Vol. 6 No. 4 , title : "Anomaly Detection in Wireless Sensor Networks Using Association Rules". Authors: Khelifa Benahmed, Asma Bella et Kenza Limam.

- La troisième stratégie consiste à contrôler la topologie du réseau, il s’agit plus

précisément à surveiller la connectivite du réseau, et la détection au préalable des possibilités de déconnexion par la détection des point d’articulation dans un réseau de capteurs sans fil. Ces points d’articulations représentent des nœuds critiques, car en cas de dénis de service sur ces nœuds, le réseau sera découpé en des sous ensembles disjoints. Cette stratégie regroupe deux algorithme le premier étant dédié à la détection


13

des points d’articulations dans graphe de connectivité, le deuxième algorithme consiste à remédier à ces points d’articulations par l’auto-organisation du réseau autour de ces points d’articulation. Cette troisième contribution a fait l’objet d’un papier publié : Benahmed Khelifa, Haffaf Hafid, Madjid Merabti, David Llewellyn-Jones, "Monitoring connectivity in Wireless Sensor Networks", IEEE Symposium on Computers and Communications (ISCC'09), Sousse, Tunisia, 5-8 July 2009.

Puis par la suite publié dans un journal en Corée du sud : International Journal of Future Generation Communication and Networking Vol. 2, No. 2, June, 2009, ``Monitoring Connectivity in Wireless Sensor Networks``, Benahmed Khelifa, Haffaf Hafid, Merabti Madjid.

1.4 Plan de la thèse

Dans cette thèse, nous avons opté pour le format "par articles". Certains chapitres sont donc la transcription d'articles publiés dans journaux scientifiques et conférences internationales. Suite à ce chapitre d'introduction, le Chapitre 2 présente une introduction au domaine des réseaux de capteurs sans fil. Nous commençons d'abord par la définition des différentes notions et concepts gravitant autour de cette thématique, ensuite nous exposons les caractéristiques et fonctionnement d’un réseau de capteurs. Nous poursuivons notre état de l'art dans le chapitre 3 en définissant les différents vulnérabilités d'un RCSF et en synthétisant les différentes techniques et mécanismes de détection d'anomalies que nous avons recensés dans la littérature, et plus précisément les techniques qui se base sur la surveillance des nœuds capteurs pour la détection des nœuds malicieux. Les différents algorithmes et mécanismes rencontrés dans la littérature nous ont permis de faire ressortir des problèmes et défis qui ont servi comme base de recherche pour cette thèse. Ensuite, le Chapitre 4 présente le premier article (K. Benahmed, H. Haffaf et M. Merabti, 2010). Dans cet article, nous modélisons le problème de surveillance d’un RCSF pour des raisons de sécurité en se basant sur une approche distribuée utilisant une organisation du réseau en cluster, ou chaque cluster Head effectue une surveillance locale de ses voisins et la station de base effectue une surveillance plus globale pour la surveillance des clusters Head. Nous proposons pour cela un mécanisme à base de la décision multicritère pour l’élection des clusters Head robustes capables d’assurer une surveillance stable et de longue durée. L’algorithme qui gère ce mécanisme s’exécute à la demande c’est à dire à la moindre déviation des profils normaux des clusters Head. Le Chapitre 5 présente notre deuxième article intitulé "Anomaly Detection in Wireless Sensor Networks Using Association Rules ". Dans cet article, nous abordons le problème de la sécurité d'un réseau de capteurs sans fil en faisant une surveillance et une analyse du trafic d’informations qui circulent dans le réseau. Nous y proposons un mécanisme à base de règles d’associations pour résoudre ce problème. Enfin, nous clôturons la présente thèse en mettant l'accent sur les principales contributions apportées et en dégageant les principales limitations de nos travaux. Des recommandations pour des travaux futurs y sont également apportées.

Chapitre 2. Introduction aux réseaux de capteurs sans fil

14

Chapitre 2

Introduction aux réseaux de capteurs sans fil

2.1 Introduction

Les progrès réalisés ces dernières décennies dans les domaines de la microélectronique, de la micromécanique, des technologies de communication sans fil et la miniaturisation du matériel informatique ont apporté une nouvelle génération de réseaux informatiques et télécoms présentant des défis importants et offrant des solutions économiquement intéressantes et facilement déployables à la surveillance à distance et au traitement des données dans les environnements hostiles et distribués : les réseaux de capteurs sans fil. Les réseaux de capteurs sans fil sont constitués de nœuds déployables en grand nombre en vue de collecter et transmettre des données environnementales vers un ou plusieurs points de collecte, d'une manière autonome. Ces réseaux ont un intérêt particulier pour les applications militaires, environnementales, domotiques, médicales, et bien sûr les applications liées à la surveillance des infrastructures critiques. Ces applications ont souvent besoin d'un niveau de sécurité élevé, de bon fonctionnement des capteurs, et de manière générale la disponibilité des services offertes par les capteurs tel que la connectivité et la couverture. Or, de part de leurs caractéristiques (absence d'infrastructure, contrainte d'énergie, topologie dynamique, nombre important de capteurs, sécurité physique limitée, capacité réduite des nœuds,...), la surveillance d’un réseau de capteurs pour des raisons de sécurisation, de contrôle de topologie, etc. est à la source, aujourd'hui, de beaucoup de défis scientifiques et techniques. Une solution pour cela est d'utiliser un mécanisme de surveillance qui permet de répondre aux exigences de bon fonctionnement et la sécurité d’un réseau de capteurs sans fil. C'est le sujet de cette thèse. Les réseaux de capteurs constituent une catégorie de réseaux sans fil comportant d’un très grand nombre de nœuds. Ils sont également caractérisés entre autre par un déploiement très dense et à grande échelle dans des environnements souvent limités en terme de ressources. Ces nœuds déployés autour ou dans une zone à observer sont utilisés pour l’acquisition de données et leur transmission à une station de traitement appelée communément (Station de Base). Les spécificités les plus frappantes de ces nœuds sont leurs capacités d’auto-organisation, de coopération, leur rapidité de déploiement, leur tolérance aux erreurs et leur faible coût. En terme de domaines d’applications, les réseaux de capteurs ont connu un très grand succès, car ils détiennent un potentiel qui révolutionne de nombreux secteurs de notre économie et notre vie quotidienne, de la surveillance et la préservation de l’environnement, à la fabrication industrielle, en passant par l’automatisation dans les secteurs de transport et de la santé, la modernisation de la médecine, de l’agriculture, de la télématique et de la logistique. Un concept intéressant que nous introduisons dès à présent est le concept de (nœud-capteur) par référence au terme anglais “sensor node” qui revient fréquemment dans la littérature. En effet, au début les capteurs avaient un simple rôle de détecteurs: température, fumée, intrusion. On leur demande aujourd’hui de relever plusieurs informations, de communiquer entre eux, et même d’analyser leurs données.


15

Les réseaux de capteurs sans fil sont l’une des technologies visant à résoudre les problèmes de cette nouvelle ère de l’informatique embarquée et omniprésente. Nous allons donc présenté dans le présent chapitre le fonctionnement des réseaux de capteurs. 2.2 Un Capteur Un capteur est un mini-composant, qui permet d’acquérir des données sur son environnement, les traiter et les communiquer. Son intégration est une tâche difficile à réaliser en tenant compte de certaines contraintes : la consommation énergétique, l’espace mémoire, etc. [9] 2.2.1 Architecture d’un nœud-capteur Un nœud-capteur est composé de plusieurs éléments ou modules correspondant chacun à une tâche particulière d’acquisition, de traitement, ou de transmission de données. Il comprend également une source d’´energie [10, 11]. Un capteur est composé de 4 unités (voir la figure 2.1) :

Figure 2.1 - Architecture physique d’un nœud-capteur.

l’unité d’acquisition – composée d’un capteur qui obtient des mesures sur les paramètres environnementaux et d’un convertisseur Analogique/Numérique qui convertit l’information relevée et la transmet à l’unité de traitement. l’unité de traitement – composée d’un processeur et d’une mémoire intégrant un système d’exploitation spécifique (TinyOS par exemple). Cette unité possède deux interfaces, une interface pour l’unité d’acquisition et une interface pour l’unité de communication. Elle acquiert les informations en provenance de l’unité d’acquisition et les envoie à l’unité de communication. Cette unité est chargée aussi d’exécuter les protocoles de communications qui permettent de faire collaborer le capteur avec d’autres capteurs. Elle peut aussi analyser les données captées. l’unité de communication – unité responsable de toutes les émissions et réceptions de données via un support de communication radio. Elle peut être de type optique (comme dans les capteurs Smart Dust ), ou de type radiofréquence (MICA2 par exemple). la batterie – un capteur est muni d’une batterie pour alimenter tous ses composants. Cependant, à cause de sa taille réduite, la batterie dont il dispose est limitée et généralement irremplaçable. Pour cela, l’énergie est la ressource la plus précieuse puisqu’elle influe directement sur la durée de vie des capteurs.


16

La figure 2.2 , résume la consommation d’énergie dans les différents unités d’un capteurs :

Figure 2.2 - Consommation d’énergie dans un nœud de capteur.[12] Il existe des capteurs qui sont dotés d’autres composants additionnels comme le système de positionnement GPS (Global Positioning System) , un mobilisateur lui permettant le déplacement et un générateur d’énergie. Les interactions entre ces modules sont illustrées en figure 2.1. Chacun d’entre eux est alimenté par la batterie. La consommation d’énergie est essentiellement due aux modules de communication sans fil et de traitement des données. Les modules optionnels de localisation est de mobilité sont également une source de consommation d’énergie non négligeable. 2.2.2 Technologie des capteurs

Il existe dans le monde plusieurs fabricants de capteurs. Nous citerons Crossbow, Cisco, Dalsa, EuroTherm, Shockfish SA, et Sens2B. Parmi ces capteurs, il existe quelques uns qui sont capables de varier la puissance du signal émis afin d’élargir/réduire le rayon de communication et en conséquence la zone de communication. La figure 2.3 montre des exemples de capteurs intelligents.

(a) TelosB de Crossbow (b) Sun Spot de Sun

Figure. 2.3 - Echantillon de capteurs existants En effet, suivant le type d’application, il y a plusieurs catégories de capteurs différents qui varient en fonction de la taille, de la capacité de calcul, de la taille de la mémoire et de la bande passante. Suivant les caractéristiques des capteurs, la taille du réseau, des protocoles de communications, on distingue quatre types principaux de plateformes [13]:

(c) Mica2dot (d) Telos de de Crossbow UC Berkeley

(e) Smart Dust


17

Plateforme de capteurs miniaturisés : plateforme dédiée aux capteurs de taille très réduite (quelques mm3) et de faible bande passante (<50Kbps). Un exemple très connu de ce genre de plateforme est Spec [17], conçu par l’université de Berkeley. Avec une taille très petite (2mmx2.5mm), Spec est un des plus petits capteurs au monde

Plateforme de capteurs généraux : plateforme développée pour capter et router des

informations du monde ambiant. Quelques plateformes de cette famille ont été développés et la plus récente est basée sur MicaZ , un capteur de taille ~10cm3 avec les protocoles de communication IEEE 802.15.4

Plateforme de capteurs à haute bande passante: ces plateformes ont pour but de transporter de gros volumes de données captées (la vidéo, le son, vibrations). Un exemple typique de cette famille est Imote dont la communication se base sur la norme Bluetooth 1.1

Plateforme de passerelles : ces dispositifs servent à transporter les informations

envoyées par le réseau de capteurs vers un réseau traditionnel (Ethernet, 802.11) dont Stargate est un exemple typique.

Le tableau suivant récapitule les caractéristiques de quelques capteurs :

Fabricant Modèle Processeur/ Microcontrôleur

Radio RAM Flash Batterie

Crossbow

MICA2 Atmega 128L MPR400 (8-bit), 16

Mhz

433/915 Mhz 4 KB 128 KB 2xAA

MICAz Atmega 128L MPR2400 (8-bit),

16 Mhz

2.4 GHz, 802.15.4

Couche base de ZigBee

4 KB 128 KB 2xAA

TelosB TI MSP 430 (16-bit), 8/16 Mhz

2.4 GHz, 802.15.4

10 KB 48 KB 2xAA

Imote2 Intel PXA271 (32-bit) , 13 Mhz

2.4 GHz IEEE 802.15.4/

ZigBee Compliant

32 MB 32 MB 3xAA

Shockfish S A

TinyNode TI MSP430 (16-bit), 16Mhz

868 / 915MHz

10 KB 512 KB 2/3xAA

Berkeley Dot-mote Atmel AVR 8535 (8-bit), 4MHz

868-916 Mhz

0.5KB 8KB 3v, 10-20 mA

Sun Sun Spot ARM920T core (32 bit), 180 MHz

2.4 GHz IEEE 802.15.4

512KB

4MB

3.7V, 750 mAh

Tableau. 2.1- Caractéristiques de nœuds de capteurs existants actuellement

Le déploiement de ce type d’appareils forme alors un réseau qui peut être utilisé dans des domaines militaires (par exemple, le suivi de déplacement des troupes ennemies), civils (la détection de feux de forêt), médicaux (le suivi des patients), animaliers (l’étude des migrations d’espèces), ... Dans plusieurs exemples, les capteurs sont mobiles. Il faut donc distinguer deux types de réseaux : les réseaux statiques et les réseaux mobiles.


18

2.3 IEEE 802.15.4, ZigBee Le TG15.4 de l’IEEE propose une norme pour les réseaux sans fil personnels à faible consommation énergétique (Low Power-Wireless Personal Area Network, LP-WPAN). Le standard IEEE 802.15.4 [14] propose une norme pour les couches physique et liaison de données orientée très faible consommation énergétique qui rend cette technologie bien adaptée aux réseaux de capteurs. Le protocole IEEE 802.15.4 proposé récemment pour les réseaux de capteurs, et actuellement en évolution pour prendre en compte plus efficacement le multisaut. IEEE 802.15.4 s’appuie sur un protocole CSMACA, pour économiser l’énergie tout en régissant efficacement les accès au médium. 2.4 Un réseau de capteurs sans fil Un réseau de capteurs sans fil (RCSF ou WSN : Wireless Sensor Network) est un type particulier des réseaux ad hoc. Il est constitue d’un grand nombre de capteurs, communicants entre eux via des liens radio pour le partage d’information et le traitement coopératif. Dans ce type de réseau, les capteurs échangent des informations par exemple sur l’environnement pour construire une vue globale de la région contrôlée, qui est rendue accessible à l’utilisateur externe par un ou plusieurs nœud(s). Les données collectées par ces capteurs sont acheminées directement ou via les autres capteurs de proche en proche à un « point de collecte », appelé station de base (ou SINK). Cette dernière peut être connectée à une machine puissante via internet ou par satellite. En outre, l’utilisateur peut adresser ses requêtes aux capteurs en précisant l’information d’intérêt. Le déploiement très dense des nœuds capteurs est soit aléatoire (avion, missile) ou déterministe (manuelle, robots) , généralement dans des zones hostiles non accessible par l’être humain. La figure suivante montre un schéma simplifié d’une architecture d’un réseau de capteurs.

Figure 2.4 - Architecture simplifiée d’un réseau de capteurs


19

Les capteurs sont déployés d’une manière aléatoire dans une zone d’intérêt, et une station de base, située à l’extrémité de cette zone, est chargée de récupérer les données collectées par les capteurs. Lorsqu’un capteur détecte un événement pertinent, un message d’alerte est envoyé à la station de base par le biais d’une communication entre les capteurs. Les données collectées sont traitées et analysées par des machines puissantes. Les réseaux de capteurs viennent en soutien de l’environnement et de l’industrie grâce aux récents développements réalisés dans le domaine des techniques sans fils.

Il existe deux grands types de réseaux de capteurs sans fil :

- soit le réseau est constitué d’un ensemble de capteurs mobiles évoluant dans un environnement statique. Le but de tels réseaux est l’exploration de zones inaccessibles ou dangereuses.

- soit le réseau est constitué de capteurs fixes servant à la surveillance d’occurrence d’évènements sur une zone géographique [15]. Dans ce cas, le réseau n’effectue que la surveillance, les données mesurées sont transmises en mode multi-sauts à un nœud spécifique appelé « puits » qui est chargé, après réception, de mettre en œuvre les actions nécessaires.

Selon [16] il existe deux types d'architectures pour les réseaux de capteurs sans fil :

- Les réseaux de capteurs sans fil plats : Un réseau de capteurs sans fil plat est un réseau homogène, où tous les nœuds sont identiques en termes de batterie et de complexité du matériel, excepté le nœud PUITS qui joue le rôle d'une passerelle et qui est responsable de la transmission de l'information collectée à l'utilisateur final. Selon le service et le type de capteurs, une densité de capteurs élevée (plusieurs nœuds capteurs/m2) ainsi qu'une communication multi-sauts peut être nécessaire pour l'architecture plate. En présence d'un très grand nombre de nœuds capteurs, le passage à l'échelle devient critique. Le routage et le contrôle d'accès au medium (MAC) doivent gérer et organiser les nœuds d'une manière très efficace en termes d'énergie.

Figure 2.5 - Architecture plate - Les réseaux de capteurs sans fil hiérarchiques : Une architecture hiérarchique a été proposée pour réduire la complexité de la plupart des nœuds capteurs et leur déploiement, en introduisant un ensemble de nœuds capteurs plus puissants. Ceci permet de décharger la majorité des nœuds simples à faible coût de plusieurs fonctions du réseau. L'architecture hiérarchique est composée de plusieurs couches : une couche de capteurs, une couche de transmission et une couche de point d'accès. Cette architecture sans-fil est influencée par un certain nombre de facteurs et contraintes tels que la tolérance aux fautes, le redimensionnement, les coûts de production, l'environnement, la topologie du réseau, les contraintes matérielles, les medias de transmission et la consommation d'énergie.


20

Figure 2.6 - architecture hiérarchique - Topologie basée Localisation - Les protocoles à topologie basée localisation suppose que : Le réseau est partitionné en plusieurs zones de localisation. - Chaque zone a son identifiant. Chaque nœud a un identifiant EUI (End-system Unique Identifier) et enregistre dynamiquement l’identifiant de la zone à laquelle il appartient temporairement. L’information temporaire de localisation appelée LDA (Location Dependent Address) qui est un triplet de coordonnées géographiques (longitude, latitude, altitude) obtenues, par exemple, au moyen d'un GPS avec une précision dépendant du type de l’application. Une telle topologie exige l’implémentation d'un algorithme de gestion de localisation qui permet aux nœuds de déterminer les endroits approximatifs des autres nœuds. Ce type de topologie est mieux adapté aux réseaux avec une forte mobilité.

Figure 2.7 - Topologie basée sur la localisation

2.4.1 La pile protocolaire dans un RCSF Le rôle de cette pile consiste à standardiser la communication entre les participants afin que différents constructeurs puissent mettre au point des produits (logiciels ou matériels) compatibles. Ce modèle comprend 5 couches qui ont les mêmes fonctions que celles du modèle OSI ainsi que 3 couches pour la gestion de la puissance, la gestion de la mobilité et la gestion des tâches. Le but d'un système en couches est de séparer le problème en différentes parties (les couches) selon leur niveau d'abstraction. Chaque couche du modèle communique avec une couche adjacente (celle du dessus ou celle du dessous). Chaque couche utilise ainsi les services des couches inferieures et en fournit à celle de niveau supérieur [17].


21

Figure 2.8 - Architecture de communication La pile protocolaire [17] utilisée par la station de base ainsi que tous les autres capteurs du réseau est illustrée par la figure 2.8. La pile protocolaire comprend la couche application, la couche transport, la couche réseau, la couche liaison de données, la couche physique, le plan de gestion de l’énergie, le plan de gestion de la mobilité et le plan de gestion des tâches. Selon les tâches de détection, différents types de logiciels d'application peuvent être construits et utilisés dans la couche application. La couche transport contribue au maintien du flux de données si l'application du réseau de capteurs l'exige. La couche réseau s'occupe de l'acheminement des données fournies par la couche transport. Comme l'environnement est sujet au bruit et que les nœuds-capteurs peuvent être mobiles, le protocole MAC (Media Access Control) de la couche liaison assure la gestion de l’accès au support physique, doit tenir compte de la consommation d'énergie et être en mesure de réduire les collisions entre les nœuds voisins lors d'une diffusion par exemple. La couche physique répond aux besoins d'une modulation simple mais robuste, et de techniques de transmission et de réception. En outre, les plans de gestion d'énergie, de mobilité et des tâches surveillent et gèrent la consommation d'énergie, les mouvements, et la distribution des tâches entre les nœuds-capteurs. Ces plans de gestion sont nécessaires, de sorte que les nœuds capteurs puissent fonctionner ensemble d’une manière efficace pour préserver l’énergie, router des données dans un réseau de capteurs mobile et partager les ressources entre les nœuds capteurs. 2.4.2 Connectivité et capture dans un réseau de capteurs Deux entités sont fondamentales dans le fonctionnement d’un capteur : l’unité d’acquisition qui permet la prise de mesure et l’unité de communication qui réalise la transmission de celle-ci vers d’autres dispositifs électroniques. Ainsi, fonctionnellement chaque capteur possède un rayon de communication (Rc) et un rayon de sensation (Rs). La figure 2.9 montre les zones définies par ces deux rayons pour le capteur A. La zone de communication est la zone où le capteur A peut communiquer avec les autres capteurs (les capteurs B et C dans la figure 2.9). D’autre part, la zone de sensation est la zone où le capteur A peut capter l’événement.

Couche physique

Couche liaison de données

Couche réseau

Couche transport

Couche application

Gestion d’énergie

Gestion de m

obilité G

estion des tâches


22

Figure 2.9 - Rayons de communication et de sensation d’un capteur 2.4.3 Domaines d’application des réseaux de capteurs Plusieurs types d’applications peuvent être développés pour les réseaux de capteurs sans fil. Nous identifions quatre grands scénarios d’applications [18] : Applications périodiques : Les capteurs prennent des mesures dans des intervalles de temps réguliers, et ils envoient les données au puits de manière périodique. Applications à la demande : Les capteurs attendent de recevoir un ordre du puits pour déclencher une mesure et l’envoyer. Cet ordre peut être généré par la demande manuelle d’un utilisateur humain ou d’une tâche automatique programmée. Applications événementielles : Dans ce type d’applications, l’envoi de données vers le puits est déclenché lorsqu’un événement particulier est détecté. Les événements peuvent être causés par le dépassement d’un seuil dans les mesures récoltées par le capteur. Applications hybrides : Toute combinaison des cas précédents. Les réseaux de capteurs peuvent se révéler très utiles dans de nombreuses applications lorsqu’il s’agit de collecter et de traiter des informations provenant de l’environnement. Parmi les domaines où ces réseaux peuvent offrir les meilleures contributions, nous citons les domaines : militaire, environnemental, médical, domestique, commercial, et la surveillance en général. Applications militaires : Le faible coût et le déploiement rapide sont des caractéristiques qui ont rendu les réseaux de capteurs efficaces pour les applications militaires. Plusieurs projets ont été lancés pour aider les unités militaires dans un champ de bataille et protéger les villes contre des attaques, telles que les menaces terroristes. Le projet DSN (Distributed Sensor Network) [19] au DARPA (Defense Advanced Research Projects Agency) était l’un des premiers projets dans les années 80 ayant utilisé les réseaux de capteurs pour rassembler des données distribuées. Les chercheurs du laboratoire national Lawrence Livermore ont mis en place le réseau WATS (Wide Area Tracking System) [20]. Ce réseau est composé de détecteurs des rayons gamma et des neutrons pour détecter et dépister les dispositifs nucléaires. Il est capable d’effectuer la surveillance constante d’une zone d’intérêt. Il utilise des techniques d’agrégation de données pour les rapporter à un centre intelligent. Ces chercheurs ont mis en place ensuite un autre réseau appelé JBREWS (Joint Biological Remote Early Warning System) [21] pour avertir les troupes dans le champ de bataille des attaques biologiques possibles. Un réseau de capteurs peut être déployé dans un endroit stratégique ou


23

hostile, afin de surveiller les mouvements des forces ennemies, ou analyser le terrain avant d’y envoyer des troupes (détection des armes chimiques, biologiques ou radiations). L’armée américaine a réalisé des tests dans le désert de Californie. Dans le contexte d’un champ de bataille, le déploiement rapide, l'auto-organisation, la sécurité de tolérance aux pannes du réseau devraient être assurée. Les nœuds capteurs devraient fournir les services suivants:

- Suivi des forces amies, de l'équipement et des munitions - surveillance champ de bataille. - Reconnaissance de forces ennemies. - Ciblage. - Evaluation des dommages de combat. - Détection des attaques : nucléaires, biologiques et chimiques.

Applications à la surveillance : L’application des réseaux de capteurs dans le domaine de la sécurité peut diminuer considérablement les dépenses financières consacrées à la sécurisation des lieux et des êtres humains. Ainsi, l’intégration des capteurs dans de grandes structures telles que les ponts ou les bâtiments aidera à détecter les fissures et les altérations dans la structure suite à un séisme ou au vieillissement de la structure. Le déploiement d’un réseau de capteurs de détection de mouvement peut constituer un système d’alarme qui servira à détecter les intrusions dans une zone de surveillance. Applications environnementales : Le contrôle des paramètres environnementaux par les réseaux de capteurs peut donner naissance à plusieurs applications. Par exemple, le déploiement des thermo-capteurs dans une forêt peut aider à détecter un éventuel début de feu et par suite faciliter la lutte contre les feux de forêt avant leur propagation. Le déploiement des capteurs chimiques dans les milieux urbains peut aider à détecter la pollution et analyser la qualité d’air. De même leur déploiement dans les sites industriels empêche les risques industriels tels que la fuite de produits toxiques (gaz, produits chimiques, éléments radioactifs, pétrole, etc.). Dans le domaine de l’agriculture, les capteurs peuvent être utilisés pour réagir convenablement aux changements climatiques par exemple le processus d’irrigation lors de la détection de zones sèches dans un champ agricole. Cette expérimentation a été réalisée par Intel Research Laboratory and Agriculture and Agri-Food Canada sur une vigne à British Columbia [22, 23, 24]. Applications médicales : Dans le domaine de la médecine, les réseaux de capteurs peuvent être utilisés pour assurer une surveillance permanente des organes vitaux de l’être humain grâce à des micro-capteurs qui pourront être avalés ou implantés sous la peau (surveillance de la glycémie, détection de cancers, etc.). Ils peuvent aussi faciliter le diagnostic de quelques maladies en effectuant des mesures physiologiques telles que : la tension artérielle, battements du cœur, etc. à l’aide des capteurs ayant chacun une tâche bien particulière. Les données physiologiques collectées par les capteurs peuvent être stockées pendant une longue durée pour le suivi d’un patient [25]. D’autre part, ces réseaux peuvent détecter des comportements anormaux (chute d’un lit, choc, cri, etc.) chez les personnes dépendantes (handicapées ou âgées). Applications domestiques : Avec le développement technologique, les capteurs peuvent être embarqués dans des appareils, tels que les aspirateurs, les fours à micro-ondes, les réfrigérateurs, les magnétoscopes, etc. [26]. Ces capteurs embarqués peuvent interagir entre


24

eux et avec un réseau externe via Internet pour permettre à un utilisateur de contrôler les appareils domestiques localement ou à distance. Le déploiement des capteurs de mouvement et de température dans les futures maisons dites intelligentes permet d’automatiser plusieurs opérations domestiques telles que : la lumière s’éteint et la musique s’arrête quand la chambre est vide, la climatisation et le chauffage s’ajustent selon les points multiples de mesure, l’alarme est déclenchée par le capteur anti-intrusion quand un étranger veut pénétrer dans la maison. Applications commerciales: Il est possible d’intégrer des capteurs au processus de stockage et de livraison dans le domaine commercial. Le réseau ainsi formé pourra être utilisé pour connaître la position, l’état et la direction d’un paquet. Il devient alors possible pour un client qui attend la réception d’un paquet, d’avoir un avis de livraison en temps réel et de connaître la localisation actuelle du paquet. Pour les entreprises manufacturières, les réseaux de capteurs permettront de suivre le procédé de production à partir des matières premières jusqu’au produit final livré. Grâce aux réseaux de capteurs, les entreprises pourraient offrir une meilleure qualité de service tout en réduisant leurs coûts [27].

Figure 2.10 – Application des réseaux de capteurs sans fil

Suivi d'animaux


25

2.4.4 Caractéristiques des réseaux de capteurs sans fil Un réseau de capteurs présente les caractéristiques suivantes [2, 10, 11, 12] :

Absence d’infrastructure – les réseaux Ad-hoc en général, et les réseaux de capteurs en particulier se distinguent des autres réseaux par la propriété d’absence d’infrastructure préexistante et de tout genre d’administration centralisée.

Taille importante – un réseau de capteurs peut contenir des milliers de nœuds. Interférences – les liens radio ne sont pas isolés, deux transmissions simultanées sur

une même fréquence, ou utilisant des fréquences proches, peuvent interférer. Topologie dynamique – les capteurs peuvent être attachés à des objets mobiles qui se

déplacent d’une façon libre et arbitraire rendant ainsi la topologie du réseau fréquemment changeante.

Auto-organisation : Vu les différents raisons qui provoquent une topologie instable du réseau de capteurs, ce dernier devra être capable de s’auto-organiser pour continuer ses applications. Cela voudrait dire que chaque nœud doit être capable de localiser ses voisins et établir des routes pour acheminer les paquets au sein du réseau.

Sécurité physique limitée – les réseaux de capteurs sans fil sont plus touchés par le paramètre de sécurité que les réseaux filaires classiques. Cela se justifie par les contraintes et limitations physiques qui font que le contrôle des données transférées doit être minimisé.

Bande passante limitée – une des caractéristiques primordiales des réseaux basés sur la communication sans fil est l’utilisation d’un médium de communication partagé. Ce partage fait que la bande passante réservée à un nœud est limitée.

Contrainte d’énergie, de stockage et de calcul - la caractéristique la plus critique dans les réseaux de capteurs est la modestie de ses ressources énergétiques car chaque capteur du réseau possède de faibles ressources en termes d’énergie (batterie). Afin de prolonger la durée de vie du réseau, une minimisation des dépenses énergétiques est exigée chez chaque nœud. Ainsi, la capacité de stockage et la puissance de calcul sont limitées dans un capteur.

Aisance de déploiement des nœuds : il existe deux moyens pour le déploiement d’un RCSF sur une zone à surveiller. La méthode la plus utilisée est la dissémination aléatoire, par largage des nœuds capteurs depuis un avion ou un hélicoptère. La méthode organisée, quant à elle, consiste à placer (manuellement, par robot, …) les capteurs dans un champ de captage dans des endroits prédéterminés.

Pannes fréquentes - Les nœuds peuvent être sujets à des pannes dues à leur fabrication (ce sont des produits de série bon marché, il peut donc y avoir des capteurs défectueux) ou plus fréquemment à un manque d'énergie. Les interactions externes (chocs, interférences) peuvent aussi être la cause des dysfonctionnements.

2.4.5 Système d’exploitation Les OSs destinés aux réseaux de capteurs doivent être de petite taille à cause des limitations en ressources physiques, mais avec plus de performances en temps d’exécution, en occupation de mémoire et en gestion d’énergie. Comme exemple d’OS pour les réseaux de capteurs nous pouvons citer : TinyOS : TinyOS (Tiny Operating System) est un système d’exploitation "open source" pour les réseaux de capteurs conçu par l’université américaine de BERKELEY. Sa conception a été


26

entièrement réalisée en NesC, langage orienté composant syntaxiquement proche du C. Il repose sur: • une architecture basée composant. • un modèle de programmation basé évènement. • un modèle de concurrence basé sur des évènements et des tâches. La bibliothèque de composants de TinyOS est particulièrement complète puisqu’on y retrouve des protocoles réseaux, des pilotes de capteurs et des outils d’acquisition de données. Un programme s’exécutant sur TinyOS est constitué d’une sélection de composants systèmes et de composants développés spécifiquement pour l’application à laquelle il sera destiné (mesure de température, du taux d’humidité…). Think: C’est une implémentation du modèle Fractal en C [28]. Il est développé par l’INRIA et France Télécom R&D pour: • Créer des systèmes d’exploitation pour les systèmes embarqués. • Créer les applications s’exécutant dessus. Il repose sur une utilisation plus large de l’ingénierie logicielle basée composant (aspect dynamique) et propose une gestion des aspects non fonctionnels via des contrôleurs. Contrairement à TinyOS, il permet l’allocation dynamique de ressources. 2.4.6 Déploiement d’un réseau de capteurs L’une des caractéristiques des réseaux de capteurs est la grande densité des nœuds redondants placés dans la région cible. La manière de déployer ces nœuds (ie: déterminer où les placer et suivant quelle structure permettant une couverture optimale de la région cible) est un problème qui reste toujours posé. Le déploiement des nœuds dépend de plusieurs facteurs: les capacités individuelle des nœuds, les caractéristiques de propagation radio, et la topologie de la région [29]. Plusieurs travaux sont faits pour cette raison, par exemple Sadegh et Spall [30] ont proposé un modèle pour le placement des nœuds en se basant sur la corrélation entre les réponses des nœuds. Plusieurs techniques d’optimisation sont étudiées pour être utilisées comme FDSA (Finite Difference Stochastic Approximation), SPSA (Simultaneous Perturbation Stochastic Approximation), DGBT (Deterministic Gradient Based Techniques), et les Algorithmes génétiques. Cette approche a pour avantage de ne pas nécessiter des mesures exactes sur la configuration initiale. Une approche basée sur les frontières (frontier-based) est proposée par [31] dans laquelle une carte d’occupation globale de l’environnement cible est construite de manière incrémentale. Cette carte est ensuite analysée afin de localiser les frontières entre les espaces libres et inconnus. Howitt et Ham [32] ont proposé une technique pour localiser la station de base en formulant le problème sous forme d’un modèle optimisant une fonction objective par des méthodes stochastiques. 2.4.7 Localisation des nœuds Puisque les capteurs peuvent être déployés arbitrairement, nous avons besoins de connaître leur emplacement afin de fournir des données significatives à l’utilisateur. De plus, des informations sur les positions des nœuds peuvent être nécessaires pour les protocoles utilisés dans les couches réseau et liaison. Il existe deux types de techniques de localisation: les techniques basées sur les balises (beacon based) et ceux basées sur la localisation relative (relative location based). Les deux familles de techniques peuvent utiliser l’estimation du rang et l’angle pour localiser les noeuds via la puissance du signal reçu (RSS: Received Signal Strength), le temps d’arrivée (TOA: Time Of Arrival), la différence des temps d’arrivée


27

(TDOA: Time Difference Of Arrival), et l’angle d’arrivée (AOA: Angle Of Arrival) [33]. Le système de localisation AHLoS (Ad Hoc Localization System) [34] a besoin de connaître la position de quelques nœuds à l’aide d’un système GPS (Global Positioning System) ou d’une configuration manuelle. Cela permet aux nœuds de découvrir leurs positions en deux phases: le rangement et l’estimation. Pendant la phase de rangement, chaque nœud estime le rang de ses voisins. La phase d’estimation permet aux nœuds voisins qui ne connaissent pas leurs positions d’utiliser les rangs estimés pendant la phase de rangement et les positions des nœuds balises afin d’estimer leurs positions. Un exemple des techniques basées sur la localisation relative est PLF (perceptive localization framework) [35]. Dans cette framework, un nœud est capable de détecter les positions des nœuds voisins en utilisant une technique d’estimation collaborative et en appliquant des filtres à une rangée de nœuds. Pour augmenter l’exactitude de l’estimation, la station de base peut envoyer des requêtes à tous les nœuds dans le chemin vers la source afin d’ajuster le filtre. Ce processus d’interaction locale ne nécessite aucun emplacement balise. De plus, une unité centrale de traitement n’est pas aussi nécessaire. 2.4.8 Synchronisation La synchronisation du temps est un élément critique dans un réseau de capteurs comme n’importe quel système distribué. Puisque le réseau de capteurs doit être sans surveillance pour une logue durée, un tel système temporel doit être aussi fiable que possible avec une certaine tolérance aux erreurs. Parce qu’une mauvaise synchronisation entre les nœuds peut influencer l’exactitude des données collectées, et la consommation d’énergie en traitant ces données. On peut distinguer trois types de techniques de synchronisation de temps [36]: • Serveurs temporels fixes: les nœuds sont liés à des serveurs temporels fixes ayant pour rôle de synchroniser le réseau. Ces serveurs doivent être robustes et très précis. • Transfère du temps: le temps est transféré saut par saut de la source vers la station de base. • Auto-organisation des serveurs temporels: ici, la synchronisation du temps ne dépend pas des serveurs temporels spécialisés. Les nœuds sont auto-organisés pour déterminer un nœud maître qui joue le rôle du serveur temporel temporairement. 2.4.9 Agrégation de données L’une des caractéristiques des réseaux de capteurs est la possibilité de réduire la quantité de données circulant dans le réseau, afin de conserver de l’énergie, en fusionnant les données par des nœuds particulier du réseau. Ce processus est appelé agrégation de données. L’agrégation exige, non seulement, la transmission des données mais aussi les messages de contrôle, ce qui impose des contraintes sur l’architecture du réseau. Pendant l’agrégation nous devons aussi prendre en considération quelques problèmes: Les erreurs dans les messages, les messages perdus, la redondance des données, la synchronisation entre les nœuds …etc. 2.4.10 Clustering Le clustering consiste à découper le réseau en groupes de nœuds appelés Cluster. Pour chaque cluster un nœud maître appelé Cluster-Head est élu selon l’état courant du réseau afin d’accomplir des tâches spécifiques. Il existe deux configurations possibles pour les clusters comme le montre la figure 2.11 [37]: dans la première, les membres du cluster ne communiquent qu’avec le cluster-head, par contre dans la deuxième, ils peuvent utiliser d’autres nœuds comme passerelles vers le cluster-head.


28

Figure 2-11 - Deux configurations pour les RCSFs découpés en Clusters [37] Le clustering aide à minimiser la consommation d’énergie en réduisant la quantité des données circulées par l’agrégation. De plus, il permet de faciliter la localisation des nœuds [38]. Plusieurs techniques sont proposées pour la construction des clusters et le choix du cluster-heaud. Ghiasi et al. [39] ont étudié les aspects théoriques du problème de clustering en considérant l’énergie comme paramètre d’optimisation. Ils ont modélisé le problème qu’ils appelaient balanced k-clustering comme un problème min-cost flow qui peut être résolu de façon optimale en utilisant les techniques existant pour ce problème. Certains auteurs ont inspiré des propriétés des colonies de fourmis des techniques pour construire les clusters par exemple ANTCLUST [40] et T-ANT [41]. Dans [42] un schéma de clustering est proposé, il prend en considération des informations sémantiques plus des propriétés de connectivités. La construction de l’arbre de cluster se fait en trois phases. La première est la propagation des requêtes dans laquelle chaque nœud satisfaisant une requête et des contraintes prédéfinies décide d’être un cluster-head. Dans la phase de formation des clusters, chaque cluster-head diffuse une annonce aux nœuds voisins les invitant à être membres de son cluster. La dernière phase est la diffusion des données des nœuds vers leurs cluster-head suivant un schéma d’arbre. 2.4.11 Sécurité Les principales caractéristiques des réseaux de capteurs font que l’application des mesures classiques de sécurité est restreinte. Les réseaux de capteurs sans fil possèdent certaines vulnérabilités [64]: • La première vulnérabilité est liée à la technologie sans fil. Quiconque possédant le récepteur adéquat peut potentiellement écouter ou perturber les messages échangés. • Les nœuds eux-mêmes sont des points de vulnérabilité du réseau car un attaquant peut compromettre un composant laissé sans surveillance. • L’absence d’infrastructure fixe pénalise l’ensemble du réseau dans la mesure où il faut faire abstraction de toute entité centrale de gestion pour l’accès aux ressources. • Les mécanismes de routage sont d’autant plus critiques dans les réseaux de capteurs que chaque nœud participe à l’acheminement des paquets à travers le réseau. De plus les messages de routage transitent sur les ondes radio. Dan ce qui suit, nous présentons quelques solutions proposées pour sécuriser les réseaux de capteurs sans fil : SPINS : C’est un ensemble de protocoles sécurisés pour les réseaux de capteurs développés à l’université de Berkeley [43]. SPINS est constitué de deux blocs sécurisés: SNEP et µTESLA. SNEP offre la confidentialité des données échangées et l’authentification mutuelle. µTESLA quant à lui est un nouveau protocole qui offre une diffusion authentifiée.


29

TinySec : C’est un mécanisme de chiffrement au niveau de la couche de liaison [44]. Le noyau de TinySec est intimement lié à la pile radio du système TinyOS. Il utilise une clef symétrique partagée par tous les nœuds du réseau. Avant de transmettre un paquet, le nœud chiffre les données et calcule un code d’authentification. Le récepteur, avant de déchiffrer le message, commence par vérifier l’intégrité du paquet en recalculant ce code. SEKEN : C’est un protocole sécurisé d’échange de clefs pour les réseaux de capteurs proposé par Jamshaid et Schwiebert [45]. Cette solution se base sur la possibilité de chiffrer un message avec la clef publique d’une station de base. Il utilise de la cryptographie symétrique. Mais au moment de l’authentification initiale avec la station de base, un minimum de cryptographie à clef publique est utilisé. 2.5 Conclusion Dans ce chapitre, nous avons défini et décrit ce qu’est un réseau de capteurs sans fil ainsi que ses caractéristiques. Nous avons décrit le capteur, ses fonctionnalités et son architecture. Nous avons cité les caractéristiques d’un réseau de capteurs et présenté quelques applications. Dans la suite, nous présenterons une vue détaillée sur la sécurité dans les réseaux de capteurs sans fil, en faisant le point sur les vulnérabilités, menaces, solutions et architectures de sécurité propres à ces types de réseaux.

Chapitre 3. La Sécurité dans les réseaux de capteurs sans fil

30

Chapitre 3

La Sécurité dans les réseaux de capteurs sans fil

3.1 Introduction Les RCSF connaissent actuellement une grande extension et une large utilisation dans différents types d'applications, exigeant une grande sécurité. Nous avons abordé dans le deuxième chapitre les principales caractéristiques des nœuds capteurs, entre autres une densité importante, une capacité limitée de calcul et de stockage, une communication sans-fil et une ressource énergétique limitée. Ces contraintes font que l'application des mesures classiques de sécurité est restreinte. En effet, les nœuds des RCSF possèdent des ressources limitées qui affectent leurs performances et donc limitent les calculs possibles. Mais de plus, la nature du déploiement des capteurs dans des endroits hostiles et difficiles d’accès, impliquent également d’autres problèmes : impossibilité de changement de batterie, possibilité d’accès et d’attaque physique des nœuds. Ainsi, de part ces limitations, les protocoles de sécurité dans les RCSF sont compliqués et ne peuvent pas seulement être une simple transposition des protocoles existant pour d’autres modèles. En raison de ces limitations, les réseaux de capteurs doivent faire face à de nombreuses attaques. Sans mesures de sécurité, un agent malveillant peut lancer plusieurs types d’attaques qui peuvent nuire au travail de nœuds capteurs et empêcher leur bon objectif de leur déploiement. La sécurité est donc une dimension importante pour ces réseaux. Des mécanismes de protection existent mais il est souvent nécessaire d’ajouter à ces systèmes des mécanismes de détection d’intrusion afin de compléter les fonctions de sécurité. Les points abordés, dans ce chapitre, traitent l'aspect sécurité dans les RCSF, les défis à relever, les problèmes de sécurité et on terminera par l'introduction d'un axe très important dans la construction d’une application de sécurité d’un RCSF, et qui est le déploiement des mécanismes de surveillance pour la sécurité d’un réseau de capteurs sans fil.

3.2 Définitions de base La sûreté de fonctionnement La sûreté de fonctionnement d’un système informatique est la propriété qui permet à ses utilisateurs de placer une confiance justifiée dans le service qu’il leur délivre [46]. La sûreté de fonctionnement peut être vue selon des propriétés différentes mais complémentaires, qui permettent de définir ses attributs : - Le fait d’être prêt à l’utilisation conduit à la disponibilité ; - La continuité du service conduit à la fiabilité ; - La non-occurrence de divulgations non-autorisées de l’information conduit à la confidentialité; - La non-occurrence d’altérations inappropriées de l’information conduit à l’intégrité; - L’aptitude aux réparations et aux évolutions conduit à la maintenabilité ; - La non-occurrence de défaillances catastrophiques conduit à la sécurité.

Les entraves à la sûreté de fonctionnement sont de trois ordres [46] : défaillances, erreurs et fautes.


31

- Il y a défaillance lorsque le service délivré dévie du service spécifié. - L’erreur est la partie de l’état du système susceptible d’entraîner une défaillance. - La faute est la cause de l’erreur.

Figure 3.1 - Schéma de dépendance

Les moyens de la sûreté de fonctionnement sont les méthodes, outils et solutions qui permettent de fournir au système l’aptitude à délivrer un service conforme au service spécifié, et de donner confiance dans cette aptitude. La conception et la réalisation d’un système informatique sûr de fonctionnement passent par l’utilisation combinée d’un ensemble de méthodes qui peuvent être classées de la manière suivante :

- prévention des fautes : comment empêcher, par construction, l’occurrence ou l’introduction de fautes,

- tolérance aux fautes : comment fournir, par redondance, un service conforme à la spécification, en dépit des fautes,

- élimination des fautes : comment réduire, par vérification, la présence de fautes (leur nombre et leur gravité),

- prévision des fautes : comment estimer, par évaluation, la présence et la création des fautes et leurs conséquences.

Les fautes Les fautes, ainsi que leurs sources sont extrêmement diverses. Les principales facettes selon lesquelles on peut les classer sont leur cause, leur nature, leur phase de création ou d’occurrence, leur situation par rapport aux frontières du système, et leur persistance (tableau 3.1) [46].

Tableau 3.1 - Les classes de fautes élémentaires Quand on s’intéresse à la sécurité informatique, la principale classe de fautes à prendre en compte est celle des fautes dues à l’homme, qu’elles soient intentionnelles ou accidentelles. Ces fautes donnent lieu à quatre classes de fautes combinées : - les fautes de conception, qui sont des fautes de développement accidentelles ou intentionnelles sans volonté de nuire, résultent généralement de compromis effectués durant la


32

conception, dans un souci de conserver au système un niveau de performances acceptable, de faciliter son utilisation, ou encore pour des raisons économiques; - les fautes d’interaction, qui sont des fautes externes, accidentelles ou intentionnelles sans volonté de nuire, peuvent résulter de l’action d’un opérateur soit destinée à faire face à une situation imprévue, soit violant délibérément des procédures sans avoir réalisé les conséquences malheureuses de son action. Généralement, ces fautes ne sont identifiées qu’après qu’elles aient causé une défaillance; - les logiques malignes, qui sont des fautes internes intentionnellement nuisibles recouvrent aussi bien des fautes de développement comme les chevaux de Troie, les portes dérobées, les bombes logiques, ou des fautes opérationnelles comme les virus et les vers; - les intrusions, qui sont des fautes opérationnelles externes intentionnellement nuisibles. La surveillance La surveillance est un dispositif passif, informationnel, qui analyse l'état du système et fournit des indicateurs. La surveillance consiste notamment à détecter et classer les défaillances en observant l'évolution du système, puis à les diagnostiquer en localisant les éléments défaillants et en identifiant les causes premières. C’est une tâche continue, réalisée en temps réel, de détermination de l'état d'un système physique qui consiste en l'enregistrement des informations ainsi qu'en la reconnaissance et l'indication des anomalies du comportement [12]. La supervision De manière générale, la supervision correspond à l’action de contrôler un système, afin de prendre des actions nécessaires si le système est hors de l’objectif de commande. De manière simple, la supervision consiste à détecter le comportement présent du système en différenciant entre plusieurs états (normal et défaillants) du processus et le diagnostic est l’identification de la nature d’un dysfonctionnement, ce qui fait appel à des techniques de surveillance [12, 247]. Diagnostic dans un RCSF Le diagnostic joue un rôle très important dans n'importe quel système, c'est un atout de surveillance et de sureté de fonctionnement. Il est basé sur des tests effectués sur tout ou partie du système dans le but d'avoir toujours un ensemble opérationnel et de mettre en question les défauts de conception et de fabrication des composants. Pour un réseau de capteurs sans fil, l'objectif du diagnostic est d'avoir un réseau qui remplit ses taches avec un rendement optimal. D'une manière générale, on distingue deux catégories de tests suivant la manière dont ils sont exercés sur le système. On a donc les tests en ligne et les tests hors lignes. La nature et les missions d'un réseau de capteurs sans fil nécessitent des opérations de détection et de reconfiguration en temps réel et par un module automatique (sans intervention humaine). C'est-à-dire il doit être doté d'un mécanisme de test et de réaction aux défauts qui est intégré dans le réseau, ce principe fait appelle aux termes d'auto-organisation ou d'auto-reconfiguration. Les tests en ligne permettent de reconfigurer le réseau en un temps restreints en cas de détection de défaillances. Pour surveiller un réseau de capteurs sans fil, il est intéressant d’opter pour des tests en ligne afin d'améliorer le rendement et la sureté de fonctionnement du réseau [12]. La figure 3.2, illustre ce principe.


33

Figure 3.2 - Principe de surveillance d'un RCSF La sécurité Dans le domaine de l’informatique, le mot “sécurité” correspond au mot anglais “security” et concerne la capacité du système informatique à résister à des agressions externes physiques (incendie, inondation, bombes, etc.) ou logiques (erreurs de saisie, intrusions, piratages, logique malicieuse, etc.). C’est généralement le sens choisi par les spécialistes de l’audit de sécurité, lorsqu’ils doivent, pour une entreprise donnée, évaluer les risques liés à l’informatique. Mais plutôt que de définir la sécurité vis-à-vis des conséquences de la non-sécurité (au sens safety) ou vis-à-vis des agressions contre la sécurité (au sens “security”), il semble préférable, de considérer la sécurité comme la combinaison de trois propriétés : la confidentialité, l’intégrité et la disponibilité de l’information. Notons que ces trois propriétés se rapportent à l’information, et le terme d’information doit être pris ici dans son sens le plus large, couvrant non seulement les données et les programmes, mais aussi les flux d’information, les traitements et la connaissance de l’existence de données, de programmes, de traitements, de communications, etc. La sécurité, telle qu’elle est ici appréhendée, implique d’empêcher la réalisation d’opérations illégitimes contribuant à mettre en défaut les propriétés de confidentialité, d’intégrité et de disponibilité, mais aussi de garantir la possibilité de réaliser les opérations légitimes dans le système. [47]. Politique de sécurité Une politique de sécurité est un en semble de règles qui fixent les actions autorisées et interdites dans le domaine de la sécurité [48]. Intrusions, attaques, vulnérabilités Une intrusion est définie comme étant une faute opérationnelle, externe, intentionnellement nuisible, résultant de l’exploitation d’une vulnérabilité dans le système [Powell & Stroud 2003]. L’usage courant du mot intrusion couvre le fait de pénétrer illégalement ou sans y être convié dans un lieu, une société, etc. En outre, le système peut être attaqué (que ce soit par un intrus interne ou externe) sans succès. Dans ce cas, l’attaque existe, mais la protection est suffisamment efficace pour empêcher l’intrusion. Il existe toujours deux causes sous-jacentes à une intrusion (figure 3.3) : - une action malveillante ou attaque qui tente d’exploiter une faiblesse dans le système et de violer un ou plusieurs besoins de sécurité;


34

- au moins une faiblesse, faille ou vulnérabilité, qui est une faute accidentelle ou intentionnelle (avec ou sans volonté de nuire), introduite dans la spécification, la conception ou la configuration du système.

Figure 3.3 - Intrusion interprétée comme une faute composite. En définissant une menace comme l'arrivée potentielle d’événements qui peuvent causer des pertes, c’est aussi une violation potentielle d’une propriété de sécurité [49]. Les couples (menace, vulnérabilité) permettent d’identifier les risques auxquels le système étudié peut être soumis. Une attaque contre la sécurité du système peut provenir de l’intérieur ou de l’extérieur. Un intrus interne peut être défini comme étant un utilisateur malveillant appartenant à l’organisation, tandis qu’un intrus externe est une personne n’ayant pas de privilèges. Il est donc un individu non enregistré comme utilisateur, mais qui tente de pénétrer le système en trompant ou en contournant les mécanismes d’authentification et d’autorisation. D’une manière générale, un utilisateur malveillant suit l’une des deux logiques suivantes : soit il contourne les mécanismes qui implémentent la politique de sécurité ; soit il exploite les limites et les failles de cette politique. Cette distinction a un effet direct sur les types d’intrusions, notamment : - les vols de privilèges ou accroissement non autorisé de privilèges ; il s’agit d’un changement des privilèges d’un utilisateur sans que cela soit autorisé par la politique de sécurité : par exemple, un utilisateur qui essaye de contourner les mécanismes d’autorisation pour lire des informations confidentielles ; - les abus de privilèges ou utilisation abusive des opérations autorisées ; par exemple des utilisateurs privilégiés comme les administrateurs du système, les opérateurs ou les officiers de sécurité, peuvent abuser de leurs privilèges pour effectuer des actions malveillantes. Par ailleurs, il est intéressant de se pencher également sur les cas où une attaque contre la sécurité du système peut être accidentelle. Mauvais comportement (Misbehavior) On définit un mauvais comportement comme un acte non autorisé d’un nœud interne qui peut entraîner involontairement des dommages à d'autres nœuds. C'est-à-dire, ce nœud a d’autres objectifs que de lancer une attaque [50]. Par exemple, un nœud qui refuse de transférer les paquets vers les autres nœuds pour préserver ses ressources.


35

3.3 Obstacles de la sécurité des RCSFs Un réseau de capteurs sans fil est un réseau spécial qui a de nombreuses contraintes, comparés au réseau informatique traditionnel. En raison de ces contraintes, il est difficile de recourir directement à des approches de sécurité existantes pour le domaine des réseaux de capteurs sans fil. Par conséquent, élaborer des mécanismes de sécurité efficaces tout en empruntant des idées à partir des techniques de sécurité actuelles. Il est toutefois primordiale de connaître et comprendre ces contraintes [51, 52, 59]. 3.3.1 Ressources très limitées

Toutes les approches de sécurité nécessitent une certaine quantité de ressources pour leur implémentation, y compris la mémoire de données, l'espace du code, et l'énergie pour alimenter le capteur. Toutefois, actuellement, ces ressources sont très limitées dans un minuscule capteur sans fil.

Mémoire et espace de stockage limitée: Un capteur est un petit appareil avec seulement une petite quantité de mémoire et d'espace de stockage pour le code. Afin de construire un mécanisme de sécurité efficace, il est nécessaire de limiter la taille du code de l'algorithme de sécurité. Par exemple, un type de capteur dispose de 8-bit, 4MHZ de CPU avec seulement 8K (total) de mémoire et d'espace disque. Avec une telle limitation, le logiciel embarqué pour le capteur doit également être assez faible. L'espace total disponible dans le code de TinyOS, le système d'exploitation pour les capteurs sans fil, est à peu près 4K [54], et l'ordonnanceur de base occupe seulement 178 octets. Par conséquent, la taille du code lié à la sécurité doit également être de petite taille.

Puissance d'énergie limitée: l’énergie représente la plus grande contrainte pour les

capteurs sans fil. une fois les nœuds capteur déployés, ils ne peuvent pas être facilement remplacées (coût de l’opération élevé) ou à recharger (coût des capteurs élevé). Par conséquent, la charge de la batterie prises avec eux sur le terrain doit être conservée pour prolonger la vie d’un nœud capteur de manière individuelle et le réseau de capteurs en ensemble. Lors de l'implémentation d'une fonction de chiffrement, d’une fonction de surveillance ou d’un protocole de calcul quelconque au sein d'un nœud de capteur, l'impact énergétique du code de sécurité ajouté, doit être pris en considération. La puissance supplémentaire consommée par les nœuds de capteurs en raison de la sécurité est liée au traitement requis pour les fonctions de sécurité (par exemple, chiffrement, déchiffrement, signature de données, la vérification des signatures, calcul des profils comportemental des nœuds capteur, détection, génération d’alerte , etc.), l'énergie nécessaire pour transmettre les données relatives à la sécurité ou les frais généraux (par exemple, des vecteurs d'initialisation nécessaire pour le chiffrement / déchiffrement), et l'énergie nécessaire pour stocker les paramètres de sécurité d'une manière sûre (par exemple, le stockage de clés de chiffrement).


36

3.3.2 Communication non fiable La communication peu fiable est une autre menace pour la sécurité des réseaux de capteurs. La sécurité du réseau repose largement sur un protocole défini, qui à son tour dépend de la communication.

Transfert non fiables, le routage des paquets du réseau de capteurs fonctionne en mode sans connexion et donc par nature peu fiable. Les paquets peuvent être endommagés en raison des erreurs du canal ou ils sont perdus au niveau des nœuds très encombrés. Le résultat c’est la perte ou manque des paquets. En outre, le canal de communication sans fil peut fiable génère aussi des résultats en paquets endommagés. Augmentation du taux d'erreurs du canal, forces également les développeurs du logiciel de déployer beaucoup de ressources pour la gestion des erreurs. Plus important encore, si le protocole n'a pas les moyens appropriés pour la manipulation des erreurs, il est possible de perdre des paquets critiques pour la sécurité. Il peut s'agir, par exemple, d’une clé de chiffrement, d’une alerte, etc.

Le Conflits, même si le canal est fiable, la communication peut encore ne pas être fiable. Cela est dû à la nature de diffusion du réseau de capteurs sans fil. Si les paquets se rencontrent au milieu de transfert, les conflits se produit et le transfert lui-même échoue. Les réseaux de capteurs sont déployés en haute densité, ceci peut être aussi le problème majeur. Plus de détails sur l'effet de la communication sans fil peut être trouvé dans [55].

Le Temps de latence, Le routage multi-saut, la congestion du réseau, et le traitement au niveau des nœuds, peut conduire à la latence du réseau, donc il est difficile de réaliser la synchronisation entre les nœuds de capteurs. Les problèmes de synchronisation peuvent être critiques pour la sécurité des capteurs où le mécanisme de sécurité repose sur les rapports d'événements critiques. Les lecteurs intéressés peuvent se référer à [56] sur les communications en temps réel dans les réseaux de capteurs sans fil.

3.3.3 Fonctionnement sans surveillance Selon la fonction d’un capteur particulier, les nœuds de capteurs peuvent être laissés sans surveillance pendant de longues périodes de temps. Il existe trois principales réserves pour les nœuds capteurs sans surveillance :

L'exposition à des attaques physiques, Le capteur peut être déployé dans un environnement hostile et ouvert à des adversaires, le mauvais temps, etc. La probabilité d'un capteur de subir une attaque physique dans un tel environnement est donc beaucoup plus élevée que le dans le cas d’un PC typique, qui est situé dans un endroit sûr.

La gestion à distance, la gestion à distance d'un réseau de capteurs pour détecter

toute altération physique et les problèmes d'entretien physique (par exemple, le remplacement des piles), est pratiquement impossible. L'exemple le plus concret, un nœud de capteur utilisé pour des missions de reconnaissance à distance derrière les lignes ennemies.


37

Dans un tel cas, le nœud une fois déployé ne peut avoir aucun contact physique avec les forces amies.

Pas de point de gestion centralisée, Un réseau de capteurs doit être un réseau distribué sans point de gestion central. Cela permettra d'accroître la vitalité du réseau de capteurs. Toutefois, s'ils sont conçus de manière incorrecte, il sera un réseau à organisation difficile, inefficace et fragile. Peut-être plus important, que si un capteur est laissé sans surveillance, dans ce cas le plus probable un adversaire va compromettre le nœud en question.

3.4 Les exigences de la sécurité Un réseau de capteurs est un type particulier de réseau. Il partage certains points communs avec un réseau informatique classique, mais pose également des exigences qui lui sont propres tel que ceux discuté dans le chapitre 2. Lorsque nous abordons le problème de sécurité, nous visons à atteindre certains objectifs. Les objectifs de sécurité sont classés comme principaux et secondaires [51, 57]. Les principaux objectifs sont connus comme objectifs standards de sécurité tel que: la confidentialité, l'intégrité, l'authentification et la disponibilité. Les objectifs secondaires sont : La fraîcheur, la non-répudiation, le contrôle d’accès, l'auto- organisation, la synchronisation et la localisation sécurisée. 3.4.1 Les objectifs principaux L’authentification Ce service permet de coopérer au sein des RCSF sans risque, en contrôlant et en identifiant les participants. En effet, la communication entre deux nœuds dans un environnement ouvert est confrontée aux risques qu’il y ait d’autres nœuds qui cherchent à emprunter une identité des nœuds légitimes pour s’approprier leurs données. Dans ce cas, un attaquant pourra facilement se joindre au réseau et injecter des messages erronés s’il réussit à s’emparer de cette identité. Plus simplement, l’authentification est un mécanisme qui permet de séparer les amis des ennemis. La confidentialité des données La confidentialité des données est le problème le plus important dans la sécurité réseau. Chaque réseau sécurisé vise à assurer ce premier problème. Dans les réseaux de capteurs, la confidentialité concerne les éléments suivants :

- Un réseau de capteurs doit préserver le secret des messages échangés et ne pas les révélés aux adversaires. Surtout pour une application militaire, les données stockées dans le nœud capteur peuvent être très sensible.

- Dans de nombreuses applications les données communiquer sont hautement sensibles, par exemple, la distribution des clés, et donc il est très important de construire un canal sécurisé dans un réseau de capteurs sans fil.

- Les informations publiques des capteurs, telles que les identités des capteurs et les clés publiques, devraient également être crypté pour les protéger contre les attaques d'analyse du trafic. L'approche standard pour garder secrètes les données sensibles est de chiffrer les données avec une clé secrète, tel que seuls les récepteurs destinés la possèdent,


38

L'intégrité des données Avec la mise en œuvre de la confidentialité, un adversaire peut être incapable de voler des informations. Toutefois, cela ne signifie pas que les données sont en sécurité. L'adversaire peut modifier les données. Par exemple, un nœud malicieux peut ajouter des fragments ou modifier les données dans un paquet. Ce nouveau paquet peut alors être envoyé au récepteur d'origine. La perte de données ou des dommages peut même se produire sans la présence d'un nœud malveillant en raison de l'environnement de communications difficiles. Ainsi, l'intégrité des données garantit que les données reçues n'ont pas été altérées durant leur transit dans le réseau de manière volontaire ou accidentelle. Elle peut être assurée par l'utilisation des fonctions de hachage cryptographiques qui permettent d'obtenir pour chaque message une empreinte numérique. La disponibilité Ce service désigne la capacité du réseau à assurer ses services pour maintenir son bon fonctionnement en garantissant aux parties communicantes la présence et l’utilisation de l’information au moment souhaité. Comme les nœuds peuvent jouer le rôle de serveurs, la disponibilité reste difficile à assurer. En effet, un nœud peut ne pas servir des informations pour ne pas épuiser ses ressources d’énergie, de mémoire et de calcul en provoquant ainsi un mauvais comportement, des calculs et des communications supplémentaires peuvent consommés plus d'énergie, et provoquent la non disponibilité des données. Des attaques de type dénis de service peuvent eux aussi causés la non disponibilités des services offertes par le réseau.

3.4.2 Les objectifs secondaires La fraîcheur des données Ce service permet de garantir que les données échangées sur le réseau sont actuelles et ne sont pas une réinjection de précédents échanges interceptés par un attaquant. Même si la confidentialité et l'intégrité des données sont assurées, nous devons également veiller à la fraîcheur de chaque message. Cette exigence est particulièrement importante quand il s’agit de stratégies de sécurité basée sur l’utilisation de clé partagée. Typiquement les clés partagées ont besoin d'être changé au fil du temps. Cependant, il faut du temps pour que de nouvelles clés partagées soient propagées à l'ensemble du réseau. Dans ce cas, il est facile pour l'adversaire d'utiliser une attaque de répétition (replay attack). La non-répudiation Ce service génère, maintient, rend disponible et valide un élément de preuve concernant un événement ou une action revendiquée de façon à résoudre des litiges sur la réalisation ou non de l’événement ou de l’action. C’est donc un mécanisme prévu pour assurer l’impossibilité que la source ou la destination puisse nier avoir reçu ou émis un message. Le contrôle d’accès Ce service consiste à empêcher des éléments externes d’accéder au réseau, et cela en attribuant aux participants légitimes des droits d’accès afin de discerner les messages provenant des sources internes du réseau de ceux externes. L’auto-organisation Un réseau de capteurs sans fil est un type de réseau ad hoc, où chaque nœud capteur doit être indépendant et suffisamment souple pour s’auto-organiser et s’auto-guéris on fonction de


39

différentes situations. Dans ce type de réseau, Il n'y a aucune infrastructure fixe disponible pour la gestion du réseau. Cette caractéristique inhérente apporte un grand défi à la sécurité des RCSFs. La synchronisation La synchronisation du temps est un élément critique dans un réseau de capteurs comme n’importe quel système distribué. Puisque le réseau de capteurs doit être sans surveillance pour une logue durée, un tel système temporel doit être aussi fiable que possible avec une certaine tolérance aux erreurs. Une mauvaise synchronisation entre les nœuds peut influencer l’exactitude des données collectées, et la consommation d’énergie traitant ces données. Dans [58], les auteurs proposent un ensemble de protocoles de synchronisation sécurisée. La localisation sécurisée Souvent, l'utilité d'un réseau de capteurs s'appuiera sur sa capacité à bien localiser automatiquement chaque capteur dans le réseau. Par exemple un réseau de capteurs conçus pour localiser les défauts aura besoin d'informations de localisation précises afin de repérer l'emplacement d'une faute. Malheureusement, un attaquant peut facilement manipuler les informations de localisation non sécurisé. 3.5 Les attaques dans un RCSF Quelques faiblesses sont inhérentes aux RCSF, d'autres sont liées à la technologie retenue. Nous distinguons deux catégories : les vulnérabilités physiques et les vulnérabilités technologiques. Parmi les vulnérabilités physiques, retenons le fait qu'un capteur est fréquemment installé dans un lieu peu sûr, tels que les lieux publics, les environnements naturels (forêt, région montagneuse, désert, etc.), aussi un adversaire peut facilement compromettre un nœud et obtenir le matériel cryptographique sauvegardé au niveau de sa mémoire, et cela dans le but de compromettre les liens de communication ou d'injecter du code pour détourner son utilisation. Les vulnérabilités technologiques sont liées à plusieurs facteurs, tel que l'utilisation d'une bande de fréquence rendant possible la fabrication ou l'achat d'émetteurs/récepteurs par n'importe qui, de plus la limitation des ressources restreint les mécanismes de sécurité. Dans les RCSFs, aucune des applications citées dans le chapitre 2, ne serait fonctionnée correctement si des mesures de sécurité ne sont pas prises en considération. La sécurité des RCSFs peut être classée en deux grandes catégories : La sécurité opérationnelle, et la sécurité des informations :

- La sécurité opérationnelle a comme objectif qu'un réseau devrait continuer à fonctionner même lorsque certains de ses composants sont attaqués (exigence de la disponibilité du service).

- La sécurité des informations a comme objectif que des informations confidentielles ne devraient jamais être divulgués, et que l'intégrité et l'authenticité de l'information devraient toujours être assurés. Ces objectifs sont marqués d'une croix dans le tableau 3.2 s'ils sont violés par l’attaque correspondante [60].


40

Tableau 3.2 Les éventuelles menaces dans les RCSFs .

Le tableau 3.2, énumère certaines des éventuelles menaces qui peuvent être attendus de l'absence de mécanismes de sécurité, D=Disponibilité, C=Confidentialité, I=Intégrité et A=Authentification. Les caractéristiques des réseaux de capteurs sans fil, tels que la tolérance aux fautes, l’auto-organisation, la détection de haute fidélité, le faible coût et le déploiement rapide ont créé de nombreuses nouvelles applications de ces réseaux, telles que la surveillance de la faune, la réponse aux catastrophes, la surveillance militaire, le contrôle de la qualité industrielle et des bâtiments intelligents, etc. [55]. Cependant la nature ouverte de communication sans fil, l'absence d’infrastructures, et le déploiement dans des environnements hostiles où ils sont très exposés au vandalisme physique , les rend très vulnérables à un éventail type d'attaques [61,62,63, 64], tels que :l'attaque Wormhole, l'attaque Rushing, l'attaque Sybil, l’attaque Sink-hole, l'attaque Hello flood, l’attaque Blackhole et l’attaque Selective forwarding. Les conséquences liées à ces attaques peuvent varier d’une simple écoute du trafic jusqu’à l’arrêt total du réseau selon les capacités des attaquants. Pour les combattre, il est nécessaire de les connaître et les classées par types d’attaques afin de mettre en œuvre des politiques de sécurité les plus efficaces et les plus optimales.


41

3.5.1 Classification des attaques Les premières approches sont basées sur de simples listes de termes. Ils classent les attaques en sélectionnant les termes les plus descriptifs. Le nombre de termes diffère d’un auteur à un autre. Par exemple, Cohen définit 39 termes dans [66] et 94 dans [67]. Icove [67] utilise une liste de 24 termes. D’autres auteurs ont construit des catégories qui regroupent plusieurs termes sous un thème commun. Le nombre de catégories devient relativement court, une attaque étant classée en sélectionnant la catégorie qui décrit le mieux l’information portée par l’alerte. La classification de Cheswick et Bellovin fait partie de ce type de classification. Leurs travaux dans [65] décrivent une liste de sept catégories ; chaque catégorie est définie par une description et c’est la description de la catégorie qui guide le processus de classification. Jayaram et Morse ont développé une liste de catégories pour des menaces de sécurité pesant sur les réseaux [68]. Cinq catégories ont été proposées : la menace physique, la vulnérabilité, les programmes malveillants, l’usurpation de l’identité des utilisateurs légitimes dans le but d’accéder aux ressources du système (obtention des droits d’accès), et les menaces basées sur les communications. Cette taxonomie ne couvre qu’une partie des menaces et les catégories se recouvrent. Perry [69] a créé une matrice à deux dimensions afin d’élargir le champ de la classification et de former un schéma qui fait correspondre les attaquants potentiels aux dommages potentiels. Il est difficile d’associer des attaquants potentiels aux dommages spécifiques et vice versa, par manque de restrictions sur les attaquants spécifiques par rapport aux dommages spécifiques. Les cellules de cette matrice ne peuvent pas couvrir tous les types d’attaque, mais la représentation sous forme de matrice représente une amélioration par rapport aux classifications représentées sous forme de liste car elle tente de séparer les caractéristiques d’une attaque. Cette classification est une forme de taxonomie. Stallings [70] se base sur les menaces de la sécurité durant la transmission de données à travers l’Internet. Son modèle se focalise sur les différentes actions qui peuvent s’appliquer aux données. Il définit quatre catégories d’attaques :

- Interruption, attaque contre la disponibilité, dans ce cas un lien de communication devient perdu ou indisponible,

- Interception, attaque contre la confidentialité, dans ce cas le réseau des capteurs est compromis par un attaquant qui gagne un accès non autorisé à un nœud ou aux données échangées par ce dernier,

- Modification, attaque contre l’intégrité, dans ce cas l’attaquant fait certains changements aux paquets de routage, et ainsi met en danger ses intégrités dans les réseaux,

- Fabrication, attaque contre l’authentification, dans ce cas l’adversaire injecte de fausses données et compromet la fiabilité des informations transmises.

Cette taxonomie présente un cadre d’application spécifique qu’aux données avec une classification très générale qui ne pourrait pas être considérée comme suffisante pour accéder aux propriétés des attaques. La figure 3.4, suivante montre les quatre catégories d’attaques définit par Stallings [70].


42

Figure 3.4 - Classification des attaques selon Stallings. Dans [71, 72], les auteurs se sont intéressés à regrouper les alertes suivant les résultats des attaques (effets ou conséquences). D’autres auteurs ont pu construire leurs taxonomies sur des données empiriques en se basant sur un corpus d’alarmes générées dans un environnement spécifique pour développer une liste de catégories. Neumann et Parker ont développé un modèle qu’ils appellent SRI Computer Abuse Methods Model. Ils ont publié dans [73] 9 classes de techniques d’attaques en se basant sur des données empiriques d’environs trois mille cas. Neumann s’est basé sur la classification de [73] et l’a étendu en ajoutant les vulnérabilités exploitées et l’impact de l’attaque [74]. Lindqvist et Jonson [75] ont monté une expérience d’intrusion sur un système dans le but de trouver des mesures opérationnelles pour la sécurité d’un système et ainsi de répondre aux besoins des propriétaires et des administrateurs du système. Ils ont remarqué que l’intrusion peut être décrite par plusieurs attributs. Ils ont retenu comme attributs les techniques d’intrusion et les résultats d’intrusion pour former leur taxonomie. Les travaux de [73] ayant portés sur les catégories de techniques d’attaques, Lindqvist et Jonson se sont basés sur ces catégories pour enrichir la partie concernant les techniques d’intrusion de leur taxonomie. Au final, ils n’ont réutilisé et étendu que trois catégories de cette dernière. Les personnes qui ont menés les expériences d’attaques dans [75] étaient des utilisateurs autorisés dans le système. Les auteurs n’ont donc réutilisé et étendu que les trois catégories des techniques d’intrusion développées dans les travaux de Neumann qui étaient liées aux utilisateurs autorisés à utiliser le système. Kumar dans son manuscrit de thèse [76] a développé une classification des attaques basée sur les complexités des signatures (motifs ou pattern) laissées dans les fichiers journaux par les intrusions. La classification est prévue pour une utilisation dans les systèmes de détection d’intrusions basée sur les techniques de pattern matching. Kumar a proposé une taxonomie des attaques selon la complexité de la signature par laquelle une attaque est détectée. De son point de vue, la complexité de la signature est liée à la complexité du calcul de la détection d’une attaque. Kumar classe les attaques en fonctions de leurs manifestations dans les données collectées par des capteurs. Ces manifestations ont portées sur la difficulté de la détection de la signature, non sur la présence de certains types de manifestations. Elles ne pourront pas servir à la détection d’intrusions.


43

Howard [77] a développé une taxonomie des incidents basée sur les données du Computer Emergency Response Team (CERT)1 collectées de 1989-1995. Il a créé une taxonomie dont le schéma de classification est composé des types d’attaquants, des outils utilisés, des informations sur les accès, des résultats et de l’objectif de l’attaque. Sa taxonomie présente des incidents du point de vue opérationnel. Il a souligné la nécessité de structurer les rapports d’incidents pour améliorer les réponses suite à un incident. Les travaux de Howard et Longstaff évoquent le besoin d’un langage commun pour la représentation des informations de sécurité ainsi que les avantages que peut offrir un tel langage [78]. Ils ont développé une taxonomie dont l’objectif est de classer et de comprendre les informations sur les incidents de sécurité et sur les vulnérabilités. La taxonomie proposée par Howard et Longstaff s’est basée sur la taxonomie d’Howard [77] en lui ajoutant quelques catégories et en fusionnant d’autres [78]. Les catégories de la classification reposent sur les attaquants, les outils, les vulnérabilités, les actions, les cibles, les résultats non autorisés et les objectifs. Cette taxonomie fait la différence entre plusieurs notions et définit l’événement, l’attaque et l’incident. Daniel Weber [79] a proposé une taxonomie d’attaques basée sur trois éléments : le niveau du privilège requit par l’attaquant, les moyens par lesquels l’attaque a été effectuée et l’effet d’une attaque. Les auteurs dans [80] au MIT’s Lincoln Laboratory ont adopté la taxonomie de Weber la réduisant en se basant uniquement sur l’effet de l’attaque. Les auteurs dans [81] critiquent les taxonomies sur les attaques citées ci-dessus en arguant le fait que prendre le point de vue de l’attaquant biaise la modélisation : ils parlent de taxonomies centrées sur l’attaque (attack-centric) car ils se sont basés sur les objectifs des attaquants. Ils proposent une taxonomie centrée sur la défense (defense-centric) se justifiant par le fait que les administrateurs de sécurité ainsi que les processus de détection ont besoin d’un moyen de déterminer si leurs processus de détection sont réellement opérationnels. Ils suggèrent qu’une taxonomie centrée sur la défense sert de manière plus efficace qu’une taxonomie centrée sur les attaques. Leur schéma de classification est composé de : symbole étranger (nouvelle manifestation d’une attaque présente dans le fichier journal), séquence minimale étrangère (séquence d’appels système qui n’a jamais été présente dans les enregistrements normaux), séquence dormante (la manifestation d’une attaque contenant une sous séquence d’une séquence d’un enregistrement normal des appels systèmes) et séquence quasi normale (traduction personnelle de ”Non-anomalous sequence”), c’est-à-dire la manifestation d’une attaque par une séquence d’appels système qui correspond exactement à une séquence normale. L’idée est intéressante, la taxonomie développée pouvant permettre de définir des seuils pour les algorithmes de corrélation afin de détecter des attaques inconnues. Chakrabarti et Manimaran dans [82] ont présenté une taxonomie des attaques sur les infrastructures. Leur objectif était de chercher des solutions à long terme afin de parvenir à sécuriser les communications sur Internet. Quatre catégories d’attaques ont été proposées. La première concerne le service DNS qui est l’une des clés de voûte actuel de l’Internet. La deuxième se rapporte aux tables de routages et aux attaques qui visent à les altérer. La troisième catégorie est constituée par un ensemble de menaces visant à apporter une mauvaise gestion des paquets. La quatrième et dernière catégorie est constituée par les attaques DoS et DDoS, qui peuvent également résulter des deux types d’attaques précédentes. Une étude dans [83] s’est concentrée sur les

1 http ://www.cert.org/


44

incidents au sein du secteur commercial et du secteur gouvernemental, se focalisant sur la façon dont les secteurs subissent les différents types d’attaques. Une nouvelle taxonomie avec quatre attributs a été élaborée. Les attributs sont les méthodes opératoires qui représentent les méthodes utilisées par l’attaquant pour effectuer une attaque, l’impact qui se réfère à l’effet de l’attaque, la Source qui se réfère à la source de l’attaque et la Cible qui se réfère à la victime de l’attaque. Les auteurs ont analysé les données sur les incidents de sécurité dans les deux secteurs. Leurs analyses montrent que les attaques, les impacts et les sources d’attaque sont différents au niveau des deux secteurs et ils ont généralisé ce constat en concluant que les attaques vers des cibles différentes sont différentes. Ils ont montré l’intérêt de l’utilisation d’une normalisation des informations sur les incidents. En effet, elle leur a permis d’effectuer différentes analyses, des statistiques et de tirer des conclusions. Connaître les attaques menées vers un secteur économique, leurs impacts et leurs cibles, contribuent à créer une plus grande prise de conscience de ce qui se passe dans une organisation. Les attaques contre les RCSFs connaissent plusieurs classifications envisageables dont les plus utilisées sont groupées selon les catégories ci-dessous [48, 84]: - Selon l’origine

Attaque externe: elle est déclenchée par un nœud capteur qui n’appartient pas au réseau, ou qui n’a pas la permission d’accès. Attaque interne: elle est déclenchée par un nœud capteur interne malveillant. Les stratégies de défense visent généralement à combattre les attaques externes. Cependant, les attaques internes sont les menaces les plus sévères qui peuvent perturber le bon fonctionnement des RCSFs.

- Selon la nature Dans les réseaux de capteurs sans fil, selon le niveau d'intrusion des actions menées par un attaquant, on distingue généralement deux catégories d'attaques : les attaques passives et les attaques actives. Une attaque est passive lorsqu'un nœud non autorise obtient un accès à des informations échangées sur le réseau, et ce, sans altérer les opérations du réseau. Tandis, qu’une attaque est active lorsqu'un nœud non autorisé altère des informations en transit par des actions de modification, suppression, ou fabrication, ce qui conduit à des perturbations dans le fonctionnement du réseau.

Attaques passives : Dans cette catégorie, la technologie de communication sans fil sous-jacente constitue une vulnérabilité qui peut aisément être exploitée par un attaquant. Selon le contrôle d'accès au support défini par la norme IEEE 802.15.4 [85], les nœuds communiquent par voie aérienne avec un accès partagé au média de type évitement de collisions ; plus connu sous les noms de FDMA2, CDMA3 et TDMA4 . Une attaque consiste alors pour un attaquant à

2 FDMA: Frequency Division Media Access 3 CDMA: Code Division Media Access 4 TDMA: Time Division Media Access


45

configurer son interface de communication en mode promiscues afin de capturer et analyser toutes les transmissions réalisées sur le média. A partir des messages de contrôle capturés, un attaquant est alors en mesure d'extraire des informations stratégiques telles que la topologie du réseau, la localisation de certains nœuds, ou les identifiants des nœuds (adresse IP et MAC), ces informations servant de support à la réalisation d'attaques plus complexes. La détection des attaques passives est particulièrement difficile, car le fonctionnement du réseau n'est en soi pas affecté : les ressources et les fonctions critiques du réseau demeurent intactes. Elles représentent malgré tout une atteinte à la confidentialité et à l'anonymat. Attaques actives : Les attaques actives peuvent être menées à différents niveaux de la couche d'abstraction du modèle OSI5 [86] (voir tableau 3.3).

Couche physique : Comme tout autre type de réseau sans fil, un réseau de capteurs est vulnérable à des attaques au niveau de la couche physique. Une entité malveillante, sans même avoir à prendre part au réseau de capteur sans fil, peut simplement générer de fortes émissions radio ayant pour but de parasiter les transmissions et rendre le fonctionnement normal impossible.

Couche liaison Au niveau de la couche liaisons de données, des protocoles ont été définis afin de maintenir la connectivité à un saut entre des nœuds voisins. Ils visent à offrir aux nœuds un accès équitable au média de communication. Pour ce faire, leur fonctionnement repose sur des échanges de trames de contrôle et suppose une coopération inconditionnelle entre les nœuds. De manière évidente, un nœud n'est pas contraint à suivre les spécifications de ces protocoles. Dès lors qu'un attaquant sature le média en émettant des trames de contrôle ou de données, les autres nœuds à proximité se trouvent dans l'incapacité de communiquer. En raison de l'indisponibilité des ressources de communication, on parle alors de déni de service (denial of service ou DoS en anglais).

Couche réseau C’est à ce niveau que fonctionnent la plupart des protocoles de routage et que les paquets de données sont retransmis. Un nœud malveillant peut donc détourner le fonctionnement normal du protocole en émettant de fausses informations dans ses messages. Il peut aussi s’attaquer aux paquets de données en les détruisant, en les modifiant ou en les réémettant plus que nécessaire. Un simple détournement du fonctionnement normal de ces protocoles de routage entraine une perturbation des communications, et l'ensemble du réseau peut être paralysé. La sécurité de la couche réseau est donc primordiale dans la mesure où le but du réseau est avant tout de mettre en relation des nœuds et d'acheminer leurs données.

Couche application Les attaques à ce niveau sont communes à tous les types de réseau et leur mode opératoire est spécifique à l’application particulière visée. Leur prévention passe inévitablement par la protection des échanges bout à bout par des moyens cryptographiques et l’éventuelle modification des applications.

5 OSI : Open Systems Interconnection.


46

Couche Attaques Atteinte Application Ecoute indiscrète, corruption des

données, vol d’identité, (Insider attacks)

Confidentialité, intégrité

Transport Vol de session, innodation de requêtes, (time desynchronization, flooding)

Disponibilité, intégrité

Réseau Tunnels, détournement, modification et destruction des messages (de contrôle et de données) , épuisement des ressources, inondation, (Selective Fotwarding, Black Hole, Spoofing, Wormhole, Sinkhole)

Disponibilité des ressources de communication, intégrité du routage

Liaison Analyse du trafic, détournement des protocoles d’accès au média, saturation de la bande passante, (Collision, Exhaustion)

Disponibilité

Physique Brouillage, interception (Jamming, Tampering)

Disponibilité

Tableau. 3.3 Attaques contre les réseaux de capteurs sans fil par couche de la pile réseau [64]. Dans ce travail, nous adoptions la classification suivante Figure 3.5, qui est une combinaison entre la classification Stallings [27] et la classification fournie par G. Padmavathi et all [10],

Figure 3.5 - Principales attaques sur les réseaux de capteurs. 3.5.2 Description de quelques attaques Souvent déployés dans des environnements hostiles, les réseaux de capteurs sans fil peuvent être sujets à plusieurs types d'attaques. Dans cette section, on se propose de présenter un aperçu des attaques les plus connues.


47

Pour des informations plus approfondies sur ces différentes attaques que ce soit au niveau de la couche routage ou des autres couches, il est vivement conseillé de se reporter aux papiers [51, 52, 64, 87 – 92, 95], dans lequel des auteurs définissent les classes de différentes attaques dans les réseaux de capteurs sans fil. Les attaques passives

Ce sont des attaques contre la vie privée, visant à obtenir des informations secrètes. En surveillant le trafic du réseau et en étant à l'écoute des données, un attaquant peut découvrir, le contenu potentiellement sensible de la communication, en particulier si elle n'est pas protégés par cryptage. En analysant le trafic l'attaquant peut identifier les rôles des différents nœuds, ce qui permet de détecter certains événements. Un attaquant peut aussi insérer un nœud ou un en compromettre un, et se camoufler en tant que nœud saint pour attirer les paquets et les transmettre à l'attaquant. Les plus communes attaques contre la vie privée des capteurs sont les suivants:

- Surveillance, écoute et espionnage (Monitor and Eavesdropping)

Ce type d’attaque permet à l’attaquant d’écouter facilement les transmissions pour récupérer le contenu des messages circulant dans le réseau.

Figure 3.6 - Attaque d’espionnage

- Attaque par analyse du trafic (Traffic Analysis)

Afin de rendre le réseau de capteurs complètement hors service, un attaquant peut rendre la station de base indisponible. Ainsi, en analysant le trafic, un attaquant peut identifier la station de base, et ainsi l’attaquer. L'attaquant n'a pas du tout à connaître le contenu des communications.

- Camouflage d’adversaires (Camouflage Adversaries) L’attaquant peut insérer ou compromettre des nœuds capteurs pour se camoufler dans le réseau, pour attirer les paquets et les transmettre à l'attaquant. Les attaques actives

- L’attaque trou noir (Black hole)


48

Un nœud falsifie les informations de routage pour forcer le passage des données par lui-même. Sa seule mission est ensuite de ne rien transférer, créant ainsi une sorte de puits ou trou noir dans le réseau. L’intrus (nœud malveillant, qui s’introduit illégitimement), peut aussi se place sur un endroit stratégique de routage dans le réseau et supprime tous les messages qu’il devrait retransmettre, causant la suspension du service de routage du réseau dans les routes qui passent par le nœud intrus. La nature des RCSFs ou les informations sont routées vers une station de base rend ce type d’attaque plus réussi. Dans la Figure 3.7 : l’attaquant nœud 5 arrête de transmettre les paquets envoyés par les nœuds 3 et 4. En conséquence, l'attaquant cause une attaque de type DOS pour les deux nœuds 3 et 4.

Figure 3.7 - L’attaque trou noir.

- L’attaque trou de puits (Sink hole)

Dans une attaque sinkhole, le nœud malicieux essaye d'attirer vers lui le plus de chemins possibles permettant le contrôle sur la plus part des données circulant dans le réseau. Pour ce faire, l'attaquant doit apparaître aux autres comme étant très attractif, en présentant des routes optimales. Dans l’exemple de la figure 3.8 : l’attaquant le nœud 5 tente de se faire passer pour un faux puits en annonçant un seul saut pour relier les paquets au Sink et en se montrant très attractif aux nœuds avoisinants, puis crée une topologie erronée du réseau. En conséquence, le nœud 6 sélectionne le nœud 5 pour le relier au Sink, et donc l'attaquant cause un DOS pour les quatre nœuds 3, 4, 6, et 7.

Figure 3.8 - L’attaque Sinkhole.


49

Il convient de mentionner que les RCSFs, sont particulièrement vulnérables à cette classe d’attaques parce que tous les nœuds capteurs acheminent les données vers un seul nœud : le Sink. Le plus simple moyen de créer un Sinkhole est de placer un nœud malicieux le plus proche du Sink, afin que le nœud malicieux puisse être perçu comme un Sink. Les Figures 3.9.a, 3.9.b et 3.9.c, illustrent la manière dont le l’attaque Sinkhole usurpe la position de la station de base.

(a) (b) (c) Figures 3.9. (a, b et c) – Différents scénarios de l’attaque Sinkhole.

- Attaque du trou gris (grey hole)

Une variante de l'attaque précédente est appelée trou gris, dans laquelle seuls certains types de paquets sont ignores par le nœud malicieux. Par exemple, les paquets de données ne sont pas retransmis alors que les paquets de routage le sont.

- Transmission sélective (Selective Forwarding)

Dans cette attaque, un nœud néglige son rôle de routeur et décide de ne pas transmettre les données de certains nœuds choisis selon certains critères ou d’une façon aléatoire. La raison peut être aussi bien d’ordre énergétique, que liée a une attaque. Dans la figure 3.10, l’attaquant le nœud 5, transmet tous les paquets sauf ceux qu'elle reçoit du nœud 4, fondée sur l’adresse d'origine ; il cause un DOS pour le nœud 4 seulement, tout en restant normal pour tous les autres nœuds connectés. Le nœud 4, peut être considéré comme défectueux.

Figure 3.10 - Transmission sélective.


50

- Nœud Otage (Node Outage)

L’attaque nœud otage, est la situation qui se produit quand un nœud tel que un chef cluster Head cesse ses fonctions. Dans ce cas les protocoles de réseau de capteurs utilisés, doivent être suffisamment robustes pour atténuer les effets des pannes en fournissant des routes alternatives.

- Inondation par des paquets Hello (Hello Floods) Dans les RCSFs, de nombreux protocoles de routage utilisent des paquets "HELLO" pour découvrir les nœuds voisins et ainsi établir une topologie du réseau. La plus simple attaque pour un attaquant consiste a envoyer un flot de tels messages pour inonder le réseau et empêcher d’autres messages d’être échanges. De plus, si l’attaquant possède une forte puissance, il pourra envoyer des paquets Hello à des nœuds distants dans le réseau afin qu’ils croient que cet attaquant fait partie de leurs voisins. Par conséquent, ces nœuds peuvent choisir des routes qui contiennent ce voisin imaginaire, provoquant ainsi un envoi important des paquets à cet attaquant.

Figure 3.11 - Attaque Hello Floods.

- Attaques contre les mécanismes d’agrégation de données L’agrégation de données est l’une des principales notions dans les RCSF. Elle permet aux nœuds intermédiaires de rassembler des données venant des nœuds sources au fur et à mesure de leur acheminement au nœud puits, et ensuite, à les agréger en une seule donnée pour la transmettre à l’utilisateur final. Ceci permet d’éliminer les redondances et de réduire le taux de transmissions dans le réseau, d’où, prolonger sa durée de vie. La forme la plus simple que peut prendre une fonction d’agrégation est la suppression des messages dupliqués. Mais elle peut également être une fonction min ou max ou n’importe quelle fonction à plusieurs entrées. Cependant, des attaques dangereuses peuvent provoquer un faux résultat d’agrégation. On peut en distinguer deux types:

- Le premier type permet aux nœuds capteurs malicieux d’injecter de fausses données, - Le second, il peut être causé par les nœuds intermédiaires qui agrègent les données en modifiant le résultat de l’agrégation.

Par exemple, dans la figure 3.12, la fonction d’agrégation est l’addition. Un nœud intermédiaire calcule la somme des nombres générés par des nœuds sources. Ce processus est répété jusqu’à ce que la somme finale arrive aux nœuds puits.


51

Figure 3.12 - Attaques contre l’agrégation de données.

- Privation du sommeil des nœuds (Sleep Deprivation) Afin de ne pas gaspiller la ressource d’énergie du réseau, les nœuds qui fonctionnent inutilement vont se mettre en veille. Ce mécanisme va devenir une stratégie à part entière pour augmenter la durée de vie du réseau. L’attaque Sleep Deprivation , vise à forcer les nœuds à consommer leur énergie plus rapidement en privant un ou plusieurs nœuds victimes de leur sommeil (mise en veille). Les principales méthodes consistent à tromper le nœud en le maintenant éveillé, l’obligeant à écouter les communications et à retransmettre les paquets.

- Espionnage des connaissances (Acknowledgement Spoofing) Plusieurs algorithmes de routage dépendent des acquittements implicites ou explicites de la couche liaison. Un adversaire peut spoofer ces acquittements pour examiner les paquets adressés aux nœuds voisins. Le but de cette attaque est de faire croire à l’émetteur qu’un lien faible est fort ou qu’un nœud inactif est vivant.

Figure 3.13 - Acknowledgement Spoofing.

- L’empoisonnement de la table de routage (Routing table poisoning) Lorsqu'un nœud entend une information de routage, il met à jour sa table de routage locale en conséquence. Un nœud malicieux peut émettre un nombre important de fausses informations, remplissant ainsi les tables de routage des nœuds. Comme ces tables possèdent des tailles limitées, cela va engendrer un débordement, et les tables ne contiendront que de fausses routes.

(a) L’attaquant envoie sa donnée

erronée

(b) L’attaquant envoie un faux résultat d’agrégation


52

- Faux Nœud (false node)

Un faux nœud, représente l’ajout d'un nœud malicieux par un adversaire, pour un but d'injecter de malicieuses données. L’insertion d’un nœud malicieux est un des plus dangereuse attaque qui peuvent se produire : les données malicieux injectées dans le réseau pourraient s'étendre à tous les nœuds, pour détruire tout le réseau, ou pire encore attractant le réseau vers l'adversaire.

- Nœud de réplication (Node Replication) Conceptuellement, une attaque de réplication de nœud est très simple; un attaquant cherche à ajouter un nœud à un réseau de capteurs existants en copiant le nodeID d'un nœud capteur existant. Le nœud reproduit dans cette approche peut gravement perturber les performances d'un réseau de capteur. Les paquets peuvent être endommagés ou même déroutés. Il peut en résulter aussi un réseau déconnecté, des fausses lectures des capteurs, etc. Si un attaquant peut accéder physiquement à l'ensemble du réseau, il peut copier les clés de chiffrement dans les nœuds de capteur répliqués. En insérant les nœuds répliqués à des points spécifiques du réseau, l'attaquant peut facilement manipuler un segment spécifique du réseau.

- Nœud défectueux (Node Malfunction)

Un nœud défectueux générera des données inexactes qui pourraient exposer l'intégrité du réseau de capteurs, surtout si c'est un nœud d’agrégation de données comme un chef de cluster.

- Inondations (Flooding) C’est similaire à l’attaque Hello-flood, sauf que l'attaque est faite à la couche transport plutôt qu'à la couche réseau. Ce type d'attaque provoque un DOS, soit par épuisement rapide du mémoire ou de la batterie.

- Brouillage (Jamming) Le jamming est une attaque très connue qui s'en prend à la communication sans fil. En effet, vu la sensibilité du média sans fil au bruit, un nœud peut provoquer un déni de service en émettant des signaux à une certaine fréquence pour interférer avec les fréquences radio employées par les nœuds du réseau. Un nombre restreint de nœuds utilisant le jamming peuvent perturber le fonctionnement du réseau et mettre tous les nœuds hors service. Cette attaque est très dangereuse car elle peut être menée par une personne non authentifiée et étrangère au réseau.

Figure 3.14. Attaque de brouillage.


53

- Le rejoue de messages (replays of message)

Un adversaire peut rejouer un message transmis précédemment, sans connaissance des clés. au fur et à mesure que la topologie change, les anciens messages de contrôle, quoique valables dans le passé, décrivent une configuration qui n’existe plus. Un adversaire peut enregistrer des messages de contrôle pour les rejouer plus tard, dans le but d’inclure des vieilles routes dans les mises à jour des tables de routage des nœuds. Cette attaque marche même en présence d’un système de signature ou de digest, si celui-ci n’inclut pas un estampillage temporel des messages.

- L’attaque d’identités multiples (Sybil Attack)

Dans certains algorithmes, la fiabilité du routage est implémentée par l'instauration d'une redondance de chemins. Dans l’attaque de type Sybil, Un attaquant peut altérer ce genre de système en utilisant plusieurs identités, ce qui permet de créer plusieurs routes passant par le nœud malicieux, qui ne sont en réalité qu'un seul chemin. Dans la figure 3.15, le noud B envoie des données au nœud C par le nœud A3, l’attaquant écoute la conversation. L’attaquant A(3.2) recueille plusieurs identités A1, A2, A3.

Figure 3.15 - L’attaque d’identités multiples.

- Attaques du trou de ver (Wormhole attacks)

Dans une attaque wormhole, un attaquant reçoit des paquets dans un point du réseau, puis les encapsule vers un autre attaquant pour les réintroduire dans le réseau. L'encapsulation peut se faire de deux manières: – Multi-sauts: l'encapsulation multi-sauts permet de cacher les nœuds se trouvant entre les deux attaquants. Donc, les chemins passant par le nœud malicieux apparaissent plus courts. Cela facilite la création de Sinkhole avec des protocoles qui utilisent le nombre de sauts comme métrique de choix de chemins. – Communication directe: les routes passant par les attaquants sont plus rapides, car ils sont à un saut. Donc, cette technique peut être employée contre les protocoles qui se basent sur la latence des routes ou ceux qui utilisent la première route découverte.

Figure 3.16 - Attaque Wormhole.


54

La figure 3.17.A : montre que le nœud A diffuse une requête de découverte des routes celle-ci atteint le nœud C en passant par le nœud B.

La figure 3.17.B : Comme l’attaque est Wormhole, l’attaquant reçoit ce message et essaye de convaincre avec certains critères (le plus court chemin, par exemple), le nœud A grâce à une réponse de route qu’il est parent. Ainsi, tout le trafic du nœud B sera acheminé à cet attaquant au lieu du nœud B.

Figure 3.17. Attaque Wormhole.

- Attaque physique d’un nœud (Physical Attacks)

L'attaque physique d'un nœud valide dans un réseau de capteurs sans fil, permet de détruire, violer ou compromettre un nœud légitime, en accédant aux logiciels embarqués du nœud ou aux composants matériels qu’il utilise.

- Nœud Subversion (Node Subversion) Un capteur particulier pourrait être capturé, et les informations stockées sur celle-ci (comme les clés de cryptage) pourraient être obtenus par un adversaire Ce qui permet de compromettre le réseau.

- Corruption de message (Message Corruption) C’est une attaque contre l'intégrité des messages, se produit quand un intrus se met entre une source et une destination et modifie le contenu des messages transmis.

- Collision (Collision) Dans cette attaque l'adversaire essaye de corrompre une petite partie du trafic, en provoquant une collision pendant la transmission d’un paquet. Dans ce cas même la corruption d'un octet peut conduire à une retransmission de l'ensemble du message.

- Désynchronisation (Desynchronization) Dans les attaques de désynchronisation l’attaquant fabrique ou falsifie des messages entre les points de terminaison. Ces messages portent des faux numéros de séquence et/ou indicateurs de contrôle ce qui peut causer la demande retransmission des messages erronés au niveau des points de terminaison. Cette attaque conduit à un cycle infini, causant le gaspille de l'énergie.


55

3.6 Les mauvais comportements dans un RCSF

Les nœuds du réseau qui causent un dysfonctionnement dans le réseau et endommagent les autres nœuds sont appelés des nœuds à comportement anormales (Misbehaving nodes) ou nœuds critiques. Les réseaux de capteurs sans fil, comme d'autres réseaux sans fil sont susceptibles à des attaques actives et passives comme on vu précédemment. Dans les attaques passives, seule l'écoute de données est possible, tandis que dans les attaques actives, les opérations telles que la répétition, la modification ou la suppression des données sont rendues possibles. Certains nœuds dans les RCSF, peuvent produire des attaques qui causent la congestion, la distribution des informations de routage incorrectes, les services qui empêchent ou désactive le bon fonctionnement du réseau [96]. Les nœuds du réseau qui provoquent des attaques actives, causant des dommages aux autres nœuds et provoquant des déconnections dans le réseau sont appelés nœuds malicieux ou compromis. En outre, les nœuds qui n'envoient pas les paquets reçus (pour un but d’économiser l’énergie stockée dans leurs batterie, et cela pour l’utilisée pour leurs propres communications) sont appelés nœuds égoïstes (Selfish nodes) [97], [98]. Un nœud égoïste affecte les opérations normal du réseau, en ne participant pas aux protocoles de routage ou en n’envoi pas des paquets. Un nœud malicieux peut utiliser les protocoles de routage pour annoncer qu'elle a le plus court chemin vers le nœud destination pour l'envoi des paquets. Dans cette situation, ce nœud reçoit les paquets et ne les envoie pas. Cette opération est appelée attaque de trou noir (blackhole attack) [99], [100]. Les nœuds malicieux peuvent arrêter le fonctionnement d'un protocole de routage par la modification des informations de routage ou par la production de fausses informations de routage; cette opération s'appelle l’attaque de trou de ver (wormhole attack). Comme deux nœuds malicieux, créer un tunnel de trou de ver et sont reliés les uns aux autres par un lien privé, on peut conclure qu'ils ont un itinéraire de déviation dans le réseau. Cela permet à un nœud de créer une voie artificielle dans le réseau actuel et de raccourcir le routage des messages de manière que les massages seront contrôlés par deux attaquants [101], [102]. Les nœuds égoïstes (Selfish nodes) peuvent diminués la capacité du réseau, car ils ne participent pas au fonctionnement du réseau. Les nœuds malicieux peuvent facilement effectuer des attaques d'intégrité en changeant les champs des protocoles, en vue de détruire le transport des paquets, de refuser l'accès entre les nœuds légales, et peuvent aussi effectuer des attaques contre les calculs du routage. L’attaque Usurpation d'identité (Spoofing), est un cas particulier des attaques de l'intégrité avec laquelle un nœud malicieux, en raison du manque de vérification d'identité dans les protocoles de routage, falsifié l'identité d'un nœud légale. Le résultat d'une telle attaque par des nœuds malicieux cause la falsification de la topologie du réseau, ce qui crée des boucles et des partitionnements dans le réseau. Le manque d'intégrité et d'authentification dans les protocoles de routage crée aussi de faux messages [100], [104], [105], [106]. Si un nœud participe dans la recherche des routes, mais ne transmet pas les paquets, alors c’est un nœud trompeur qui trompe les autres nœuds. Mais si ce nœud ne participe pas dans la recherche des routes, alors c’est un nœud égoïste [107]. Les différentes attaques actives dans un RCSF et leurs comportements sont indiqués dans le tableau 3.4 [108, 109].


56

Nom de l’attaque Comportement et mauvais comportement Hello floods Comportement anormal dans la mise à jour de Route Node Outage Comportement anormal dans la mise à jour de Route Spoofed, Comportement anormal dans la mise à jour de Route Sybil Comportement anormal dans la mise à jour de Route Sinkhole Comportement anormal dans la mise à jour de Route Hello floods Comportement anormal dans la mise à jour de Route ACK spoofing Comportement anormal dans la mise à jour de Route False Node Comportement anormal dans la mise à jour de Route et la retransmission des données Message Corruption Comportement anormal dans la retransmission des données Node Malfunction Comportement anormal dans la retransmission des données Denial of Service Comportement anormal dans la retransmission des données Select forward Comportement anormal dans la retransmission des données

Tableau 3.4 - Différent attaques dans un RCSF et leurs comportement Les mauvais comportements qui peuvent affecter la sécurité dans les RCSF sont divisés en deux catégories : les nœuds égoïstes (selfish nodes) et les nœuds malicieux (malicious nodes). Dans ce qui suit, la figure 3.18, résume certains comportements anormaux des nœuds capteurs [110].

Figure 3.18 – Les comportements anormaux dans un RCSF [110]. 3.7 Travaux de recherche liés à cette même thématique Les problèmes de sécurité soulevés aux sections précédentes sont traités dans la plupart des articles de recherche sous l’angle de la sécurité au sein d’un réseau de capteurs sans fil. Ces dernières années il ya eu de nombreuses propositions en utilisant la cryptographie pour assurer la communication sécurisés tels que SPINS [68], Néanmoins les techniques classiques de défense tel que la cryptographie ne suffit pas pour les attaques de type nœud compromis et la détection de nouveaux comportements indésirables dans les réseaux de capteurs sans fil [69]. En général les mécanismes de sécurité dans les réseaux de capteurs sans fil, suivent deux lignes de défense : une préventive et l'autre réactive. Le premier fournit des mécanismes pour éviter tout type d’attaque tel que les systèmes de pare-feu et de cryptographie.


57

Le dernier consiste à prendre des actions sur demande, visant à atténuer les intrusions, tel que les systèmes de détection d'intrusion (IDS). Cependant, les solutions préventives et réactives ne sont pas totalement efficaces contre tous les types d'attaques et d'intrusions [70, 71]. Ainsi, des groupes de recherche ont construit des mécanismes de sécurité vers une troisième ligne de défense, appelé la tolérance d'intrusion (IT) [72], comme l'illustre la figure 3.19. L'approche de tolérance complète les autres et son but est le développement de mécanismes visant à rendre les systèmes (réseaux, moyens de communication, services et autres) résistant aux attaques et des intrusions, et de garantir le fonctionnement du réseau en présence d'actions malveillantes [72-73 ].

Figure 3.19 – Lignes de défense : nouvelle classification

Parmi ces travaux de recherches, très peu s’intéressent à résoudre le problème de la sécurité des réseaux de capteurs sans fil grâce aux mécanismes de surveillances. Parmi ces derniers, on trouve le protocole DICAS proposé par Khalil et al. [117], utilisant la surveillance locale pour la sécurité du routage dans un réseau de capteurs sans fil, par le diagnostic, la détection et l’isolation des nœuds malicieux dans un RCSF, ce qui permet d’atténuer les attaques contre le trafic de données (tel que les attaques : wormholes, Sybil, rushing , etc). Khalil et al. Proposent aussi LITEWORP [118], un protocole qui utilise la découverte des voisins à deux sauts et la surveillance local du trafic pour détecter et isoler les nœuds malveillants impliqués dans l'attaque wormhole. LITEWORP est très adapté pour les réseaux possédant des ressources limités tel que les réseaux de capteurs sans fil. D’autres auteurs proposent des protocoles de sécurité basés sur la réputation des nœuds. La littérature sur les systèmes de réputation est très fournie [119, 120, 121] et leur champ d’application est très large. Les mécanismes de réputation sont fondés sur le comportement d'un nœud dans le réseau. Chaque nœud a une valeur qui reflète la réputation de son comportement. Cette valeur est calculée et stockée par d'autres nœuds qui monitor son comportement. De tel mécanismes doivent prendre soin de: le calcul et la mise à jour des valeurs de réputation, la détection des nœuds de mauvaise conduite, et la réaction à un comportement non coopératif. Certains des points clés qui doivent être abordées dans cette catégorie sont:

- Confiance et Réputation : La réputation représente la façon dont se comporte un nœud, elle est utilisé pour décider si le nœud est coopérative ou possède une mauvaise


58

conduite (misbehaving). D'autre part, la confiance d'un nœud indique s’il est honnête ou non, elle est utilisée pour décider si le nœud est digne de confiance ou pas.

- Confiance (Réputation) Direct et indirect : La réputation direct est obtenue par l'observation directe. Un nœud surveille le comportement des autres nœuds voisins, habituellement à un-saut pour voir s’ils fonctionnent bien. D'autre part, la réputation indirects obtient les informations de réputation d’un nœud a partir des autres nœuds du réseau. L'acceptation ou le rejet de cette information est basée sur le niveau de confiance du nœud expéditeur.

- Global et Local Réputation: La réputation global se réfère au cas où chaque nœud connaît la réputation de tous les autres nœuds dans le réseau. Ce résultat est obtenu en échangeant des messages de réputation indirects au sein du réseau. Cependant dans une réputation locale, l'information est fondée uniquement sur des observations directes des voisins à un saut. Tout autre échange de réputation n’est pas autorisé.

En générale les mécanismes de réputation peuvent être classés en deux catégories: -

La valeur de la réputation est mise à jour sur la base des informations de réputation locale et globale, comme dans le cas de des protocoles CONFIDANT et CORE qui seront discutés dans les paragraphes suivants,

- Dans la seconde classe, la mise à jour de la valeur de réputation est basée sur les

informations locales de la réputation, comme dans le cas des protocoles OCEAN et LARS qui seront discutés dans les paragraphes suivants,

Protocoles à réputation globale

P. Michiardi et al. ont proposé un mécanisme appelé CORE (COllaborative REputation mechanism) : CORE [122], pour imposer la coopération entre les nœuds dans un réseau ad hoc. CORE se base sur une technique de surveillance distribuée. Ce mécanisme de coopération n’empêche pas un nœud de nier la coopération ou de dévier d’un comportement légitime mais s’assure que les entités se conduisant mal soient punies en leur refusant graduellement les services de communication. CORE est suggéré comme mécanisme générique qui peut être intégré avec n’importe quelle fonction de réseau comme l’expédition de paquets, découverte de routes, gestion de réseau, et gestion de la localisation. Dans CORE, chaque entité réseau encourage la collaboration d’autres entités en utilisant une métrique de coopération appelée réputation. La métrique de réputation est calculée sur la base des données recueillies localement par chaque nœud et peut se baser optionnellement sur l’information fournie par d’autres nœuds du réseau impliqués dans des échanges de messages avec les nœuds surveillés. Basé sur la réputation, un mécanisme de punition est adopté comme système de dissuasion pour empêcher un comportement égoïste en refusant graduellement les services de communication aux entités qui se conduisent mal. La conséquence immédiate d’un réseau de capteurs qui adopte CORE est que les nœuds légitimes (nœuds qui coopèrent à l’opération de réseau) arrivent à économiser de l’´energie car ils ne servent pas ceux qui ont été détectés comme égoïstes. En outre, selon le modèle d’´egoisme adopté pour représenter des nœuds se conduisant mal, il est possible de prouver que CORE fournit une incitation efficace à coopérer. Pour simplifier la description de CORE, on se base sur la figure 3.20, qui ne concerne que la détection et la punition d’un comportement égoïste vis-à-vis de l’expédition des paquets.


59

CORE est composé de trois modules : le premier dédié à l’analyse du trafic réseau par le mode (( promiscues )) des cartes sans fils, le deuxième module dédié à l’évaluation de la métrique de réputation (pour chaque voisin) et troisième module utilisé dans la phase de punition des nœuds. Il faut noter que CORE, étant un mécanisme distribué, est exécuté sur chaque nœud mobile du réseau. Le module d’analyse classifie le trafic réseaux aux alentours de chaque nœud pour vérifier le comportement individuel de chaque voisin. Par définition, un nœud B est voisin du nœud A s’il est joignable avec un seul saut, c.à.d. s’il se trouve dans le rayon radio du nœud A. Le module d’analyse génère un flux de comportement associé à chaque voisin : un vecteur booléen représente un bon (avec un 1) ou un mauvais (avec un 0) comportement. Le flux de comportement est utilisé par le module de réputation, qui dans sa version de base, n’est rien d’autre qu’un filtre à (( réponse finie )) de type passe-bas. La fonction de filtrage est utilisée pour réduire l’impact d’une fausse génération du flux de comportement. Dans la réalité, le mode de fonctionnement (( promiscues )) n’est pas robuste et il est sujet aux fautes. CORE attribue un bas niveau de réputation seulement aux nœuds qui montrent les traits caractéristiques d’égoïsme d’une façon persistante.

Figure. 3.20 - CORE : principe de fonctionnement D’autres modèles plus complexes peuvent être prévus pour le module de réputation, comme par exemple des filtres passe bande, pour tenir compte de certains types de comportement, ou des filtres dynamiquement accordés. Le module de punition se base sur un seuil (à hystérésis) qui est utilisé pour déclencher le déni de service aux nœuds égoïstes. Pour plus de détails sur le mécanisme CORE, le lecteur est invité à consulter [122]. Buchegger et Boudec, présente un protocole base sur réputation, appelé CONFIDANT - Cooperation Of Nodes and Fairness In Dynamic Ad-hoc Network: CONFIDANT [123] vise à détecter et isoler les nœuds non coopératifs. Chaque nœud dans CONFIDANT contient plusieurs composantes, responsables de la surveillance et l’évaluation du comportement des nœuds voisins (à un-saut) en écoutant la transmission des nœuds voisins. Chaque nœud surveille le comportement de son voisin. Si elle détecte un comportement inhabituel, il le signale et l'envoie à un système de réputation. Le système de réputation vérifié si l'événement s'est produit le plus souvent a un seuil prédéfini. Si un certain seuil est dépassé, le système met à jour le taux de réputation du nœud qui a provoqué l'événement. Si le taux de réputation est intolérable, l'information est relayée à la composante gestionnaire de chemin, qui procède à supprimer tous les itinéraires contenant le nœud a mauvais comportement du cache chemin et informe la composante gestionnaire de confiance pour envoyer un message d’alarme à sa liste des nœuds voisins.


60

Protocoles à réputation locale Bansal et Baker [124] ont proposé un protocole appelé OCEAN (Observation-based Cooperation Enforcement in Ad hoc Networks), qui est la version améliorée du protocole DSR. OCEAN utilise également un système de surveillance et un système de réputation. Toutefois, contrairement aux approches précédentes, OCEAN ne repose que sur sa propre observation pour éviter la vulnérabilité de nouvelles fausses accusations des échanges de réputation. Donc OCEAN peut être considérée comme une architecture autonome. OCEAN classe le routage à comportement anormale en deux classes: trompeur (misleading) et égoïste (selfish). Un nœud est trompeur s’il participe à la découverte de route, mais ne transmet pas les paquets, car il met en erreur les autres nœuds pour qu’ils routent leurs paquets à travers lui. Mais si un nœud ne participe pas à la découverte de route, il est considéré comme égoïste.

Jiangyi Hu a proposé un schéma de réputation simple, appelé LARS [125],(Locally Aware Reputation System) pour réduire les comportements anormales (misbehavior) et faire instaurer la coopération dans un réseau ad hoc. Différent de la réputation globale, avec LARS chaque nœud X ne garde que les valeurs de la réputation de tous ses voisins à un saut N(X). Les valeurs de la réputation sont mises à jour basée sur l'observation directe des voisins. Si la valeur de la réputation d'un nœud voisin M est en dessous du seuil, alors M est considéré par X en tant que nœud à comportement anormal. X informe ses voisins sur le comportement anormal de M en lançant un message d'avertissement. Pour éviter une fausse accusation, la condamnation du nœud malicieux est confirmé par les m différents nœuds, où m-1 est une borne supérieure sur le nombre de nœuds malicieux dans le voisinage à un saut. Si le message d'avertissement est vérifié, il est ensuite diffusé pour les voisins à k-saut de M, ces derniers vont prendre conscience de son mauvais comportement et refusent de le servir.

Autres protocoles Pour les systèmes de détection d'intrusion, la surveillance locale est utilisée pour construire des protocoles décentralisés [126, 127].

Khalil et al. [128] proposent un protocole de mise en veille (on-demand sleep-wake protocol) à la demande, pour réduire le temps d'un nœud pour rester éveillée pour des fins de surveillance. Cependant Ils n'ont pas, pris en considération la contrainte de la sélection optimisée des nœuds responsables de la surveillance du réseau, mais en se concentrant que sur la façon de planifier les nœuds afin de répondre aux exigences de surveillance des liaisons de communication.

Hsin et al. [129] propose un mécanisme d'auto-surveillance, cette proposition accorde plus d'attention sur le diagnostic des pannes au niveau d’un réseau, en particulier la détection des nœuds défaillants.

DAMON décrit dans [130] une architecture distribuée pour le monitorage des réseaux ad-hoc. Son architecture générique a pour objectif de supporter une grande variété de protocoles, d’équipements et de paramètres. Le système de gestion est composé à la fois d’agents locaux qui monitorent le réseau de manière répartie et de centres de dépôt, également appelés puits,


61

qui permettent de stocker les données de gestion. L’agent est déployé sur une machine hôte, observe le comportement du nœud et transmet les mesures réalisées au centre de dépôt. Le déploiement de l’architecture peut varier en fonction de la taille du réseau. Dans le cas de réseaux de faible taille, le déploiement peut être centralisé avec l’utilisation d’un unique centre de dépôts pour assurer la collecte. Cependant, ce type de déploiement peut induire une forte congestion des routes ainsi qu’une charge excessive du centre de dépôt, dans le cas de réseaux de taille plus importante. DAMON permet alors de répartir la fonction de dépôt à travers l’utilisation de plusieurs puits simultanément. DAMON définit une solution robuste adaptée à la mobilité des équipements ad-hoc en permettant l’auto-d´ecouverte des centres de dépôts par les agents ainsi que la résistance aux pannes de ces centres, la figure 3.21, illustre l’architecture distribué de DAMON :

Figure 3.21 – Monitorage distribué avec DAMON Bien que DAMON soit une solution robuste qui peut être facilement maintenue à un moindre coût, le mécanisme d’association fondé sur la proximité pourrait être amélioré afin de permettre une distribution homogène des agents par centre de dépôts. Zhao et al. [131] propose d'analyser l'énergie résiduelle du réseau et surveiller les paramètres tels que le taux de perte des liens de communication et le nombre de paquets échangés. Ces informations sont collectées localement à chaque nœud et retransmises au Sink pour analyse. Sympathy [132], un outil de débogage et de détection de défaillances dans un réseau de capteurs sans fil. Proposé par Ramanathan et al. Sympathy et de nature centralisé et permet la détection des pannes sur la base des informations recueillies à partir des nœuds, tels que la table des voisins, parent actuel, le taux des nœuds connectés, (time stamp), etc. Il détecte les défaillances et les classes en utilisant des règles d'élimination. Dans [133], un modèle d'IDS pour les réseaux ad-hoc a été présenté. L'IDS se base sur une approche décentralisée et la détection est faite grâce des clusters. Dans ce système de détection d’intrusion, pour chaque cycle de formation des clusters un mécanisme sécurisé a été élaboré pour élire les nœuds responsables de la surveillance du réseau. Cette solution est


62

coûteuse en terme de ressources utilisés, et donc insuffisant pour un réseau de capteurs sans fil. Watchdog et Pathrater - Afin d’éviter d’avoir à effectuer une recherche explicite du nœud fautif par l’utilisation de sondes, Marti et al. ont proposé une méthode de détection de fautes [7] basée sur l’écoute en promiscues mode sur les interfaces (illustrée sur la figure 3.22). Il s’agit là pour chaque nœud de traiter toutes les trames reçues sur le médium, mêmes si elles ne lui sont pas destinées. En supposant que tous les nœuds ne possèdent qu’une seule interface réseau sans fil, que toutes les interfaces transmettent sur le même canal et avec la même puissance et que toutes les antennes sont omnidirectionnelles, un nœud est capable de vérifier le contenu de ce que chacun de ses voisins transmet.

Figure 3.22 - Écoute d’une transmission omnidirectionnelle : a vient de transmettre à b qui retransmet à c et a est capable de vérifier cette transmission.

En particulier, lorsqu’un nœud transmet à son voisin un paquet de données destiné à être retransmis par ce dernier, celui-ci peut effectivement vérifier que son voisin a bien retransmis le bon paquet. Ainsi, on requiert de chaque nœud de vérifier que ses voisins retransmettent correctement les paquets de données qu’il leur envoie. Cette phase est baptisée ici watchdog et consiste en ce que chaque nœud garde en mémoire une copie de chaque paquet retransmis et non destiné à un voisin. À chaque fois qu’une transmission est entendue sur l’interface, le paquet correspondant en mémoire, s’il existe, est retiré. À chaque paquet en mémoire est aussi associée la date de sa retransmission, afin de pouvoir déterminer à quel moment trop de temps s’est écoulé et le paquet doit être considéré comme non-retransmis par le voisin. Lorsque le nombre de non retransmissions dépasse un certain seuil, une notification est envoyée à la source pour la prévenir de la faute. Les nœuds source peuvent donc maintenir un historique des fautes, sous forme de table de poids par exemple. L’exploitation des informations recueillies grâce au watchdog est effectuée par un autre élément appelé ici pathrater qui maintient des poids pour les différents nœuds qui ont pour vocation de représenter leur fiabilité constatée. La solution proposée est donc utilisée par-dessus un protocole de routage réactif classique (comme DSR par exemple) et permet de disposer d’informations permettant de choisir des chemins fiables. Cependant, il est clair que cette approche ne fournit pas une résistance aux fautes byzantines. De l’aveu même des auteurs, la technique du watchdog est faillible en plusieurs points : Un nœud n’est pas forcément en mesure de capter les transmissions de ses voisins :

– si les nœuds n’utilisent pas tous le même canal (en utilisant plusieurs interfaces par exemple);


63

– si les antennes ne sont pas omnidirectionnelles; – si les nœuds utilisent des puissances d’émission différentes, une transmission d’un voisin vers un autre nœud peut être trop faible; – si une collision arrive au niveau du nœud;

Un nœud peut capter une transmission d’un voisin qui a échouée au niveau d’un troisième nœud :

– à cause d’une collision en ce troisième nœud ; – si les nœuds utilisent des puissances d’émission différentes et que la puissance d’émission du voisin était trop faible pour le troisième nœud ; – le watchdog ne permet pas de détecter à coup sûr un paquet détruit à dessein entre deux nœuds malveillants en collusion.

ExWatchdog IDS - Nasser et Chen [135] ont proposés un IDS appelé ExWatchdog qui est une extension de Watchdog. Sa fonction est également la détection d'intrusion à partir des nœuds malveillants puis rapports cette information au système d'intervention, à savoir, Pathrater ou Routguard [136]. Ici le Watchdog réside dans chaque nœud et il est basé sur l’écoute (overhearing). Grâce à l’écoute, chaque nœud peut détecter l'action nuisible de ses voisins puis émet un rapport aux autres nœuds. La principale caractéristique du système proposé est sa capacité à découvrir les nœuds malicieux qui peuvent partitionnés le réseau par la falsification des rapports des autres nœuds comme des nœuds a comportements anormales, et procède ensuite à protéger le réseau. Donc, ExWatchdog résout un problème fatal de Watchdog. Cooperative Intrusion Detection System - Huang et Lee [133] ont proposés un système détection d'intrusion coopératif basé sur un mécanisme de cluster, qui est similaire au système proposé par Kachirski et Guha [138]. Dans cette méthode, un IDS non seulement est capable de détecter une intrusion, mais révèle aussi le type d'attaque et de l'attaquant. Ceci est possible grâce à un système détection d’anomalies basé sur des calculs statistiques. Ce système utilise des règles d'identification pour découvrir les attaques en utilisant des formules statistiques. Ces règles permettent de détecter le type d'attaque, et dans certains cas, le nœud qui provoque l’attaque [139]. Dans cette technique, l'architecture de l’IDS est hiérarchique, et chaque nœud a une chance de devenir un cluster-head.

Comparaison entre les techniques de détection d’intrusion

Le mécanisme de surveillance watchdog, a été utilisé dans tous les IDSs discutés ci-dessus, mais présente plusieurs limites : en cas de collisions il peut ne pas fonctionner correctement et conduit à des accusations a tort, aussi lorsque les nœuds disposent de porté radio différent ou utilisent des antennes directionnelle, le watchdog ne peut pas surveiller les nœuds voisins avec précision. Tous les IDSs discutés jusqu'ici peuvent identifier les nœuds égoïstes. Le protocole CORE, ne peut pas détecter les nœuds malicieux à comportement anormal, mais d'autres protocoles peuvent détecter certains d'entre eux, comme la mise à jour anormale des chemins de routage, le changement d'en-tête des paquets, ou le changement de la charge utile des paquets, etc. Le tableau 3.5, présente une comparaison finale entre les IDSs discutés.


64

Tableau 3.5 – Comparaison des techniques de détection d’intrusion [140] 3.8 Conclusion La conception de réseaux de capteurs autonomes, relies par des liens sans fil, est un domaine de recherche très actif. Ces capteurs sont, utilisés dans des applications militaires, domotiques, ou de surveillance de l'environnement. Ces applications ont souvent besoin d'un niveau de sécurité élevé car ils fournissent des services essentiels, voire vitaux. Il devient donc urgent de se pencher sur les problèmes de sécurité et de protection de la vie privée qu'ils engendrent avant qu'ils envahissent nos vies et environnements. Or, de part de leurs caractéristiques très contraignante (plus particulièrement : contrainte d'énergie, sécurité physique limitée, déploiement dans des milieux hostiles...) la sécurisation des réseaux de capteurs présente beaucoup de défis scientifiques et techniques. Ce chapitre a présenté quelques problèmes de sécurité et proposé quelques solutions en terme de protocoles de sécurité basé la sécurité comportementale et les mécanismes de surveillance local et globale des voisins. Nous avons décrit aussi quelques attaques qui exploitent les vulnérabilités des RCSF. Nous avons également montrée que les réseaux de capteurs peuvent subir des attaques de deux types de nœuds malveillants à savoir : selfish nodes et malicious node. La liste des problèmes et solutions mentionnées dans ce chapitre est loin d'être exhaustive. Nous avons constaté aussi que lorsqu’on s’intéresse à des méthodes de résilience aux nœuds malveillants pour les réseaux de capteurs sans fil, il n’existe pas de solution complète qui traite tout les menaces et en même temps respecte les contraintes des RCSF. Les solutions qui se veulent les plus complètes sont coûteuses. De plus malgré l’existence de nombreuses méthodes pour sécuriser un RCSF des nœuds à comportement anormale, elles sont assez différentes les unes des autres et aucune n’est parfaite. Il est donc nécessaire de prendre en compte différents éléments avant d’intégrer une technique de sécurisation. Par ailleurs, nous avons constaté aussi que les fautes de retransmission sont exclusivement détectées par l’utilisation d’un système de surveillance tel que le watchdog, malgré tous ses défauts avérés, notamment lorsqu’on se place dans des cas d’utilisation diversifiés (interfaces multiples, antennes directionnelles, contrôle de puissance, etc). Comme aucune méthode ne semble pouvoir fournir une mesure infaillible de la malveillance de chaque nœud, l’utilisation d’un système de réputation est vivement recommandée. C’est pourquoi dans notre première contribution nous allons essayés de tirer profit des avantages des protocoles su-cités dans ce chapitre ainsi que des publications citées dans nos papiers.


65

Dans le chapitre suivant, nous présentons en détail notre première contribution, il s’agit d’une approche distribué que nous avons proposée pour détecter puis éviter les nœuds du réseau qui présentent des comportements anormales tel que la perte des paquets de données, la non retransmission des paquets, etc.

Chapitre 4. Surveillance distribué pour la sécurité d’un réseau de capteurs sans fil

66

Chapitre 4

Surveillance distribué pour la sécurité

d’un réseau de capteurs sans fil 4.1 Introduction Ce chapitre est consacré à notre contribution relative à la surveillance distribuée pour la sécurité d’un réseau de capteurs sans fil. Les RCSFs connaissent actuellement une grande extension et une large utilisation dans différents types d'applications, exigeant une grande sécurité. Nous avons abordée dans le troisième chapitre les principales menaces et vulnérabilités des RCSFs, ajoutant à cela les ressources limitées des nœuds capteurs et leurs déploiements dans des environnements hostiles, ce qui les rendent sujets à plusieurs types d'attaques. Ces contraintes font que l'application des mesures classiques de sécurité est restreinte. Pour répondre à ces menaces, de nombreux chercheurs ont utilisé le concept de monitoring centralisé, où un centre de contrôle tel que (la station de base) [141] est chargé de surveiller tous les nœuds du réseau. D'autres chercheurs ont utilisé une approche décentralisée pour surveiller les nœuds du réseau pour la détection des défauts dans un RCSF , par la coordination des nœuds capteurs voisins [142,143,144], tel que de la technique de watchdog déjà décrit dans le troisième chapitre où des nœuds gardes sont choisis pour détecter les nœuds voisins à comportement anormal (misbehavior neighbors) [7]. Ces nœuds gardes sont des nœuds dans le réseau qui effectuent des opérations de base comme l'événement de capture, en plus de la surveillance de leurs voisins. D'autres recherches utilisent le contrôle local (local monitoring) entre les nœuds voisins [133, 147]. Dans la surveillance locale, les nœuds surveillent une partie du trafic entrant et sortant de leurs voisins pour la détection des comportements malicieux. Parmi les travaux suscités et ceux décrits dans le troisième chapitre, nous avons pensé à utiliser la surveillance distribuée basée sur une architecture en cluster où chaque nœud membre dans un cluster effectue un calcul périodique de certaines métriques après chaque changement d’état, puis les nœuds membres envoient « leur rapport » au chef de cluster. Ces informations sont nécessaires pour une prise de décision locale au niveau du chef de cluster (Cluster-Head). Le point fort de notre proposition se concrétise dans l'optimisation de la sélection des chefs des clusters qui sont chargés de la surveillance des nœuds membres ; ce qui est innovant par rapport aux mécanismes de surveillance cités plus haut dont la sélection des nœuds ‘gardes’ est basée sur des choix aléatoires. Enfin, la station de base agrège les résultats provenant des différentes chefs et commence une surveillance globale et centralisée de l'état du réseau. Ce qui permet de détecter les anomalies faisant appel à des informations au niveau global du réseau. Ce mécanisme a l’avantage (de par son traitement local privilégié) de réduire les flux de communication et les fausses alarmes. Le principal défi de cette contribution est d'avoir une architecture de surveillance distribuée du réseau afin d’assurer sa sécurité ; cette architecture est construite sur les clusters en utilisant un ensemble de règles protocolaires permettant de diagnostiquer l'état des capteurs.


67

4.2 Les mauvais comportements dans un RCSF Comme indiqué dans le chapitre trois, les mauvais comportements dans un RCSF, peuvent être classés en deux catégories principales, à savoir ceux causés par les nœuds égoïstes (selfish nodes) et ceux causés par les nœuds malicieux (malicious nodes) [63]. Ces deux types de mauvais comportement, peuvent causer des menaces réelle à la sécurité des RCSFs et sont la raison principale des attaques qui peuvent endommager les nœuds capteurs, elles sont en outre difficiles à détecter. Les nœuds égoïstes peuvent ne pas retransmettre les paquets, alors que les nœuds malicieux sont ceux qui provoquent les attaques de type déni de service (DoS). Par la suite, nous allons décrire des mécanismes permettant de détecter et éliminer ces types de nœuds a comportement anormal. 4.3 Détection d’anomalie Un système de détection d'anomalie est un mécanisme destiné à repérer des activités anormales ou suspectes sur la cible analysée (réseau, hôte). Traditionnellement, les techniques de détection d'anomalies sont classées en deux grandes catégories :

- La détection d’abus (misuse detection). Dans la détection d'abus (aussi appelée détection de mauvaise utilisation), l’IDS analyse l’information recueillie et la compare (pattern matching) avec une base de données de signatures (motifs définis, caractéristiques explicites) d’attaques connues (i.e., qui ont déjà été documentées), et toute activité correspondante est considérée comme une attaque (avec différents niveaux de sévérité).

- La détection d’anomalie (anomaly detection). La détection d'anomalie de comportement est une technique assez ancienne (elle est utilisée également pour détecter des comportements suspects). L’idée principale est de modéliser durant une période d'apprentissage le comportement “normal” d’un système/programme/utilisateur en définissant une ligne de conduite (dite baseline ou profil), et de considérer ensuite (en phase de détection) comme suspect tout comportement inhabituel (les déviations significatives par rapport au modèle de comportement “normal”). Les modèles de détection d’anomalie incluent fréquemment des modèles statistiques. Ces méthodes de diagnostic à base de modèles constituent le fondement de l’analyse structurelle.

La détection d'anomalie peut invoquer les fonctionnalités suivantes [149] :

- Détection de seuil (threshold detection) : des compteurs délimitent une zone ou sont utilisés pour compter combien de fois quelque-chose est exécuté, ouvert, démarré... Cette analyse statique peut être améliorée par la détection “heuristique” de seuil. - Détection basée sur des règles définies (rule-based detection) : si l'usage dévie de ces règles, une alarme est déclenchée. - Mesure statique (static measure) : le comportement de l'utilisateur et du système se conforme à une signature prédéfinie. Un programme notant l'activité “normale” de l'utilisateur pour la définition de signatures est souvent inclus. - Détection d'anomalie de protocole (protocol anomaly detection) : elle représente un sous-groupe de la détection d'anomalie. C'est une technique relativement récente fonctionnant, à la base, comme la détection d'anomalie.


68

Chaque protocole a une signature prédéfinie; le but de la détection d'anomalie de protocole est de trouver si le comportement du protocole est conforme à celui prédéfini ou non.

Beaucoup d'attaques sont basées sur l'abus de protocole; ce sous-groupe est donc assez important relativement aux IDS. Le diagramme en Figure 4.1, illustre le fonctionnement d’un système de détection d’anomalies dans un RCSF.

Figure 4.1 - Fonctionnement d'un système de détection d’anomalies dans un RCSF. Architectures des systèmes de détection d’intrusions (IDSs) dans les RCSF Les architectures des IDSs dans les réseaux ad hoc et les réseaux de capteurs sans fils peuvent êtres classées en trois catégories [149] :

- Autonome (Stand-alone) : Dans cette catégorie, chaque nœud opère comme un IDS indépendant et il est responsable de la détection des attaques contre lui. Par conséquent, dans cette catégorie, les IDSs ne coopèrent pas et ne partagent aucune information entre eux. Cette architecture exige que chaque nœud soit capable d’exécuter un IDS.

- Distribuée et coopérative (Distributed and Cooperative) : Dans cette architecture chaque nœud exécute son propre IDS mais les IDSs coopèrent afin de créer un mécanisme de détection d’intrusion global.

- Hiérarchique (Hierarchical) : Dans ce cas le réseau de capteur est divisé en groupes (clusters). Dans chaque groupe, un leader joue le rôle de cluster-head. Ce nœud est responsable du routage dans le groupe et doit accepter les messages des membres du groupe indiquant quelque chose de malveillant. De même le cluster-head doit détecter les attaques contre les autres cluster-heads du réseau.

4.4 Monitorage d’un RCSF Le monitorage est une activité d’observation qui consiste à évaluer l’´etat opérationnel et le fonctionnement d’un réseau [150, 151]. Elle permet de déterminer la topologie, l’usage des ressources ainsi que les performances du réseau en termes de disponibilité et plus généralement en terme de qualité de service. L’activité comprend la mesure, la collecte, l’analyse ainsi que le stockage de données portant sur les paramètres et les mesures de


69

performances réalisées. Les informations collectées par les équipements individuels permettent d’obtenir une vue de plus haut niveau et de produire de la connaissance sur l’environnement complet. Cette connaissance est ensuite utilisée par les équipements eux-mêmes pour réagir de manière intelligente aux changements. Les réseaux de capteurs sans fil amènent à redéfinir de nombreux problèmes tels que : comment déterminer la participation d’un nœud au fonctionnement du réseau, comment stocker et répartir les données collectées, comment synchroniser ces données et optimiser leur durée de vie. Le monitorage peut se faire soit de manière centralisé ou distribué. Les approches de surveillance et de diagnostic décentralisé sont mieux adaptées au contexte distribué et complexe des réseaux de capteurs sans fil car elles sont plus proches de la topologie réelle du système d’ailleurs de nature décentralisée. Le défi de cette classe de méthodes consiste à mettre en place une architecture décentralisée en mesure de gérer en ligne les problèmes de mauvais comportement des nœuds capteurs et des pannes et leur propagation dans des délais relativement contraignants. Cette architecture doit répondre, au moins, aux deux critères d’efficacité et de synthèse. Le diagnostic calculé doit être le plus complet possible et présenté à l’opérateur des télécommunications de la façon la plus synthétique possible. 4.5 Techniques de clusterisation Dans la littérature, il existe de nombreuses propositions pour clustériser les réseaux de capteurs, les plus répandue [152, 153, 154, 155, 156, 157, 158, 159, 160] s’exécute comme suit : Chaque nœud devra connaître son voisinage par le biais des messages Hello, Chaque nœud prend la décision selon sa connaissance locale de la topologie pour être cluster-Head ou non, le nœud choisi comme CH diffuse son statut dans son voisinage et invite ses voisins qui ne sont pas encore affiliés à d’autres clusters de le rejoindre. Toutes ces solutions sont destinées à identifier un sous ensemble des nœuds du réseau (appelé cluster). Les clusters sont identifiés par leur cluster-head. Si le cluster-head disparaît, le cluster n’est plus valide. Les différents algorithmes se distinguent sur le critère de sélection des cluster-heads. La phase d’élection de cluster-heads appelée aussi la phase Set-up utilise une métrique spécifique ou une combinaison de métriques pour chaque nœud telle que le plus grand/petit ID dans son voisinage, le degré de connectivité, la puissance de transmission, l’énergie restante ou la mobilité [171,153], ou bien un poids qui représente une combinaison de quelques métriques [152]. On distingue aussi deux types d’algorithme de clustering, à savoir ceux se basant sur une approche centralisé et d’autres sur des mécanismes décentralisé pour la formation des clusters et l’élection des cluster-heads. Le clustering, ou regroupement a été utilisé pour différents objectifs comme la mise à l’échelle des réseaux Ad hoc [158], l’abstraction de la topologie pour le contrôle de l’inondation dans les réseaux [172], la collecte d’informations dans les réseaux de capteurs [173] et le partage de la bande passante [171]. Les premiers algorithmes de Clustering Lowest-ID [171] et Mobic (Lowest Relative Mobility Clustering Algorithm) [153] ont des mécanismes assez proches. Ils se sont basés sur un critère particulier pour le choix des Cluster-heads ou chefs de groupe, respectivement les identificateurs des nœuds, le nombre de voisins et le degré de mobilité. Ces algorithmes permettent de former des Clusters à un seul saut, où chaque membre est voisin direct de son Cluster-head. Ils considèrent une phase de formation des Clusters ou “Clustering set up”. Pendant cette phase, les nœuds procèdent à la connaissance de leurs voisins et déroulent entre eux l’algorithme de formation des domaines.


70

Toutefois, les nœuds sont supposés fixes au cours de cette étape et une synchronisation entre eux est nécessaire pour le bon déroulement de l’algorithme. De plus, cette phase de formation des Clusters est répétée périodiquement suite aux changements de topologie qui peuvent survenir. La réexécution périodique de ce processus du clustering dégrade la stabilité des Clusters. Dans [158], les auteurs présentent un mécanisme de clustering qui permet de réduire l’over-head de clustering. Chaque nœud ne diffuse qu’un seul message pendant la phase de formation des domaines, toutefois, là aussi, l’hypothèse d’absence de mobilité pendant la formation des Clusters doit être vérifiée. En outre, le mécanisme de clustering proposé s’affranchit de la notion des cluster-heads et ne traite pas le cas où ces derniers quittent le Cluster. L’algorithme “Distributed and Mobility Adaptive Clustering”, présenté dans [174] et [175] a introduit la notion de poids générique pour la sélection des cluster-heads. C’est un mécanisme de clustering qui permet de réagir aux changements de topologie. L’algorithme ne nécessite aucune synchronisation entre les nœuds. Pour améliorer la stabilité des Clusters formés, deux nouveaux facteurs de performances ont été définis. Le premier, K, autorise au maximum K cluster-heads à être voisins directs. Le deuxième, H, permet de limiter les ré-affiliations entre les Clusters. Les nœuds ne se ré-affilient à un nouveau cluster-head que lorsque le poids de ce dernier est supérieur d’un certain facteur H au poids de leur Clusterhead courant. Toutefois, cette solution ne permet la formation que de Clusters à un saut et le facteur de performance H est difficile à spécifier de façon judicieuse. Dans [156], les auteurs ont présenté une formule multicritères pour les choix des cluster-heads. Elle prend en considération la mobilité, la connectivité et l’énergie disponible. Ce mécanisme de Clustering “Weighted Clustering Algorithm” nécessite, toutefois, une synchronisation globale et un échange de voisinage entre tous les nœuds du réseau. Dans d’autres travaux [176] et [177], les auteurs ont essayé de présenter des algorithmes adéquats à la formation de Clusters à K sauts. 4.6 Le multicritère d’aide à la décision L’aide à la décision multicritères a été largement utilisée dans la littérature pour modéliser des problèmes de décision dans différents domaines de la vie socio-économique [178, 179, 180, 181, 182, 183] pour quelques applications et méthodes). Elle s’impose de plus en plus de nos jours comme le cadre le plus réaliste pour formuler et résoudre des problèmes de décision à tous les niveaux de la vie socio-économique car il est en général impossible de pouvoir évaluer la qualité d’une décision par un seul indicateur. Différentes méthodes ont été proposées dans la littérature pour résoudre ce type problèmes ; elles peuvent être regroupées en deux grandes catégories brièvement décrites ci-dessous :

- Transformation du problème multicritères en un problème monocritère : les critères sont agrégés en un seul critère ou certains critères sont transformés en contraintes pour ensuite utiliser les algorithmes d’optimisation monocritère sous contraintes pour résoudre le nouveau problème. Les représentants de cette approche sont principalement l’école nord américaine [178, 182].

- Méthodes de sur - classement : principalement l’œuvre de l’école européenne [184, 185, 179, 180, 181, 183] avec des méthodologies comme ELECTRE et PROMETHEE. Elles ont l’avantage de permettre des possibilités de non comparaison entre alternatives mais la procédure de définition des préférences par les décideurs n’est pas toujours simple.


71

Un problème de décision monocritère est un problème du type [186] : Axxgopt : (1) Où A est l’ensemble des actions admissibles (x : une action admissible) et g est la fonction critère à optimiser. Lorsque les actions potentielles d’un problème de décision ne sont pas évaluées par un critère unique, mais par un ensemble de critères qu’on désigne par g1, g2 , ... , gm, et que le décideur souhaite optimiser simultanément, le problème posé est alors de la forme [186]:

Axxgxgxgopt m :...,,, 21 (2) La somme pondérée C’est l’une des méthodes les plus utilisées pour la résolution des problèmes multicritères, elle est développée vers la fin des années 60 par Ralph Keeney et Howard Raiffa. Cette méthode est exposée dans un livre complet : « Decisions with multiple objectives : preferences and value tradeoffs » [187]; et se base sur les travaux des économistes Von Neumann et Morgenstern. Il s'agira, dans cette famille de méthodes, de remplacer les différents critères par un critère unique que l'on se construira en combinant les différents critères à prendre en considération.

0111

i

k

ii

k

iii etavecPuWeight (3)

Où αi représente le coefficient du critère, Pi la valeur critère et k le nombre des actions. 4.7 Notre approche La surveillance du réseau (Network monitoring) est une approche intéressante qui permet de collecter les informations nécessaires pour analyser le comportement du réseau. La surveillance des réseaux de capteurs sans fil peut se faire au niveau d’abord local par rapport à un nœud ou global à l'égard du réseau en entier. Dans les réseaux de capteurs, la surveillance locale n'est pas suffisante pour détecter certains types d'erreurs et anomalies de sécurité. Pour cette raison, nous adoptons dans cette contribution une approche hybride, qui regroupe un, mécanisme de surveillance globale au niveau de la station de base, plus un contrôle distribué au niveau des nœuds capteurs. Au début, chaque nœud recueille ses paramètres de sécurité tels que (les traces du trafic local et la consommation des ressources) et les envoie à l'observateur local. Nous supposons ici que tous les programmes de collecte et d’analyse d’informations sont distribués à travers les nœuds du réseau. 4.7.1 Architecture du système Un exemple de notre approche est illustré à la figure 4.2. Il se compose de plusieurs éléments en coordination, à savoir: un grand nombre de nœuds capteurs, plusieurs nœuds surveillants et une station de base.


72

Figure 4.2 – Architecture du système de surveillance distribué

Les nœuds capteurs: c’est des nœuds capteurs de petite taille, avec des ressources limitées tel que le Mica mote. Ils s'organisent en un réseau, captures puis transmettes des mesures réelles dans le réseau et vers la station de base. Les nœuds surveillant (Monitoring Nodes) : Les nœuds gardes ou surveillant ont plus de leurs capacités de faire des traitements et des communications, ces capteurs sont choisi pour surveiller le comportement de leurs voisins. Chaque nœud garde recouvre une partie de la topologie du réseau (un cluster). Le réseau de capteurs est organisé dans une formation de cluster, où chaque cluster possède un chef de cluster (le cluster-Head) chargé pour contrôler le comportement des nœuds membres du groupe. La station de base: Le rôle principal de la station de base se résume dans le filtrage et la corrélation des alertes et des informations transmises par les moniteurs (les différents clusters-head). Puis par la suite, il exerce une surveillance plus globale pour détecter les anomalies cachées qui nécessitent une vue plus globale des informations du réseau. Toutes ces différentes entités sont indispensables à notre système de surveillance distribuée. La complexité du système et des ressources augmente progressivement à partir des nœuds capteurs, puis les nœuds surveillants, jusqu’à la station de base. 4.7.2 Calcul des métriques de sécurité Cette opération est faite dans chaque nœud membre dans le cluster. Chaque nœud effectue après une période, un calcul sur ses paramètres de sécurité, afin d'évaluer son état de santé, tel que le niveau de consommation d'énergie, le niveau d'utilisation de la mémoire, le nombre de paquets entrants et sortants dans un intervalle de temps, Le nombre de paquets perdus (dropped packets), etc. La figure 4.3, montre le processus de calcul des paramètres de sécurité par les différents nœuds membres. Ces nœuds gèrent des fonctions telles que la capture, l'envoi et la réception de messages de données, en plus des fonctions de calcul des mesures de sécurité. Les indicateurs de sécurité calculés par les différents nœuds seront envoyés aux chefs de cluster (cluster Head) pour analyse.


73

Figure 4.3. Calcul des métriques de sécurité dans chaque nœud membre. Lorsque les métriques de sécurité sont transmises aux chefs de cluster, les nœuds ne procèdent alors à une retransmission de leurs états que s’il y a un changement réel d’état depuis le dernier rapport ; ce qui est en soi une optimisation dans l’envoi des paquets aux voisins. D’autres techniques utilisés dans les RCSfs se basent sur un envoi périodique (message HELLO par exemple). 4.7.3 Monitorage Local Le chef de cluster dans la figure 4, est responsable des fonctions suivantes: la surveillance locale des nœuds membres du cluster en question, l’analyse des résultats obtenus à partir de ces nœuds, la prise de décision et la génération des alertes, prise de mesures adéquates contre les nœuds malicieux, la réception et l'émission des messages, la fonction de capture de l'événement. Le chef du cluster envoie les résultats obtenus à la station de base pour une analyse plus globale; cette stratégie permet de réduire le nombre d'alertes envoyées vers la station de base.

Figure 4.4- Local Monitoring

4.7.4 Monitorage Global

L'observateur global (la station de base) reçoit les alertes et les métriques de sécurité des observateurs locaux (clusters-head) afin de les analyser.


74

La première étape consiste au filtrage des alertes collectées avec conservation des informations pertinentes et la construction d'un fichier unique trace globale. La station de base permet aussi de faire une surveillance centralisée pour sécuriser seulement les clusters-head.

Figure 4.5 - Monitorage global au niveau de la station base

4.7.5 Approche distribuée basée sur une architecture de cluster En générale, la clustérisation d’un réseau de capteurs permet de mieux gérer le trafic de réseau et d'alléger la quantité d'information qui circule, en effectuant des traitements au sein du cluster avant de propager les données vers le reste du réseau pour les transmettre au collecteur. Ainsi une organisation du réseau en clusters facilite la distribution du contrôle sur le réseau, permet d’économiser l’énergie des capteurs ce qui augmente la durée de vie totale du réseau. Dans notre cas, la réorganisation du réseau en clusters est utilisée pour des raisons de sécurité, où chaque chef de cluster surveille les nœuds membre de son cluster, ce qui permet aussi de réduire le temps de latence, et assure la transmission des informations de sécurité de manière très rapide. Dans cette contribution, nous proposons un algorithme de clustering qui réalise ses décisions en se basant sur des informations reçus des voisins à 1-saut. Les clusters sont construits automatiquement à la demande après chaque réaction au changement de topologie due aux problèmes d’attaques, défaillances ou redéploiement des nœuds capteurs. Chaque cluster est surveillé par un chef de cluster (cluster-head ou CH) qui est élu par un processus d’élection basé sur de nouvelles métriques et une approche multicritères d'aide à la décision. Ces critères sont: la densité (degré de connectivité de chaque nœud), le critère d’énergie (le niveau de l’énergie résiduel de chaque nœud), la distance entre les nœuds dans le cluster, le niveau de comportement de chaque nœud et l’état de mobilité des nœuds. Chaque nœuds calcule ses métriques localement, puis évalue une fonction de poids à partir de ces métriques avant de diffuser la valeur de cette fonction à ses voisins. Les chefs des clusters sont ensuite élus grâce à ces métriques. Pendant la formation des clusters les contraintes suivantes doivent être respectées : deux CH ne peuvent être côte à côte, si un nœud appartient à deux clusters, il doit être affecté au cluster le plus proche (le choix peut se faire grâce à la métrique prépondérante de distance entre les nœuds), et enfin si un nœud est complètement isolé, il devient automatiquement un CH.


75

4.7.6 Les métriques de l’algorithme de clustering Nous décrivons dans cette section, les métriques utilisées dans notre algorithme de formation des clusters, nous présentons par la suite le code des algorithmes : de formation des clusters , de la mise à jour des clusters en enfin l’algorithme qui permet la détection et l’élimination des nœuds à comportement anormal ( misbehavior nodes). La procédure de mise à jour est localement appelée après la mobilité ou l'ajout de nœuds dans le réseau. Pour décider d'un nœud qu’il est élu pour être un chef de cluster, nous prenons en considération les caractéristiques suivantes:

- Le niveau de comportement d’un nœud i à l’instant t B(i, t): des nœuds avec un niveau de comportement inférieur à un seuil de comportement-Min ne seront pas acceptés comme candidats pour être des chefs de cluster, même s'ils ont d'autres caractéristiques intéressantes comme le niveau d'énergie élevé, le degré de connectivité élevé ou une faible mobilité. A l’état initial, tous les nœuds ont le même niveau de comportement

- B = 1. Toutefois, ce niveau peut diminuer par l'algorithme de détection d'anomalie si un des nœuds présente un mauvais comportent, alors B = B - Taux. La formule (4) et la figure 4.6, présentent la classification des valeurs de comportement qui peuvent être affectés à un nœud capteur:

3.00:5.03.0:

8.05.0:malicieux) pas mais(18.0:

BMalicieuxNoeudBSuspectNoeud

BAnormalNoeudBNormalNoeud

(4)

Figure 4.6 – Niveau de comportement des nœuds, B[0,1]

- La mobilité du nœud ni à l’instant t, M(i,t) : L’objectif est d'avoir des clusters stables. Donc, nous devons élire des nœuds à mobilité relativement faible en tant que chefs de cluster. Pour caractériser la mobilité instantanée d’un nœud, nous allons utiliser une heuristique simple [33,36] où chaque nœud ni estime son indice de mobilité relative Mi , en mettant en œuvre la procédure suivante :

Calculer la mobilité moyenne de la vitesse pour chaque nœud ni jusqu'au temps T. Ceci donne une mesure de la mobilité notée par Mi :


76

T

ttttti yyxx

TM

1

21

21 )()(1

(5)

Où (x t, y t) et (xt-1, yt-1) sont les coordonnées du nœud v au temps t et (t-1), respectivement. - La distance d’un nœud ni à ses voisins à l’instant t , D(i, t): Il est préférable de choisir le nœud le plus proche de ses voisins comme cluster-head [34,35]. Pour chaque nœud ni, le calcul de la somme des distances Di, avec tous ses voisins nj , s’effectue par la formule (6):

)(

),(iNj

jii nndistD (6)

L’énergie résiduelle d’un nœud ni à l’instant t, E(i, t): il est préférable d’élire le nœud qui possède le plus de réserve en énergie comme cluster-head. La plus grande partie de l’énergie d’un capteur est consommée pendant les phases de transmission et réception des messages. Ainsi la quantité d’énergie nécessaire pour transmettre k bits du nœud capteur ni au nœud capteur nj , avec d(ni,nj) , notée par d désigne la distance qui les sépare, est donnée par l'équation (7) [37] : 2),( dkEkEdkE ampelecTx (7) Avec Eelec l’énergie dépensée par le module de transmission ou de réception et Eamp désigne l’énergie nécessaire pour l’amplification du signal radio. L’énergie nécessaire pour la réception d’un message de k bits, est donnée par l’équation (8) :

E Rx elec (k) = kE (8)

- Le degré de connectivité d’un nœud ni à l’instant t , C(i,t): N(i) c’est la liste des voisins du nœud ni , est définie par l’équation (9) [2] :

ijVn

rangejijj

txnndistniN

,

),(][ (9)

- Le degré de connectivité Ci d’un nœud ni , est donné par l’équation (10):

ijVn

rangejiij

txnndistiNC,

),()( (10)

De préférence, il faut élire le nœud qui possède un grand degré de connectivité. Chaque nœud ni , doit calculer son poids Pi , selon la méthode multicritère d’aide à la décision (la méthode de la somme pondérée) , donnée par l’équation (11) : Pi = w1*Bi+ w2*Eri + w3*Mi+ w4*Ci+ w5*Di (11) Où w1, w2, w3,w4,w5, représentent les coefficients correspondant aux critères du système, tel que (w1+w2+w3+w4+w5=10), et puisque dans notre cas on vise à surveiller le réseau de capteurs pour des raisons de sécurité, donc on donne une grande importance au coefficient du


77

comportement des nœuds Bi, et aussi au coefficient de l’énergie résiduelle des nœuds Eri , ainsi on aura les coefficients suivants : w1=4 , w2=3, w3=1, w4=1, w5=1. 4.7.7 Méthodologie L’objectif de ce travail est de détecter les actions anormales effectuées par les nœuds malveillants dans le réseau. Nous offrons pour cela un ensemble d’algorithmes, le premier consiste à réorganiser le réseau en cluster où les cluster-heads sont élus selon un nouveau mécanisme qui se base sur le multicritère d’aide à la décision. Ce mécanisme permet d’élire des cluster-heads très robuste en matière de ressource et de contraintes, ce qui assure une stabilité des clusters, augmente la durée de vie du réseau, et garantit une bonne surveillance des nœuds membres des clusters, puisque chaque cluster-head élu est chargé de surveiller ses nœuds membres. L’avantage de notre algorithme réside dans la distribution, il s’exécute à la demande c'est-à-dire après chaque changement de la topologie du réseau, panne des nœuds, ou problème dans les cluster-heads. Le deuxième algorithme concerne la détection proprement des anomalies, il permet la détection et l’élimination des nœuds malicieux du réseau (par isolement). L’approche est également distribuée sur tous les nœuds du réseau ; ce qui permet d’augmenter la tolérance au fautes dans le réseau et garantit la disponibilité des services de sécurité. En effet si la répartition des charges et des missions que remplit le réseau de capteurs fait que celles-ci ne seront pas altérés en cas de défaillance. 4.7.8 Hypothèses

Pour la conception de nos algorithmes, nous nous basons sur les hypothèses suivantes :

- Un nœud interagit directement avec ses voisins à un 1-saut et avec les autres nœuds par des nœuds intermédiaires en utilisant un transfert de paquets multi-sauts, basé sur un protocole de routage tels AODV,

- Chaque nœud capteur ni a un identifiant unique Idi dans le réseau, - Les nœuds sont aléatoirement déployés et dynamique, - Chaque groupe est contrôlé par une seul cluster-head (CH), - Les nœuds membres (ME) communiquent directement avec leurs cluster-head (CH)

pour la transmission des paramètres de sécurité, - Les cluster-heads, communiquent directement avec la station de base pour la

transmission des informations de sécurité et des alertes, 4.7.9 Algorithmes L'algorithme de formation des clusters que nous allons présenter ci-dessous est basé sur quelques idées proposées par [152, 153,155, 156, 157, 170], plus des améliorations que nous avons proposées pour que la formation des clusters soit plus efficace. Algorithme 1: Formation des Clusters - Déploiement aléatoire des nœuds - Calcul de la liste des nœuds normaux (0.8 ≤ B≤ 1) - Calcul de la liste des nœuds anormaux (B≤ 0.8)


78

- Chaque nœud ni broadcasts un message hello périodiquement pour découvrir ces voisins à 1-saut - Chaque nœud ni calcul ses métriques : C(i,t), B(i,t), M(i,t), Er(i,t), D(i,t) - Chaque nœud ni calcul son poids selon l’équation numéro (8), et stock sont poids Pi dans la liste LPi = {Idi, Pi}, et broadcasts son Idi et la valeur de son poids Pi à ses voisins à 1-saut. Cas des nœuds normaux :

- Le poids Pi de chaque nœud ni est comparé aux poids existant dans la liste LPi , Si le nœud ni possède le plus grand poids et le niveau de son comportement Bi est supérieur à un seuil B-min=0.8, alors il se déclare cluster-head, et diffuse (braodcasts) un message de rôle CHMSG à ses voisins à 1-saut pour confirmer son rôle comme étant un chef de cluster (cluster-head), et lance un timer T. Sinon, le nœud ni diffuse un message de rôle MEMSG à ses voisins à 1-saut pour confirmer son rôle comme étant un nœud membre et s’attache au cluster head de la liste LPi qui possède le plus grand poids ;

- Si les nœuds possèdent le même poids maximum, le CH sera celui qui possède le meilleur critère suivant leur importance (B, Er, M, C, D), si touts les critères des nœuds sont égaux, alors le choix sera aléatoire;

- Si, parmi les voisins d'un nœud ni, nous avons le nœud u qui a un poids max et appartient à un autre cluster-head le nœud v, dans ce cas le nœud ni s’attachera au nœud v (Pu ≤ Pv), et ainsi de suite.

- Si le nœud ni ne possède aucun voisin comme cluster-head ou les messages CHMSG sont perdues (se qui veut dire que le nœud ni est isolé), le nœud ni se déclare cluster-head.

Cas des nœuds anormaux - Si un nœud ni, possède un niveau de comportement Bi inférieur à un seuil B-min=0.8

et supérieur au seuil B-Critical=0.5, reçoit au moins un message CHMSG de déclaration d’un cluster-head avant la fin du timer T, le nœud ni choisit puis s’attache au cluster-head possédant le plus grand poids, et diffuse un message de rôle MEMSG à ses voisins à un- saut pour confirmer son rôle comme nœud membre.

- Si les nœuds possèdent le même poids maximum, le CH sera celui qui possède le meilleur critère suivant leur importance (B, Er , M, C, D), si touts les critères des nœuds son égaux , alors le choix sera aléatoire ;

- Si, parmi les voisins d'un nœud ni, nous avons le nœud u qui a un poids max et appartient à un autre cluster-head le nœud v, dans ce cas le nœud ni s’attachera au nœud v (Pu ≤ Pv), et ainsi de suite.

- Si le nœud C ne possède aucun voisin comme cluster-head ou les messages CHMSG sont perdues (se qui veut dire que le nœud ni est isolé), le nœud ni se déclare cluster-head.

Dans tout les cas, après chaque formation d’un cluster, le cluster-head diffuse un message "Start-monitoring" à ses membres du cluster (ce qui signifie le commencent de la phase de détection des mauvais comportements (Misbehavior détection).


79

Algorithme 2: Mise à jour des Clusters

Il existe cinq situations qui exigent la maintenance des clusters: - lorsque il y a ajout, suppression ou déplacement d'un nœud - lorsque il y a épuisement de la batterie d'un nœud - lorsque le nœud ni a un niveau de comportement Bi<= 0,3 (le nœud ni est malicieux) Dans tous ces cas, si un nœud ni est un cluster-head, l’algorithme de formation des clusters sera répété. Exemple d’application :

Cet exemple montre les performances de notre algorithme qui s’exécute au niveau de chaque nœud capteur. La figure 4.7, montre le déploiement aléatoire de 13 capteurs, au début du déploiement du réseau, tous les nœuds ont le même niveau de comportement B=1. Après une période d’exploitation du réseau, la surveillance du réseau montre des changements dans le niveau de comportement des nœuds. Dans la figure 4.7, les nœuds sont représentés par des cercles contenant leurs identités Id en haut du cercle et le niveau de comportement en bas.

Figure 4.7 – Exemple de réseau avec niveau de comportement.

Le tableau 4.1, présente les différents critères qui entrent dans l’élection des clusters. Ici on a 12 nœuds de capteurs normaux avec (B>0.8).

Tableau 4.1. Les différents critères des nœuds capteurs.

La Tableau 4.2, présente les poids des nœuds voisins pour chaque nœud normal avec un niveau de comportement (B> 0.8).


80

Tableau 4.2 - Poids des voisins des nœuds normaux

D’après le tableau 4.2 , on a: - Le Nœud 1 aux cluster-heads CH9 et CH2 (ces deux cluster-head possèdent le

même poids ), mais le niveau de comportement (B9> B2), et donc le Nœud 1 CH9. - Le Nœud 2 devient un cluster-head CH2. Puisque il possède le poids le plus élevé

parmi ces voisins. - Le Nœud 6 CH2. - Le Nœud 7 CH6 , mais le Nœud 6 CH2, et donc le Nœud 7 CH7. - Le Nœud 9 CH9. - Le Nœud 11 CH2. - Le Nœud 12 devient cluster-head CH12, puisque il est isolé.

Ces résultats, sont concrétisés dans la figure 4.8 :

Figure 4.8 - Identification des clusters cas des nœuds normaux. Pour les nœuds anormaux, nous avons: Le Nœud 3 est connecté au cluster-head CH2, et donc le nœud 3 CH2. Le Nœud 4 est connecté au cluster-head CH2 , et donc le nœud 4 CH2. Le Nœud 5 n’est connecté à aucun cluster-head, et donc le nœud 5 devient lui-même cluster-head CH5. Le Nœud 8 est connecté au cluster-head CH2 et CH7 => et donc le nœud 8 CH2, puisque (le poids de CH2 > poids de CH7, (14317.68> 12510)). Le Nœud 10 est connecté au cluster-head CH9, et donc le nœud 10 CH9. Le Nœud 12 n’est connecté à aucun cluster-head => et donc le nœud 12 devient lui-même cluster-head CH12.


81

On obtient en final la topologie du réseau suivante, avec la formation de 06 clusters :

Figure 4.9 – la formation finale des clusters. Algorithme 3: Algorithme de Détection des Mauvais comportements (Misbehavior Detection) Etape 1: Cette étape s’exécute dans chaque Cluster-heads CHi Chaque cluster-head CHi, devient un superviseur (ou nœud garde : Monitor Node) de ses membres du cluster, et diffuse le message “Start-Monitoring” , avec son Idi à touts les nœuds membre du cluster. Etape 2: Calcul des métriques de sécurité, cette étape s’exécute dans chaque membre nJ du cluster i - Chaque nœud nJ, i≠j , recevant le message “Start-Monitoring”, calcul ses métriques de sécurité comme suit : Nombre de paquet envoyés par le nœud nJ à l’intervalle de temps ∆t=[t0, t] : NpS(nJ, ∆t) Nombre de paquet reçues par le nœud nJ à l’intervalle de temps ∆t=[t0,t] : NpR(nJ, ∆t) Délais entre l’arrivé de deux parquets consécutive : DbP(nJ,t)= temps_arrivé_ packeti - temps_arrivé_ packeti-1 (9) Energie Consommée: L’énergie consommée par le nœud nJ pendant la réception et l’émission des parquets, est calculé par l’équation suivante: Ec(nJ,∆t)= Er(nJ,t0) – Er(nJ,t) (10)

où: - ∆t : intervalle de temps, ∆t=[ t0,t] - Er(nJ, t0) : Energie Résiduel de chaque nœud nJ à l’instant t0 - Er(nJ, t) : Energie Résiduel de chaque nœud nJ à l’instant t - Ec(nJ, ∆t) : Energie consommé de chaque nœud nJ au Intervalle de temps ∆t. Etape 3: Envoi de toutes les métriques de sécurité au cluster-head

- Après chaque calcul des métriques de sécurité, l’état du nœud nJ à l’instant t est noté comme suit: Etat(nJ, ti). Pour une économie du volume de stockage des données au niveau des nœuds, chaque nœud ne garde que le dernier résultat de calcul.

- A l’état initial de déploiement, chaque nœud nJ membre du cluster i, envoi quelques Etats (Etat (nJ,ti)) au cluster-head CHi , pour le calcul du profile du comportement normale du


82

nœud nJ et cela par apprentissage . Chaque Etat envoyé contient les informations suivantes : (IdJ , NpS(nJ, ∆t), NpR(nJ, ∆t), DbP(nJ,t), Ec(nJ, ∆t)).

- Si (Etat(nJ,ti)- Etat(nJ,ti-1) ≠ , un seuil donné) Alors le nœud nJ envoi le message MsgMet={IdJ , NpS(nJ, ∆t), NpR(nJ, ∆t), DbP(nJ,t), Ec(nJ, ∆t)) } à sons cluster-head CHi , pour des raisons de surveillance et analyse. Sinon, aucune information ne sera envoyée au cluster- head.

- Le message reçu par CHi sera stocké dans la table TMet pour d’éventuelles futures analyses.

- Si le nœud capteur nJ, ne répond pas pendant cette période de surveillance, il sera considéré comme malicieux (misbehavior), le niveau de comportement (behaviour level) du nœud nJ est calculé par l’équation (11):

B(nJ) = B(nJ) – taux (11)

Etape 4: Détection des mauvais comportements (Misbehavior Detection), cette étape s’exécute au niveau de chaque Cluster-head CHi - Pour chaque nœud nJ du cluster i, d’état à l’instant t est exprimé le vecteur à trois vecteur x= (xt1, xt2, xt3). Où : xt1= Nombre de paquet perdue (dropped packet) par le nœud nJ

lostnnodeatodestinednbysent PacketsPacketsPacketsJJJn byreceivedPackets (12)

JJ nnodeatodestinednbysentt PacketsPacketsx

Jnby received1 Packets (13)

// Pour un nœud normal, xt1≈ 0. xt2= Délais entre l’arrivée de deux paquets consécutifs, xt2= DbP(nJ,t) xt3= Energie consommé, xt3= Ec(nJ,∆t) t[t0, t]=∆t, dans notre cas, le premier intervalle de temps [t0, tn] est utilisé comme une phase d’apprentissage ou le profil de comportement normal est calculé et cela pour chaque métrique de sécurité ’’x’’. le profil global de chaque nœud est calculé par la moyenne du vecteur x des métriques x, par l’équation (14).

n

xx

nt

ttt

0 (14)

- Après la modélisation du profil normal du comportement de chaque nœud, tous les profils seront envoyés au station de base pour des analyses futur. La déviation d, du profil normal de chaque nœud capteur sera calculée par l’équation (15):

xxxd )( (15)

Quand la distance d, est supérieur à un seuil Th (cela signifie que le nœud est à comportement anormal), et il sera classé nœud malicieux (misbehaviour node), dans ce cas le niveau de son comportement (level of behavior), B(nJ) ≈ 0.

normalnoeudunSTxdanormalnoeudunSTxd

Jh

Jh

:)( sanction, deFonction la appelé ,:)(

(16)


83

Fonction de sanction (Punishing Function) Cette fonction a pour rôle de pénaliser les nœuds incriminés ; ses formules sont : B(nJ) = B(nJ) – Taux // dans notre cas Taux=0.1 , Si B(nJ) [0.8-1] alors le nœud capteur nJ est Normal, Si B(nJ) [0.5-0.8] alors le nœud nJ est Anormal Si (Noeud nJ est CH) alors Répéter la formation des clusters, Si B(nJ) [0.3-0.5] alors le nœud capteur nJ est Suspect Si (Nœud nJ est CH) alors Répéter la formation des clusters, Si B(nJ) [0-0.3] alors le nœud capteur nJ est Malicieux, Creation(Alerte), Envoi (Alerte) à la station de base, Ajouté le nœud nJ à la liste Noir (blacklist) Si (Nœud nJ est membre dans un cluster) alors Eliminer le nœud nJ de la liste des membres, Si (Nœud nJ est CH) alors Répéter la formation des clusters. 4.8 Simulation et Résultats Dans cette section, nous présentons le modèle de simulation et les résultats obtenus de notre travail. A. Modèle de simulation

Pour l’évaluation de nos algorithmes, nous avons développé un environnement de simulation en langage C++. Ce générateur de réseau, peut générer des nœuds à comportement normal et des nœuds malicieux à comportement anormal. Tous ces nœuds capteurs seront déployés de manière aléatoire dans une surface de 880mx360m, chaque nœud capteur possède une portée de communication de 150m. Deux nœuds ne peuvent partager la même localisation. Le scénario de simulation consiste en deux étapes : la première est dédié au formation des clusters, la deuxième c’est la surveillance du réseau par les différents cluster-heads et la détection des mauvais comportement (abnormal behavior).

Pour la simulation des mauvais comportements dans le réseau, on génère un ensemble de 100 nœuds dont 07 nœuds malicieux, où leur état passe de nœuds normaux de couleur vert aux nœuds anormaux de couleur jaune, aux nœuds suspects de couleur rouge, et finalement aux nœuds malicieux de couleur noir (voir les figures 4.11, 4.14 ,4.15 et 4.16). Pour les cluster-heads qui deviennent eux aussi malicieux, ils sont surveillés et détectés par la station de base, le même processus dédié pour la surveillance des nœuds membres des clusters sera appliqué de manière hiérarchique pour les cluster-heads, cette fois par la station de base.


84

B. Resulats

En ce qui suit, on présente les résultats de simulation.

Figure 4.10 – Graphe de connectivité de 100 nœuds

Figure 4.11 - La topologie du réseau après formation des clusters. Nombre de clusters formés en fonction de la portée de transmission Nous avons aussi mené des simulations pour calculer le nombre de clusters formés par rapport au rayon de transmission. Nous avons pris des réseaux dont la taille N était : 50, 75, 100 et un rayon de transmission (Rt) qui prend les valeurs : 100, 110, 120, 130, 140, 150.


85

Figure 4.12 – Le nombre de clusters formés en fonction du rayon de transmission La figure 4.12 présente le nombre de clusters formés en fonction du rayon de transmission. Nous constatons que le nombre de clusters générés tend à se stabiliser indépendamment de la taille des réseaux quand le rayon de transmission augmente et devient approximativement stable lorsque Rt = 130 m.

Figure 4.13 - Nombre de nœuds Vs. Nombre moyen de clusters, Rayon_Tx= 150 La figure 4.13, montre le nombre moyen de clusters par rapport au nombre de nœuds et la portée de transmission (Rayaon_Tx= 150m). Nous constatons d’après cette simulation que notre algorithme DCAS obtient moins de clusters que les autres algorithmes (Lowest-ID Algorithm, Highest-Degree Algorithm, Weighted Clustering Algorithm (WCA), EWCA), En outre, lorsque la portée de transmission augmente le nombre moyen de clusters est diminué. La raison possible de ce genre de comportement est que le cluster-head avec une portée de transmission large couvrira une zone plus vaste. Pour des petits portés, la plupart des nœuds ont tendance à être hors de portée de transmission, le réseau peut être déconnecté. Par conséquent, la plupart des nœuds forment des clusters, qui ne se composent que d’eux-mêmes.


86

Figure 4.14 - les capteurs de couleur jaune sont anormaux, mais non malicieux.

Figure 4.15 - les capteurs de couleur rouge sont des capteurs suspects.

Figure 4.16 – Les capteurs de couleurs noir sont des capteurs compromis, et présentant des mauvais comportements (malicious nodes).


87

Les capteurs de couleur noir, seront placés dans une liste noir et déconnectés du réseau comme montré dans la figure 4.16.

Figure. 4.17 Niveau de comportement (Behavior level) de quelques capteurs, avant et après déploiement des mauvais comportements dans le réseau.

De la figure 4.17, on peut voir que les capteurs 6, 7 and 19 sont malicieux et ont un niveau de comportement inférieur à 0.3, ce sont des nœuds classés malicieux.

Figure 4.18 - Pourcentage de nœuds malicieux détectés par notre système

La figure 4.18, montre le pourcentage des nœuds malicieux détectés par notre système. On constate donc que les 07 nœuds malicieux déployés dans le réseau sont totalement détectés.


88

4.9 Conclusion Dans ce chapitre, nous avons présenté une approche décentralisée pour la surveillance de l’état et comportement des nœuds capteurs dans un réseau de capteurs sans fil. Pour cela nous avons développé un nouveau mécanisme de surveillance distribuée pour la sécurité d’un RCSF. Ce système est basé sur un algorithme de clustering qui s’exécute à la demande, et qui peut s’adapter automatiquement suivant le changement de la topologie du réseau (d’origine dynamique), ou suivant l’état des capteurs. Cet algorithme ne s’exécute que lorsqu’il y a un besoin, ce qui lui donne un avantage par rapport aux autres algorithmes existant dans la littérature. Un certain nombre de paramètres des nœuds ont été pris en considération pour assigner un poids aux nœuds, afin d’élire les meilleurs et robustes cluster-heads ; ces derniers auront la responsabilité de surveiller le comportement des différents nœuds membres dans leur zones respectives. Le système développé contient aussi un second algorithme distribué, dont le rôle est d’analyser l’état des capteurs pour la détection et l’élimination des nœuds malicieux (misbehavior nodes) du réseau. L’avantage et points fort de notre approche est la réduction des communications entre les nœuds garde (cluster-heads ou minotor’s nodes) et les nœuds membres normaux des clusters. En cas de fonctionnement normal, les échanges d’informations concernant la sécurité du réseau se voient considérablement réduits. Par ailleurs, cela assure la stabilité des clusters, la minimisation des appels de l’algorithme de clustering (qui n’est exécuté que si le cluster head tombe en panne), et la maximisation de la durée de vie des nœuds capteurs. La distributivité des algorithmes à travers les nœuds du réseau, garantit aussi la tolérance aux fautes, et la disponibilité des services de sécurité. La topologie hiérarchique du réseau assure un routage efficace et rapide des informations urgentes de sécurité: les alertes arrivent ainsi plus rapidement au niveau de la station de base, et les décisions d’urgences sont traitées localement au niveau des cluster-heads.

Chapitre 5. Utilisation des règles d'association pour la détection des anomalies dans un RCSF

89

Chapitre 5

Utilisation des règles d'association pour la détection des anomalies dans un RCSF

5.1 Introduction

Ce chapitre est consacré à notre deuxième contribution relative à la détection du comportement anormal dans un RCSF en utilisant des règles d’association. Cette technique nous permettra de détecter et isoler les capteurs à comportement anormal. En effet, dans les réseaux de capteurs, les conséquences des attaques peuvent varier d'une simple écoute du trafic jusqu'à l'arrêt total du réseau. Karlof et Wagner [188] ont également révélés que les protocoles de routage des réseaux de capteurs sont précaires et très vulnérables aux capteurs malicieux. Ces derniers peuvent être externes et se joindre au réseau ou d'origine interne pour compromettre un nœud légitime. Les attaques générées par un capteur interne compromis sont les attaques les plus dangereuses. Ces nœuds compromis peuvent aussi effectuer des attaques à la fois passive et active contre les réseaux. Aujourd'hui, la sécurité des réseaux de capteurs est l'objet de plusieurs recherches scientifiques et technologiques. Comme nous l'avons déjà vu dans les chapitres précédents, les solutions de sécurité des réseaux de capteurs sans fil peuvent être classées en deux principales techniques: la prévention et la détection. Les techniques de prévention telles que le chiffrement et l'authentification qui ne sont pas évidentes pour les réseaux de capteurs en raison des ressources limitées et l'utilisation des moyens de communication sans fil, les techniques de détection, comme les IDS (Intrusion Detection System) permettent d’identifier les anomalies dans un RCSF. Plusieurs recherches ont été effectuées pour améliorer la sécurité des réseaux de capteurs, ces recherches couvrent plusieurs axes de sécurité tel que : la gestion des clés, le routage sécurisé, l’authentification, la cryptographie, …etc. Cependant, il existe peu de mécanismes utilisant le datamining dans la sécurité des réseaux de capteurs sans fil, spécialement l’utilisation des règles d'association pour la détection des comportements anormaux des capteurs. Pour cela, dans cette contribution nous avons proposé une nouvelle approche utilisant des règles d'association dans le but de détecter et d'isoler les capteurs qui présentent des dis similarités avec les autres par rapport à un modèle de comportement de référence. Ces techniques sont de plus en plus utilisées dans l’analyse des procédés industriels ou en traitement numérique du signal. Les conditions d’application de cette méthode s’y prêtent : nombre faible d’individu mais un nombre très élevé d’attributs appelés aussi gènes (de milliers parfois). L'idée de base est d'extraire des règles d'association à partir d'un ensemble de données obtenues par analyse et observation (partie statistique de la méthode) dans la durée, du trafic réseau. Ces règles définissent le profil du comportement normal des capteurs. Elles seront, une fois établies, utilisées pour détecter toute déviation du comportement des capteurs. Le principe consiste à créer, par un mécanisme de vote et donc par application de règle dont les prémisses sont contenues dans l’objet, des classes qui caractérisent un sous ensemble d’objets. 5.2 Extraction des connaissances à partir de données 5.2.1 Introduction Les opérations traditionnelles de fouille (datamining) sont inapplicables sur le nombre croissant de grandes bases de données et des données volumineuses issues du trafic réseau vue qu’elles proviennent de sources variées et hétérogènes, et qui produisent des données en continu, très rapidement et de façon illimitée.


90

Déterminer la façon dont sont organisées ces données, les interpréter et en extraire des informations utiles est un problème difficile et ouvert. Il est aussi impossible d’utiliser des algorithmes traditionnels qui ont besoin de faire plusieurs passes sur les données. À l’heure actuelle, notre capacité à collecter les données de tous types outrepasse nos possibilités d’analyse, de synthèse et d’extraction de connaissances dans les bases données et les flots de trafic réseau. Une communauté s’est créée au milieu des années 90 autour de l’extraction de connaissances dans les données1 (ECD) pour tenter d’apporter des solutions aux chercheurs et aux industriels [189,190]. L’offre en matière d’outils puissants de calcul des ordinateurs d’aujourd’hui, ainsi que la diminution des coûts de stockage, laissent prédire que nous disposerons de plus en plus de moyens physiques très performants pour faire face à l’accroissement du volume de données. Cependant malgré ces ressources, les outils classiques de gestion des données s’avèrent incapables de détecter des connaissances à partir d’ensembles de données. Le domaine de la fouille de données (ou Datamining) est apparu avec la promesse de fournir les outils et/ou techniques pour découvrir les connaissances, utiles et préalablement inconnues dans ces gisements de données [191].

L’extraction de connaissances à partir de données se définit comme «l’extraction automatique de connaissances nouvelles, utiles et valides à partir de grandes quantités de données». En terme de positionnement scientifique, la fouille de données se situe à l’intersection de l’informatique et des statistiques : les méthodes de fouille de données font appel à la fois aux statistiques et aux méthodes d’apprentissage automatique dont l’objet est la conception d’algorithmes capables d’apprendre à résoudre un problème à partir d’exemples de solutions, pour induire des modèles qui soient représentatifs des données tout en étant robustes aux erreurs et à la fois à la conception d’algorithmes efficaces pour pouvoir traiter de grandes quantités de données et considérer des questions plus ouvertes que celles posées antérieurement par l’analyse statistique de données [192]. Ainsi contrairement à cette dernière, l’objectif de la fouille de données n’est pas d’évaluer la vraisemblance d’hypothèses mais d’élargir le champ de connaissances à travers tous les outils et modèles de représentation disponibles. La fouille de données regroupe ainsi des méthodes et des techniques aussi variées tel que l’extraction des règles d’association, les méthodes de régression ou de «clustering» d’objets similaires.

Figure 5.1- Le processus d’extraction de connaissances.

1 Le terme anglais Knowledge Discovery in Databases (KDD) apparaît en 1989 lors d’un atelier de la conférence IJCAI qui lui est consacré [189].


91

La fouille de données n’est qu’une étape d’un processus d’extraction de connaissances plus large qui s’étend de la préparation des données jusqu’à l’interprétation des résultats. La fouille de données établit par ce biais des connexions vers d’autres disciplines préexistantes tels que les bases de données, les outils de visualisation, les modèles de représentation de la connaissance et plus largement l’intelligence artificielle. L’intégration de la fouille de données au sein du processus d’extraction de connaissances tel que décrit dans Fayyad et al. [193] est illustrée par le schéma de la figure 5.1. Ce processus décrit l’ensemble des étapes que l’utilisateur d’un système de fouille de données qui est souvent aussi l’expert d’un certain domaine d’application, doit en pratique réaliser pour obtenir une réponse à son interrogation. Les méthodes de fouille de données sont nombreuses et varient principalement en fonction d’une part, de la nature et de la quantité des données considérées et d’autre part, des questions auxquelles on cherche à répondre (Voir par exemple [194]; [195]). Ces méthodes ont été empruntées à l’apprentissage automatique, en particulier les méthodes de régression statistique, les méthodes de clustering comme par exemple les méthodes des plus proches voisins [196], ou de classification supervisée en particulier symbolique, comme les arbres de décision [197]; [198] ; [199]. La fouille de données est toutefois plus que l’assemblage de méthodes préexistantes : la fouille de données en tant que domaine de recherche identifié, s’est clairement affirmée quand furent proposées certaines méthodes qui ne se rattachaient plus aux grandes classes de problèmes traités jusqu’alors par l’apprentissage automatique. 5.2.2 La recherche des motifs fréquents et l’extraction des règles d’association Les travaux associés à l’extraction des règles d’association sont assez anciens puisque l’une des premières méthodes de recherche de corrélations entre valeurs booléennes est la méthode GUHA[200]. L’intérêt pour les règles d’association a été relancé trois décennies plus tard suite à l’apparition de grandes bases de données contenant des transactions commerciales [201, 202]. Cette application est également appelée «analyse du panier de la ménagère» et elle est à l’origine des règles d’association. Il s’agit d’obtenir des relations ou des corrélations du type «Si Condition alors Résultat». Dans ce cas de figure, chaque panier n’est significatif que pour un client en fonction de ses besoins et de ses envies, mais si le supermarché s’intéresse à tous les paniers simultanément, des informations utiles peuvent être extraites et exploitées. Tous les clients sont différents et achètent des produits différents, en quantités différentes. Cependant, l’analyse du panier de la ménagère consiste en l’étude des comportements des clients ainsi que les facteurs qui les poussent à effectuer tel ou tel type d’achat. Elle permet d’étudier quels produits tendent à être achetés en même temps et lesquels seront les mieux adaptés à une campagne promotionnelle.

Le but de l’utilisation des règles d’association comme méthode de fouille de données est l’identification des relations significatives entre les données de taille très importante. Dans le cas des bases de données transactionnelles, étant donné un ensemble d’articles, le but est de découvrir si l’occurrence de cet ensemble dans une transaction est associée à l’occurrence d’un ensemble d’articles. Par exemple, «Si Fumeur alors cholestérol (75%)». Cette règle signifie qu’une personne qui fume a 75% de risque d’avoir un excès de cholestérol (ce qui n’. Bien que cette méthode soit initialement prévue pour le secteur de la grande distribution, elle peut tout à fait s’appliquer à d’autres domaines. L’approche demeure identique quel que soit le domaine étudié. Le problème de la recherche des motifs fréquents fut introduit par Agrawal et al. [201] et résolu grâce à son algorithme Apriori.


92

Ces travaux s’annoncent dès le premier article [201] en rupture avec les travaux d’apprentissage symbolique réalisés jusque là, il ne s’agit pas en effet de traiter un problème de classification, que cette classification soit supervisée ou non. La méthode ne tente pas non plus de décrire globalement les données comme peuvent le faire les méthodes de régression, mais produit des règles d’association «locales» décrivant chacune un sous-ensemble réduit des données. Enfin contrairement aux systèmes existants de classification à base de règles [197]; [190]; [203]; [198]; [204], la méthode propose un algorithme complet pour extraire un grand nombre de règles significatives tout en traitant de grandes quantités de données, L’algorithme d’Apriori d’Agrawal [201] se décompose en deux sous-problèmes [205]:

Trouver tous les «patrons» ou itemsets fréquents qui apparaissent dans la base de données avec une fréquence supérieure ou égale à un seuil défini par l’utilisateur, appelé minsup ;

Générer l’ensemble des règles associatives à partir de ces itemsets fréquents ayant une mesure de confiance supérieure ou égale à un seuil défini par l’utilisateur, appelé minconf.

Le problème de la recherche des motifs d’attributs fréquents Dans son formalisme initial, la recherche des motifs fréquents considéré un ensemble O de n objets (ou transactions) décrits par un ensemble A de m attributs selon une relation binaire R

O×A. Un exemple d’une telle relation binaire est représenté par la table de la figure 5.2. Les colonnes représentent les attributs de A à D alors que les lignes représentent les objets de o1 à o5. Une croix indique quels sont les attributs qui sont en relation avec un objet [192].

Figure 5.2- Un exemple de relation binaire [192].

La donnée de cette relation binaire permet de déterminer l’ensemble des objets présentant un ensemble donné d’attributs. L’objectif de la recherche des motifs fréquents est de déterminer les cooccurrences d’attributs qui apparaissent le plus fréquemment dans les données. Définition 5.1 :

- Un motif est un ensemble d’attributs. - Un motif M A décrit ou couvre un objet de O si cet objet présente (i.e. est en relation

avec) tous les attributs éléments de M. - Le support support(M) du motif M est le nombre d’objets décrits par M :

support(M) = RoMOo , (1)

Le support porte parfois aussi le nom de fréquence absolue. - La fréquence relative d’un motif M notée freqr(M) est la fraction du support de M sur

le nombre n d’objets et est donc comprise entre 0 et 1.


93

Le problème de la recherche des motifs fréquents consiste alors, étant donnée un seuil minimal fmin de fréquence relative ou absolue, à déterminer la fréquence de tous les motifs fréquents, c’est-à-dire dont la fréquence est supérieure ou égale à fmin. Ainsi le motif {A, C}, noté AC sous forme abrégée, a pour support |{o1, o2, o4}| = 3 et pour fréquence relative 3/5. La fréquence présente la particularité d’être une fonction décroissante dans l’ordre des motifs ordonné par la relation d’inclusion ensembliste (i.e. M1 M2 A freq(M1) freq(M2)). Cette propriété est visible sur le diagramme de l’ordre des motifs (parfois appelé : diagramme de Hasse [192]) représenté sur la figure 5.3. On y observe la décroissance de la fréquence des motifs indiquée entre parenthèses, le long de tout chemin descendant du sommet représentant le motif vide.

Figure 5.3- La décroissance des fréquences au sein de l’ordre des motifs [192].

Cette propriété de décroissance sur les fréquences implique la propriété d’anti-monotonie sur le caractère fréquent d’un motif : Un motif ne peut être fréquent que si tous les motifs qu’il inclut sont eux-mêmes fréquents (i.e. M1 M2 A et freqr(M2) fmin freqr(M1) fmin). L’ensemble des motifs de support supérieur ou égal à 2 sont ainsi { , A, B, C, D, AB, AC, BC, CD, ABC} et représentent la partie supérieure du diagramme d’ordre au dessus de la ligne de partage en pointillés. Au delà de son approche novatrice, le problème de la recherche des motifs fréquents s’attaque également à un problème informatique difficile : dans le pire cas où fmin = 1 et où les données sont telles que tout motif est décrit par au moins un objet, tous les 2m motifs possibles deviennent fréquents et doivent par conséquent être fouillés. Chaque calcul de fréquence nécessitant de tester l’inclusion du motif dans chaque description d’objet, la complexité du problème dans le pire cas est (au moins) exponentielle en le nombre m d’attributs. Or les algorithmes de complexité exponentielle sont généralement considérés comme inutilisables en informatique théorique. La recherche des motifs fréquents apporte une réponse pragmatique à ce problème puisque le réglage du paramètre fmin permet d’ajuster le nombre de motifs fréquents qu’il est possible d’extraire en un temps raisonnable. En pratique l’ajustement de ce paramètre est un facteur essentiel puisqu’il permet de s’adapter à la difficulté variable qu’il existe à fouiller un jeu de données, selon que ce dernier soit creux (i.e. les données contiennent relativement peu de motifs de fréquence élevée) ou au contraire dense. Il n’en demeure pas moins que le problème reste difficile et devient «non faisable» dès que le seuil fmin devient trop faible ou que les données sont trop denses. Si la complexité du problème est défavorable vis à vis du nombre d’attributs, elle est au contraire extrêmement avantageuse du point de vue de la taille des données puisqu’elle est une fonction linéaire du nombre n d’exemples (pour un nombre de motifs fréquents constant). Cette capacité à traiter rapidement de grandes masses de données est une autre caractéristique déterminante des méthodes de fouille de données [192].


94

Le nombre de motifs potentiellement fréquents croit exponentiellement avec le nombre d’attributs considérés et il n’est pas rare en pratique de produire des centaines de milliers voire des millions de motifs fréquents [192]. Par ailleurs la fréquence n’est pas d’une grande utilité pour identifier les motifs intéressants puisque sa valeur obéit principalement à la longueur des motifs : les motifs les plus courts auront tendance à être les plus fréquents. Le motif vide est ainsi le plus fréquent alors qu’il n’apporte aucune information. Les motifs fréquents sont donc généralement suivis d’un post-traitement dont l’objet est la sélection d’un ensemble réduit de motifs. Cette sélection peut par exemple se faire grâce à une fonction de score pertinente vis-à-vis de l’application traitée, en triant les motifs par ordre décroissant de score. Mais dans la plupart des applications, les motifs fréquents servent d’intermédiaires de calcul pour extraire efficacement les règles d’association fréquentes introduites à la section suivante. L’extraction des règles d’association fréquentes Une règle d’association HC construite à partir de deux motifs disjoints H et C permet d’exprimer une relation de causalité ou du moins de corrélation entre les attributs de H et ceux de C. Pour cette raison les règles d’association sont plus expressives pour les experts que ne le sont les motifs fréquents. Une règle n’a toutefois d’intérêt que si on lui joint sa confiance, c’est à dire la probabilité conditionnelle pour qu’un objet présentant le motif H présente aussi le motif C.

Définition 5.2 :

- Une règle d’association HC est définie par un motif hypothèse H (ou prémisse) et un motif conclusion C disjoint de l’hypothèse. Elle exprime le degré de vraisemblance selon lequel un objet présentant les attributs du motif H présente aussi ceux de C.

- Le support support(HC) de la règle HC est le support de H C. Le support d’une règle permet d’évaluer sa représentativité dans les données.

- La confiance conf(HC) d’une règle HC est le rapport du support de H C sur celui de H. La confiance représente le degré de vraisemblance ou précision de la règle.

Ainsi sur l’exemple de la figure 5.3, la règle d’association ABC a pour confiance 2/3 et pour support 2. Le problème de la recherche des règles d’association fréquentes consiste alors, étant donnés des seuils minimaux fmin de fréquence et cmin de confiance choisis arbitrairement entre 0 et 1, à déterminer la fréquence et la confiance de toutes les règles fréquentes, c’est-à-dire dont la fréquence relative et la confiance sont respectivement supérieures ou égales à fmin et cmin [192]. L’objectif est d’extraire des données, un ensemble de règles qui soient en premier lieu précises (i.e. de confiance élevée) et en second lieu représentatives (i.e. de support élevé). Une règle HC est fréquente vis-à-vis des seuils fmin et cmin si le motif M = H C est fréquent relativement à fmin et si pour un motif M fréquent donné, le motif H = M \ C est tel que freqr(H) pour le seuil = × freqr(M). À partir de cette observation, Agrawal [206] extrait efficacement les règles fréquentes en traitant cette extraction comme deux problèmes imbriqués de recherche de motifs définis par une contrainte anti-monotone : Le premier consiste à chercher tous les motifs fréquents relativement à fmin puis pour chaque motif M fréquent trouvé, le second consiste à chercher tous les motifs C inclus dans M tels que freqr(M \ C)) .


95

5.2.3 Les algorithmes de recherche des motifs d’attributs fréquents Le principe fondamental de l’algorithme Apriori [207] est d’exploiter la propriété d’anti-monotonie des motifs fréquents pour limiter au maximum le nombre de fréquences à calculer. L’idée consiste à générer des motifs de longueur (l + 1) candidats à être fréquents résultant de l’union de motifs fréquents de longueur l partageant (l – 1) attributs. Parmi ces motifs candidats seuls sont retenus les motifs dont tous les sous-motifs de longueur l se sont révélés préalablement fréquents, toujours d’après la propriété d’anti-monotonie des motifs fréquents. Les fréquences de ces motifs candidats sont ensuite calculées en une seule passe dans la base de données. Seuls les motifs candidats fréquents sont conservés et la procédure est réitérée pour les motifs de longueur l+2 jusqu’à épuisement des motifs fréquents. La force de l’algorithme tient dans la réduction du nombre des calculs de fréquence, passant du nombre 2|A| total de motifs à la somme du nombre de motifs fréquents et du nombre de motifs dans la frontière négative (Negative border) [208]. La frontière négative associée ici au caractère fréquent des motifs mais généralisable à tout autre prédicat anti-monotone est l’ensemble des motifs non fréquents minimaux, c’est-à-dire des motifs non fréquents dont tous les prédécesseurs immédiats2 sont fréquents. C’est la raison pour laquelle l’algorithme fournit en pratique le résultat en un temps raisonnable tant que le seuil minimal fmin de fréquence reste suffisamment élevé. Apriori est un algorithme par niveau considérant successivement les générations – ou niveaux d’ordre k – des motifs candidats de longueur k. Depuis, de nombreux autres algorithmes ont été proposés qui se sont révélés plus efficaces qu’ « Apriori ». En particulier les algorithmes de recherche en profondeur comme Eclat [209, 210] énumèrent les motifs fréquents selon un parcours en profondeur de l’ordre des motifs. Afin d’éviter des générations redondantes de motifs, ce parcours en profondeur se construit en ordonnant les attributs des motifs selon un ordre lexicographique : le motif {c; a; g; h} se représente par la séquence triée de ses attribut (a, c, g, h) si on classe les attributs par ordre alphabétique. Cet ordre total permet de confier la génération d’un motif à un motif parent unique : le motif acgh est généré par son motif parent acg si ce dernier est fréquent et par lui seul. Ce principe évident dans le cas des motifs d’attributs devient un problème complexe et essentiel de la fouille de graphes. L’avantage des algorithmes en profondeur est de pouvoir calculer très rapidement le support du motif courant M en mémorisant la liste L(M) des transactions contenant M. Grace à un codage vertical des données associant à chaque attribut à la liste L({a}) des transactions présentant cet attribut, il est alors possible de calculer très rapidement le support des motifs M {a} résultant de l’extension d’un attribut au motif courant comme étant égal à |L(M) L({a})|3. Enfin l’algorithme FP-growth [211] utilise une approche hybride fondée sur une structure FP-Tree. Cet arbre préfixé enrichi de pointeurs supplémentaires permet de compresser en mémoire l’ensemble des transactions de telle manière que la fréquence de tout motif s’en déduise rapidement. 2 Un motif M1 est un prédécesseur immédiat d’un motif M2 vis à vis d’une relation d’ordre et se note M1 M2 si M1 M2 et s’il n’existe pas de motifs dans l’intervalle ]M1; M2[ : M1 M M2 M = M1.. 3 La notation |E| désigne le cardinal de l’ensemble E.


96

L’analyse de concepts formels

La recherche des motifs d’attributs fréquents est liée à l’analyse de concepts formels (FCA, Formal Concept Analysis) ou ACF dont l’objet est d’étudier le problème de l’extraction et de la représentation des connaissances sous l’angle de la théorie mathématique des treillis développé par Birkhoff [212] et en particulier par celle des treillis de Galois [213]. L’ACF [214, 215] a été introduite par Wille [216] et appliquée à «l’acquisition automatique de connaissances» [217] avant même que ne soit posé le problème de la recherche des motifs d’attributs fréquents. Tout comme la recherche des motifs fréquents, l’ACF considéré un contexte (O, A, R) constitué d’une relation binaire R entre un ensemble d’objets O et un ensemble d’attributs A. L’ACF exploite une correspondance de Galois qui s’établit entre l’ordre des motifs d’attributs (2A, ) et l’ordre des ensembles d’objets (2O, ), tous deux ordonnés par la relation d’inclusion pour extraire du contexte un treillis de concepts dits formels. Précisément, étant donné un contexte (O, A, R), l’ACF introduit deux fonctions p et q permettant respectivement de passer d’un motif d’attributs aux objets que ce motif décrit et inversement d’un ensemble d’objets au motif d’attributs commun à tous ces objets [192]. Formellement : p : M A p(M) = {o | M => o R } et q : O q(O) = { A|o O => (2)

Le couple (p, q) définit alors une correspondance de Galois permettant d’exprimer la dualité qui existe entre les ordres (2A, ) et (2O, ) des sous-ensembles d’attributs et d’objets: Propriété 1 : Le couple (p, q) de fonctions définit une correspondance de Galois [192]: 1. p et q sont des fonctions décroissantes :

M1 M2 A => p(M1) p(M2) et O1 O2 O )=>q(O1) q(O2). (3)

2. Les fonctions composées f = q o p : 2A 2A et g = p o q : sont extensives :

M A, f(M) M et O , g(O) O. (4)

La correspondance de Galois fait des deux fonctions f et g des operateurs de fermeture : Propriété 2 : Les operateurs f = q o p et g = p o q sont des operateurs de fermeture, c’est-à-dire des fonctions croissantes, extensives et idempotentes :

M1 A, M2 A, M1 M2=>f(M1)

(croissance) (5)

M A, f(M) M. (extensibilité) (6)

M A, f(f(M)) = f(M). (idempotence) (7) Les fermés associés à f sont alors les éléments stables de f (i.e. les éléments e tels que f(e) = e). Les couples (M, p(M)) des motifs M fermés de q op auxquels sont adjoints les ensembles p(M) des objets qu’ils décrivent, forment l’ensemble des concepts formels. M et p(M) sont respectivement appelés l’intension et l’extension du concept.


97

Les concepts formels peuvent s’obtenir par fermeture des motifs, c’est-à-dire comme l’ensemble des valeurs que prend (q(p(M)), p(M)) lorsque M décrit tous les sous-ensembles possibles d’attributs. Intuitivement les concepts formels correspondent aux rectangles pleins maximaux dans la représentation tabulaire de R (à une permutation des colonnes et des lignes prés). L’ordre des concepts formels peut être muni d’operateurs d’union et d’intersection dotés des propriétés algébriques propres aux treillis commutatifs. Définition 5.3 : L’ensemble C des concepts formels est un treillis commutatif (C, , ) [192] où:

1. L’intersection de deux concepts est définie par :

(M1, O1) (M2, O2) = (q (O1 O2), O1 O2). (8)

2. L’union de deux concepts est définie par :

(M1, O1) (M2, O2) = (M1 M2, p (M1 M2)). (9) L’intérêt fondamental de l’ACF est de transformer la vue tabulaire peu expressive du contexte en un treillis de concepts adapté à des tâches d’extraction et de représentation des connaissances comme l’extraction automatique d’ontologies, la classification automatique d’objets ou la recherche d’information. Ainsi le contexte de la figure 5.2 se transforme en un treillis de concepts représenté par le diagramme de Hasse de la figure 5.3. À chaque concept sont associées son intension et son extension (par exemple l’intension AC = {A, C} et l’extension 124 = {o1, o2, o4}). Lorsque les données sont creuses, le treillis de concepts formels est en général beaucoup plus petit que le treillis des motifs associés à leur fréquence. Ainsi le treillis de la figure 5.4 comporte 5 concepts là où l’ordre des motifs de la figure 5.3 ne compte pas moins de 16 motifs. Ces deux représentations sont pourtant équivalentes puisqu’il est possible de retrouver la table des données initiales à partir soit du treillis des concepts, soit des fréquences de tous les motifs. Par rapport à la donnée des motifs et de leur fréquence, les treillis de concepts formels apportent une représentation plus condensée des données, concept qui a été repris ultérieurement par les méthodes de recherche des motifs fermés et générateurs présentées dans la section suivante.

Figure 5.4-Treillis de concepts formels [192].


98

Les méthodes de recherche sélective de motifs

o Les représentations condensées de motifs L’extraction des règles d’association fréquentes produit en pratique un nombre très important de règles, entraînant deux conséquences néfastes : d’une part le passage en revue des règles par l’expert devient une tâche fastidieuse, d’autre part l’information utile moyenne que présente chaque règle s’en trouve affaiblie du fait de la redondance d’information entre les règles. Cette constatation a motivé le remplacement de l’ensemble des règles d’association fréquentes par une base de règles réduite mais équivalente (i.e. sans perte d’information) [192]. L’ACF s’est révélée être une théorie très utile pour répondre à ce problème. L’operateur de fermeture f = q o p de la section précédente définit en effet une relation d’équivalence entre motifs. Deux motifs sont dits équivalents s’ils ont même image par f. Les classes d’équivalence associées sont donc en bijection avec les concepts formels de l’ACF. Chaque classe d’équivalence contient des éléments minimaux et des éléments maximaux au sens de l’inclusion . Du fait des propriétés des operateurs de fermeture, chaque classe d’équivalence C a un et un seul élément maximal qui est le motif fermé f(M) pour tout motif M de C. Plusieurs motifs minimaux encore appelés motifs libres ou générateurs, peuvent au contraire coexister au sein d’une même classe. Les classes d’équivalence des motifs de la figure 5.3 sont précisées sur la figure 5.5 Chacune des cinq classes est en bijection avec un concept formel et regroupe un certain nombre de motifs dont un motif fermé maximal (en gras sur la figure), un ou plusieurs motifs générateurs minimaux (en italique) et éventuellement d’autres motifs qui ne sont ni fermés ni générateurs. Ainsi le concept (ABCD, 1) est associé à la classe d’équivalence {AD;BD;ABD;ACD;BCD;ABCD} qui a pour motif fermé ABCD et pour motifs générateurs AD et BD. Les motifs fermés fréquents munis de leurs fréquences (ou les générateurs fréquents plus la frontière négative) forment une représentation dite condensée, c’est-à-dire réduite mais équivalente.

Figure 5.5 - Classes d’équivalence des motifs [192].


99

De la figure 5.5, les motifs représentés en gras (resp. en italique) sont les motifs fermés (resp. générateurs), c’est-à-dire les motifs maximaux (resp. minimaux) dans leur classe d’équivalence [192] des motifs fréquents. La donnée d’une telle représentation permet en effet d’en déduire la fréquence de tout motif fréquent. Si on relâche l’exigence d’équivalence, il est possible de produire des représentations condensées approximatives comme celle des motifs

-libres [208] qui généralise la notion de motifs générateurs. Plusieurs algorithmes permettent d’extraire efficacement les motifs fermés et générateurs comme Close [218], Close-A [219], Pascal [220] et Charm [221], Zart [222] et Snow [223]. Cette notion de représentation condensée se propage ensuite aux règles d’association : à partir des motifs fermés et générateurs fréquents, peut être construit l’ensemble réduit des règles d’association minimales non redondantes fréquentes [224]; [225]. Une telle règle HC est telle que H C soit un motif fermé et H un motif générateur. Cet ensemble de règles est une représentation condensée des règles d’association fréquentes.

o La recherche de motifs sous contraintes

Une approche complémentaire des représentations condensées de motifs, ou recherche de motifs sous contraintes [226, 227], introduit des contraintes spécifiques dans le processus de fouille de données, afin de sélectionner un sous-ensemble restreint de motifs pertinents. De façon générale, une contrainte est un prédicat prenant comme argument un motif : seuls les motifs vérifiant ce prédicat sont sélectionnés pour figurer dans l’ensemble résultat. La vérification de la satisfaction des contraintes peut se faire lors de la phase de post-traitement qui suit la recherche des motifs fréquents.

Après la présentation des différents algorithmes d’extraction des règles d’association ou plus précisément la recherche d’attributs fréquents, nous concluons que Les motifs d’attributs fréquents disposent de nombreuses méthodes pour les extraire des données (la recherche des motifs fréquents), les interpréter (l’extraction des règles d’association), les représenter et les organiser (l’ACF) ou encore les sélectionner selon divers critères et contraintes. Indépendamment des recherches qui visent à enrichir la fouille de données de nouvelles méthodes ou à améliorer l’efficacité des méthodes existantes, un autre axe de recherche s’est développé pour adapter les méthodes conçues au départ pour des données tabulaires à des données plus complexes [192]. 5.2.4 L’extraction de connaissances à partir de données relationnelles Les plus efficaces des algorithmes de recherche des motifs fréquents, qui plus est, exécutés sur des ordinateurs toujours plus rapides permettent de traiter en pratique bon nombre d’applications. La principale limitation de ces méthodes ne provient plus alors d’une insuffisance de performance mais du manque d’expressivité que présentent les tables de correspondance entre objets et attributs. En effet dans certains domaines d’application, les données ne se représentent pas naturellement sous la forme d’une conjonction d’attributs. L’expert est alors obligé de projeter ces données dans une table objets-attributs et ce faisant, de perdre tout ou partie de l’information qu’il comptait fouiller. La recherche des motifs d’attributs fréquents dans les bases de données de réactions [228] est un exemple d’une telle projection où certains sous-graphes particuliers sont réduits à l’état d’attributs [192].


100

Parmi les plus importantes lacunes d’un contexte tabulaire (O, A, R), est le fait de ne pas pouvoir prendre en compte l’existence des relations entre objets. Dans ce qui suit, nous donnons des exemples montrant qu’il n’existe pas une seule manière de prendre en compte ces relations mais plusieurs, dont la complexité varie en fonction des exigences de l’application traitée. Ainsi dans certains cas, l’analyse au niveau des relations entre classes d’objets (ou concepts) [192]. De nombreuses propositions ont été faites pour étendre les modèles fondés sur les relations binaires objets × attributs à des objets décrits par des attributs plus complexes. Conceptual Scaling [214] a permis d’intégrer au sein de l’ACF le cas des attributs multi-valués. Un attribut multi-valué est un attribut associant à chaque objet une valeur prise dans un domaine de définition, par opposition aux attributs mono-valués qui sont en relation ou non avec chaque objet. Polaillon et Diday [229, 230] a ainsi étendu l’ACF au cas d’attributs de type intervalle ou histogramme. Dans certaines applications, les attributs peuvent être liés par des relations. Dans le cas de relations binaires, les attributs forment alors un graphe orienté où les sommets et les arcs représentent respectivement les attributs et les relations entre couples d’attributs. Chaque arc est étiqueté par la relation qu’il représente [192]. C’est ainsi que Boley et al. [231] aborde la recherche des trajectoires (définies comme des ensembles de segments connexes) empruntées fréquemment par des individus entre un ensemble de lieux géographiques. Il résout le problème en représentant chaque segment par un attribut puis en recherchant les motifs d’attributs fréquents soumis à la contrainte particulière de connexité. De même Yan et al. [232] propose de chercher les sous-graphes d’un graphe relationnel qui sont à la fois fréquents et de connectivité supérieure à un certain seuil. Dans les deux cas les arêtes des graphes sont modélisées par des attributs. Les objets d’un contexte peuvent également être liés par des relations indépendamment du fait que les attributs soient eux-mêmes mis ou non en relation. Huchard et al. [233] ou et Ferré et al. [234] proposent d’étendre l’ACF afin d’y intégrer les relations binaires entre objets. Cependant le traitement des relations entre objets est plus compliqué que le traitement des relations entre attributs [192]. Après cette brève présentation des recherches qui aborde le problème de recherche des motifs fréquents dans les domaines complexes, nous présentons dans ce qui suit un état de l’art sur les travaux abordant le problème d’extraction des règles d’association. 5.3 État de l’art des travaux basés sur l’utilisation des règles d’association Lors de notre étude, nous n’avons pas trouvé de recherches qui focus sur l’utilisation des règles d’association dans la sécurité des RCSFs. Cependant les travaux suivants comptent parmi ceux qui utilisent les règles d’associations: Xiaolei Li et al [235] ont discuté une méthode d’utilisation des règles d'association dans la détection d'anomalie dans un réseau local, Ils ont mis en application un système de détection d'anomalie, ce système est composé de plusieurs modules, y compris un module d'acquisition de données et de prétraitement, un module d’extraction des règles d'association, un module de calcul statistique, un module d'ajustement de règles manuel et un module de comparaison. Le système fonctionne comme suit: La première acquisition de données est effectuée sur un réseau normal. Après le prétraitement des données, l'extraction de règles d'association est effectuée pour établir une bibliothèque de référence des règles d'association pour des comportements normaux. Alors l'acquisition de données est effectuée sur le réseau et la statistique de données est faite sur des données rassemblées.


101

Les résultats seront assortis avec des règles d'association pour déterminer s’il y a n'importe quel comportement anormal dans le réseau. Dans le système de détection d'anomalie du réseau local, des trames transmises dans le LAN sont arrêtées et analysées. Ainsi des informations peuvent être obtenue y compris le type de trame, l’adresse de source, l’adresse de destination, le temps d’envoie, le type de protocole pour la couche-supérieur, ainsi que les données encapsulées dans cette trame, etc. Les expériences prouvent que les techniques d'extraction des règles d'association fonctionnent efficacement pour découvrir les règles d'association du comportement normal du réseau. En comparant les résultats statistiques des trames dans le réseau et les règles d'association extraites, des comportements anormaux peuvent être détectées avec précision en temps réel. Wang Xuren et He Famei [236] ont présenté une approche hybride pour modéliser un IDS. L’exploitation de règles d’association et la théorie des ensembles approximative (Rough set theory) sont combinées comme modèle de système intelligent hybride et hiérarchique. Cette approche a pour but d’améliorer l'exactitude de détection et pour réduire les fausses alarmes. Le système hybride rough set-association rule est composé de plusieurs modules : Un module de réduction par la théorie des ensembles approximatifs (Rough set theory) qui permet de réduire le grand volume des données, ce qui signifie qu'un ensemble de valeurs continues est divisé dans un nombre fini d'intervalles. Le module de génération des règles d'association, permet d’obtenir un ensemble complet de règles d'association qui satisfait l’utilisateur et respecte le support minimum et la confiance minimum. Et pour plus d’efficacité il y’a un autre module qui permet le choix des règles parmi l’ensemble des règles générées par le module précédent. D’autres travaux sur l’utilisation des règles d’association pour la détection des anomalies dans des environnements intelligents peuvent être trouvés dans [237]. Cette technique d’extraction de la connaissance et surtout d’aide à la décision est efficace pour la description et la détection des profils anormaux dans un réseau, c’est pourquoi nous avons essayé de l’appliquer sur la détection des anomalies dans les réseaux de capteurs sans fil, car nous avons trouvé peu de travaux qui s’articulent autour de cette thématique. Nous exposons, dans la section suivante, une explication détaillée sur notre approche ainsi que la stratégie que nous avons conçue pour l’utilisation des règles d’association dans la détection des nœuds malicieux dans un RCSF. 5.4 Notre approche Notre approche consiste à proposer une nouvelle stratégie pour détecter et isoler les capteurs à comportement anormal du réseau. L'idée de base consiste à utiliser les règles d'association pour analyser le trafic qui circule à travers les capteurs intermédiaires, ce qui permet de localiser n'importe quelle anomalie dans le trafic réseau, découvrir les capteurs malicieux qui ne respectent pas ces règles, puis enfin les isoler du réseau. 5.4.1 Comportement anormal des capteurs Les nœuds à comportement anormal ou critique causent des dysfonctionnements dans le réseau et endommagent les autres nœuds. Comme vu dans les deux chapitres précédents, les réseaux de capteurs sans fils sont susceptibles à des attaques actives et passives. Dans les attaques passives, on ne trouve que l'écoute de données, tandis que dans les attaques actives, des opérations telles que la répétition, la modification ou la suppression des données sont possibles.


102

Certains nœuds dans les RCSFs peuvent produire des attaques qui causent la congestion, la distribution des informations de routage incorrectes [239]. Les nœuds du réseau qui exécutent des attaques actives pour endommager les autres nœuds et provoquer des déconnections dans le réseau sont appelés nœuds malicieux ou compromis. En outre, les nœuds qui n'envoient pas les paquets reçus (pour une économie de la durée de vie de la batterie à utiliser pour leurs propres communications) sont appelés nœuds égoïstes [201, 240]. Un nœud égoïste (Selfish) influe sur les opérations normal du réseau en ne participant pas aux protocoles de routage ou de ne pas envoyer des paquets. Un nœud malicieux peut utiliser les protocoles de routage pour annoncer qu'il a le plus court chemin vers le nœud destination pour l'envoi des paquets. Dans cette situation, ce nœud reçoit les paquets et ne les envoie pas. Cette opération est appelée attaque de "trou noir ou blackhole" [205, 241]. Il peut aussi donner la préférence pour transmettre les paquets de ses propres amis et retarder d’autres paquets dans l'attaque "retard de transmissions des paquets (Delay packet transmissions)". En conséquence certains flux peuvent ne pas pouvoir satisfaire leurs bout-en-bout [242]. D'autres type de nœuds malicieux peuvent carrément arrêter le fonctionnement d'un protocole de routage par la modification des informations de routage ou par la fabrication de fausses informations de routage; cette opération s'appelle l’attaque "trou de ver ou wormhole". Dans ce cas deux nœuds malicieux créent un tunnel ou un trou de ver et sont reliés les uns aux autres par un lien privé, il peut être conclu qu'ils ont un itinéraire de déviation dans le réseau. Un attaquant ou un nœud compromis peut tenter de consommer la batterie en demandant la découverte excessive de la route, ou en envoyant des paquets inutiles au nœud victime, ceci connue comme "la privation du sommeil (sleep deprivation)";également appelé : « attaque de consommation de ressource ». Les nœuds malicieux peuvent aussi causer la perte des paquets de façon sélective dans le cas de l’attaque Grey Hole [242, 237]. Les nœuds a comportement égoïste, peuvent être classés de deux types [243]:

Nœuds égoïstes de type 1 : Ces nœuds participent correctement en fonction de routage, mais ne transmettent pas les paquets de données qu’ils reçoivent, ainsi les paquets de données peuvent être endommagés au lieu d'être acheminés à leur destination.

Nœuds égoïstes de type 2 : Les nœuds ne participent pas correctement à la fonction de cheminement et n'annoncent pas les itinéraires disponibles, par exemple: dans le DSR (Dynamic Sensor Route) le nœud égoïste peut laisser tomber tout les RREQ (ROUTE REQUEST) qu'il a reçu ou ne pas expédier un RREP (ROUTE REPLY) à une certaine destination. En conséquence, ce nœud égoïste ne participera pas aux itinéraires demandés.

5.4.2 Idée de base Nous savons que chaque nœud dans le réseau a des tâches à accomplir tels que le renvoi des messages destiné à un autre nœud, donc chaque nœud qu’il soit normal ou malicieux à un comportement. À partir de cette idée, nous avons pensé à surveiller le trafic des paquets passant par les nœuds durant l’exécution de ces tâches afin de détecter les nœuds malicieux, mais comment juger ces nœuds, autrement dit, quel est le critère qui nous permet de différencier entre un nœud malicieux et un nœud normal. Il est connu que lors du déploiement des nœuds, la probabilité d’avoir un nœud malicieux ou un adversaire est presque nul. Au-delà, nous avons proposé d’observer les nœuds durant les premiers moments où tous les nœuds fonctionnent normalement pour détecter n’importe quel changement du comportement d’un nœud avec le temps.


103

Pour cela il nous faudra un moyen puissant qui nous permettra d’être sûrs que le profil des nœuds lors du premier déploiement reflète le fonctionnement normal de ces nœuds. Comparer le comportement d’un nœud à celui observé lors du premier déploiement ou peut être de sa nouvelle adaptation ou par rapport au rôle qui lui a été attribué, nous a poussé à choisir les règles d’association comme outil de traitement et de description des données énormes liées à la circulation dans le réseau. 5.4.3 Extraction des règles d’association Nous avons, tout d’abord, une base de données contenant le trafic initial du réseau, passant par chaque nœud dans un réseau composé de dix nœuds. Ce trafic décrit le profil de ces nœuds dans le cas normal. Nous supposons que tous les nœuds ont le même rayon de connectivité. Le schéma qui suit présente la topologie du réseau que nous avons étudié :

Figure 5.6-Topologie du réseau

La base de données du tableau 5.1, contient les informations de chaque capteur ainsi que les messages circulant dans le réseau : IP source (IP_src), IP destination (IP_dest), temps d’envoi (Tps_env), temps de réception (Tps_recep), Identifiant de message (ID_msg), type message (Type_msg). Vu l’étendu des données nous avons omis quelque une, dans ce qui suit la base de données contenant le trafic du réseau dans le cas normal :


104

Capteur Msg_env Msg_reçu IP_src IP_dest Tps_env Tps_recep ID_msg Type_msg

C1 1 1 - - 1 1 - -

…

- - 1 1 - - 1 1

…

IP1

IP1

IP5

IP7

IP1

IP1

IP7

IP2

…

IP7

IP5

IP1

IP1

IP2

IP4

IP1

IP1

…

00 :00 :01 00 :00 :01

- -

00 :00 :05 00 :00 :05

- -

…

- -

00 :00 :03 00 :00 :04

- -

00 :00 :06 00 :00 :09

…

ID1

ID2

ID10

ID13

ID24

ID25

ID29

ID37

…

Hello Hello

R_Hello R_Hello

Hello Hello

Déstiné R_Hello

… C2 -

- 1 1 1 - - 1 - - - -

1 1 - - - 1 1 - 1 1 1 1

IP4

IP3

IP2

IP2

IP2

IP1

IP4

IP2

IP9

IP1

IP9

IP9

IP2

IP2

IP4

IP3

IP9

IP2

IP2

IP1

IP2

IP9

IP2

IP2

- -

00 :00 :02 00 :00 :02 00 :00 :05

- -

00 :00 :06 - - - -

00 :00 :01 00 :00 :01

- - -

00 :00 :05 00 :00 :06

- 00 :00 :08 00 :00 :20 00 :00 :22 00 :00 :26

ID5

ID7

ID12

ID16

ID27

ID24

ID26

ID37

ID44

ID52

ID54

ID55

Hello Hello

R_Hello R_Hello

Hello Hello

Déstiné R_Hello R_Hello

Hello Déstiné Déstiné

C9 1 1

- -

IP9

IP9 IP3

IP3 00 :00 :40 00 :00 :41

- -

ID67

ID68 Fabriqué Fabriqué

C10 - 1 1 1 - 1 - 1 - - 1

…

1 - - - 1 - 1 - 1 1 -

…

IP9

IP10

IP10

IP10

IP8

IP10

IP3

IP10

IP6

IP1

IP10

…

IP10

IP9

IP3

IP9

IP10

IP8

IP10

IP6

IP10

IP10

IP1

…

- 00 :00 :03 00 :00 :06 00 :00 :07

- 00 :00 :06

- 00 :00 :32

- -

00 :00 :46 …

00 :00 :03 - - -

00 :00 :06 -

00 :00 :08 -

00 :00 :38 00 :00 :44

- …

ID8

ID17

ID30

ID32

ID19

ID35

ID43

ID60

ID66

ID69

ID74

…

Hello R_Hello

Hello Fabriqué

Hello R_Hello R_Hello

Hello R_Hello

Hello R_Hello

…

Tableau 5.1. Un extrait de la base de données du trafic normal.

Après avoir analysé ce trafic, nous extrayons un ensemble de règles par heuristique, puis nous calculons le support et la confiance de chaque règle. Dans ce qui suit la technique d’extraction des règles d’associations:

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.


105

1ère règle R1 : règles sur les messages de type hello Nous faisons un parcours dans la base de données, nous ne sélectionnons que les messages reçus de type hello et le temps de réception, puis nous faisons un deuxième parcours pour sélectionner les réponses hello ainsi que le temps d’envoi de la réponse hello. La différence entre le temps d’envoi de la réponse hello et de la réception du message hello nous permet de connaitre le temps qu’a pris le destinataire pour répondre au message hello. Dans notre étude, et après avoir essayé l’envoi des messages hello avec leurs réponses hello sur dix nœuds, nous avons remarqué que chaque capteur qui reçoit un message hello doit envoyer une réponse hello dans un temps inférieur ou égale à cinq secondes, ce qui nous permet d’extraire la première règles sur les messages hello :

Chaque capteur qui reçoit un message de type HELLO (MH) doit envoyer une REPONSE HELLO (RH) dans un délai TRH (Temps de Réponse Hello), dans notre cas TRH doit être inferieur ou égale à cinq secondes.

Formellement : MH, RH TRH 5s

D’après l’algorithme d’Apriori d’Agrawal [207], nous calculons le support et la confiance de cette règle : Dans notre exemple, nous avons 30 messages Hello, 28 réponses hello et 25 réponses hello dans un temps inferieur ou égale à 5 secondes. Nous avons calculé tout d’abord la fréquence de la règle, par la formule (10) :

Support(R)=Nn (10)

Où, n représente le nombre de réponses hello dont le délai est inférieur ou égale à 5 secondes qui sont 25 et N représente le nombre total des messages hello qui sont 30.

Support(R1) = 3025 = 0,83 support (R1)= 83%

Puis, nous avons calculé la confiance, par la formule (11) :

Confiance(R) = . (11)

Dans notre cas, x représente le nombre des messages hello qui ont des réponses hello.

Confiance(R1)= 2825 = 0,89 confiance (R1)=89%

1. 2ème règle R2 : règle sur les nœuds intermédiaires

Comme la 1ère règle, nous avons fait un parcours pour sélectionner les messages passant par des nœuds intermédiaires, le temps de réception ainsi que le temps de renvoi du message, puis nous avons calculé le temps pris pour renvoyer le message soit à la destination soit à un autre nœud intermédiaire. Dans notre cas, nous avons remarqué que chaque nœud intermédiaire a pris un temps inferieur ou égale à trois seconds pour renvoyer un message. Cela nous a permis d’extraire la 2ème règle R2:


106

Chaque message de type «forward» passant par un nœud intermédiaire doit être

renvoyé dans un délai inferieur ou égale à trois secondes.

Formellement : MF, NI délai 3s

Nous avons : 30 opérations pour renvoyer un message de type «forward», 26 messages passant par des nœuds intermédiaires, et 17 opérations pour renvoyer un message dans un temps inferieur ou égale à trois secondes. Donc :

Support (R2)= = 0,57 = 57%

Confiance(R2)= = 0,65 = 65%

2. 3ème règle R3 : règle sur les nœuds intermédiaires

Comme la 2ère règle, nous avons fait un parcours pour sélectionner les messages passant par des nœuds intermédiaires, nous avons calculé par la suite le nombre total des messages reçus de types «forward» et le nombre total des messages renvoyés ce qui nous a permis de calculer le nombre des messages perdus au niveau de chaque nœud. Dans notre cas, nous avons remarqué que chaque nœud peut perdre un nombre inférieur ou égale à 5 messages. Cela nous a permis d’extraire la 3ème règle :

Chaque nœud intermédiaire peut perdre un nombre inferieur ou égale à 5 messages (MP).

Formellement : MF, NI MP 5 messages

Nous avons : 30 opérations pour renvoyer un message de type «forward», 26 avec des messages perdus inférieur ou égale à 5 messages, et 26 messages passant par des nœuds intermédiaires. Donc :

Support (R3)= = 0,87 = 87%

Confiance(R3)= = 1 = 100%

3. 4ème règle R4: règles sur les messages directs

Nous avons fait un parcours pour sélectionner les messages directs et successifs de la même source et à la même destination, puis nous avons calculé le temps d’envoi entre deux messages successifs. Dans notre cas, nous avons remarqué que le temps qui sépare deux messages successifs allant de la même source à la même destination est supérieur ou égale à deux secondes, cela nous a permis d’extraire la 4ème règle :


107

Deux messages successifs et directs (MD) allant de la même source (S) et à la même

destination (D) doivent être séparés par un temps (TS) supérieur ou égale à 2 secondes.

Formellement : MD, S, D TS 2s

Nous avons 19 messages directs de la même source et à la même destination, et 19 dans un temps séparant entre deux messages successifs supérieur ou égale à 2 secondes. Donc :

Support (R4)= = 1 = 100%

Confiance(R4)= = 1=100%

5.4.4 Interprétations des règles d’association En observant le trafic initial du réseau nous avons conclu que chaque capteur qui reçoit un message HELLO doit répondre par un message REPONSE HELLO dans un certain temps, donc la première règle sert à détecter les capteurs qui n’envoient pas leur REPONCE HELLO dans ce laps de temps et ceux qui n’envoient jamais la REPONSE HELLO, et qui sont jugés comme des capteurs malicieux occupés peut être, par le lancement d’une attaque pour endommager les capteurs voisins. Le capteur peut être tout simplement endommagé ou épuisé physiquement, la prise de décision relève d’un diagnostic exact faisant intervenir d’autres paramètres. Chaque capteur dans le réseau peut être un centre serveur ou un routeur de messages pour les autre capteurs du réseau, en observant toujours le trafic initial du réseau, chaque capteur qui reçoit un message destiné à un autre capteur du réseau c.-à-d. de type FORWARD, ce capteur doit renvoyer ce message dans un certain temps, la deuxième règle détecte les capteurs qui ne renvoient pas les messages dans un certain temps, et qui essayent de lancer l’attaque de retard des paquets de transmission (delay packets transmission attack), en conséquence certain flux peuvent ne pas satisfaire leurs bout en bout. La troisième règle détecte les capteurs qui endommagent les messages de type FORWARD au lieu de les renvoyer au capteur destinataire, ce comportement est lié a plusieurs types d’attaques comme l’attaque de trou noir, trou gri, et peut être aussi lancé par un capteur égoïste. En observant le trafic initial, le temps entre deux messages successifs et directs de la même source et à la même destination doit être supérieur ou égale à un certain temps, en surveillant le trafic courant du réseau, la quatrième règle détecte les messages directs et successifs allant de la même source et à la même destination. Les capteurs qui ne respectent pas cette règle sont des capteurs malicieux qui lancent l’attaque de privation du sommeil (sleep deprivation) aussi connu comme l’attaque d’inondation par des messages inutiles en essayant d’assécher l’énergie du capteur victime. Après l’extraction des règles d’association du trafic normal, nous les appliquons sur une base de données du trafic courant du même réseau à des fins de simulation afin de détecter l’existence de comportement anormal, dans ce qui suit la base de données du trafic courant. Enfin, à travers cet exemple pédagogique, nous ne faisons que montrer la faisabilité de cette analyse sur un petit réseau. L’établissement d’autres règles ainsi que la caractérisation d’autres attributs nécessitent la mise en place d’un réseau beaucoup plus important et un surtout un ensemble de données récoltées sur une longue période.


108

Tableau 5.2. Un extrait de la base de données du trafic courant.

Capteur Msg_env Msg_reçu IP_src IP_dest Tps_env Tps_recep ID_msg Type_msg

C1 1

-

1

-

1

...

-

1

-

1

-

...

IP1

IP9

IP1

IP9

IP1

...

IP10

IP1

IP10

IP1

IP10

...

00:01:45

-

00:01:47

-

00:01:51

...

-

00:01:43

-

00:01:46

-

...

ID103

ID104

ID104

ID105

ID105

...

Forward

Forward

Forward

Forward

Forward

...

C2 1

-

1

-

1

...

1

1

1

1

-

1

-

1

-

...

-

-

-

-

IP2

IP5

IP2

IP6

IP2

...

IP2

IP2

IP2

IP2

IP1

IP2

IP5

IP2

IP6

...

IP9

IP9

IP9

IP9

00:01:02

-

00:01:13

-

00:01:49

...

00:01:03

00:01:09

00:01:18

00:01:26

-

00:01:07

-

00:01:42

-

...

-

-

-

-

ID84

ID87

ID88

ID95

ID96

...

ID98

ID99

ID100

ID101

R_Hello

HELLO

R_Hello

HELLO

R_Hello

...

Fabriqué

Fabriqué

Fabriqué

Fabriqué

C3 -

-

-

1

1

1

IP8

IP8

IP8

IP3

IP3

IP3

00:01:08

00:01:09

00 :01:10

-

-

-

ID128

ID129

ID130

Destiné

Destiné

Destiné

C10 1

-

-

...

-

1

1

...

IP10

IP7

IP7

...

IP3

IP10

IP10

...

00:02:19

-

-

...

-

00:02:16

00:02:20

...

ID109

ID111

ID112

Forward

Forward

Forward

. . . . . . . . .

. . . . . . . . .


109

5.4.5 Principe de l’algorithme de détection du comportement anormal

Entrer : les règles d’association, le trafic courant du réseau Sortie : la liste noire Li des capteurs malicieux Ouvrir la base des règles Ri Sélectionner une règle Ri tel que i [1..4] Ouvrir la Base de données du Trafic réseau Créer un compteur Ca //compteur d’anomalie Initialiser Ca à 0 Parcourir la liste des capteurs Ci /i [1..10]

Si Ri n’est pas satisfaite alors Ca=Ca+1 Si Ca > 3 alors

Ajouter le capteur Ci à la liste noire Li

Procédure de vérification des réponses hello R1: (HM, HRHRT= < S1) Crée Liste Noir L1={} Ouvrir la Base des Règles Sélectionner la Règle R1 Ouvrir la Base des Données du Trafic Initialise Ca:=0 //Ca: compteur d’anomalies Pour chaque capteur Ci / i[1..n] // n: nombre total des capteurs Pour chaque msg.recu et msg.type= Hello faire x := dest.IP y := recep.temps v := faux Pour chaque msg.env et msg.type = H_Reponse faire si src.IP = x alors HRT:= env.temps - y v :=vrai si HRT > S1 alors Ca:= Ca+1 si Ca > 3 alors L1:= Ci finpour si v: =faux alors Ca:= Ca+1 si Ca > 3 alors L1:= Ci finpour finpour Procédure de vérification du délai de renvoi des messages

R2: (MF, NI temps = < S2) Crée Liste Noir L2={} Ouvrir la base des règles Sélectionner la règle R2 Ouvrir la base de données du Trafic Initialise Ca:=0 Pour chaque capteur Ci/i [1..n] do Pour chaque msg.recu et msg.type = Forward faire x := msg.id z := recep.temps pour chaque msg.env et msg.type = Forward faire


110

si msg.id = x alors temps:=env.temps - z si temps > S2 alors Ca:=Ca+1 // S2=3 second si Ca > 3 alors L2:= Ci

finpour finpour finpour

Procédure de vérification des messages perdus R3: (MF, NIMP = < S3 ) Crée Liste Noir L3= {} Ouvrir la base des règles Sélectionner la règle R3 Ouvrir la base de données du Trafic Initialise Ca:=0 Pour chaque capteur Ci/i[1..n] faire Initialise MP=0 //MP : compteur des messages perdus Pour chaque msg.recu et msg.type = Forward faire x := Msg.id Pour chaque msg.env et msg.type = Forward faire si Msg.id < > x alors MP := MP+1 //Calculer le nombre des messages perdus si MP > S3 alors L3:=Ci finpour finpour finpour Procédure de vérification des messages directs et successifs R4: (MD, S, D ST > = S4) Crée Liste Noir L4= {} Ouvrir la base des Règles Sélectionner la règle R4 Ouvrir la base des données du Trafic Initialise Ca=0 Pour chaque capteur Ci/i[1..n] faire Pour chaque msg.env et msg.type = fabriqué faire x := Msg.id y := env.temps z := dest.IP pour chaque msg.env et msg.type = fabriqué faire si msg.id < > x et dest.IP = z alors ts := env.temps – y //ts: temps entre deux messages directs et successifs si ts < S4 alors Ca:=Ca+1 si Ca >3 alors L4:= Ci finpour finpour finpour


111

5.5 Conception Le développement d’un système implique le choix d’une méthode, technique et outil pour la production et la maintenance des composants logiciels. Cependant la production du logiciel est décomposée en plusieurs phases dont la conception est une tâche non négligeable parce qu’elle définit les constituants du système: informations traitées, traitements effectués, résultats fournis, contraintes à respecter, etc. Donc nous avons choisis UML 2 [244] comme langage de conception pour modéliser les différentes fonctionnalités de notre système. 5.5.1 Diagramme de cas d’utilisation Bien souvent, la maîtrise d’ouvrage et les utilisateurs ne sont pas des informaticiens. Il leur faut donc un moyen simple d’exprimer leurs besoins. C’est précisément le rôle des diagrammes de cas d’utilisation qui permettent de recueillir, d’analyser et d’organiser les besoins et de recenser les grandes fonctionnalités d’un système. Il s’agit donc de la première étape d’une modélisation UML.

Figure 5.7-Diagramme de cas d’utilisation.

Cette première étape est essentielle pour produire un logiciel conforme aux attentes des utilisateurs. Il est à noter que dans ce type de logiciel, l’utilisateur est un expert dans le domaine. Nous avons donc scindé les fonctionnalités du système en unités cohérentes, en décrivant les activités de chaque acteur du système :


112

Le capteur :

Effectue les tâches qui lui sont assignées en captant les événements (feu, température, etc.), puis en envoyant des messages aux autres nœuds qui sont dans le même rayon de connectivité. La relation d’inclusion (include) nous a permis de décomposer le cas complexe connectivité en deux sous cas simples : envoyer message et recevoir message.

Administrateur : Il a comme tâches de surveiller le réseau, ajouter ou supprimer des capteurs malicieux, dans notre système l’administrateur peut être un appareil ou bien un expert dans le domaine. Alors que le diagramme de cas d’utilisation montre le système du point de vue des acteurs, nous passons à la deuxième étape, le diagramme de classes qui est considéré comme le plus important de la modélisation orientée objet.

5.5.2 Diagramme de classes Le diagramme de classes modélise les concepts du domaine d’application ainsi que les concepts internes créés de toutes pièces dans le cadre de l’implémentation d’une application.

Figure 5.8-Diagramme de classes.

Nous avons dans cette deuxième étape, montré notre système du point de vue des acteurs en présentant la structure interne sous forme de classes et attributs qui représentent les données encapsulées dans ces classe. Nous avons l’administrateur qui gère le réseau, nous supposons dans cette étude que tous les capteurs sont tous dans le mêmes rayon de connectivité, la classe paramètre réseau est constituée de capteurs, la relation qui relie les deux classes paramètre réseau et capteur est une relation de composition.


113

Dans notre cas, la destruction des capteurs implique la destruction de tout le réseau. La classe capteur est à son tour reliée avec la classe message par une relation de composition, nous avons aussi les attributs calculables, le délai pour qu’un capteur renvoie les paquets de type «forward» et le nombre des messages perdus au niveau d’un nœud intermédiaire ; Donc le délai de renvoi des paquets est la différence entre le temps de renvoi du paquet et le temps de réception, et le nombre des messages perdus est égale au nombre des messages reçus moins le nombre des messages destinés et renvoyés. 5.5.3 Diagramme d’états-transitions Les diagrammes d’états-transitions d’UML décrivent le comportement interne d’un objet (instance de classe) à l’aide d’un automate à états finis. Ils présentent les séquences possibles d’états et d’actions qu’une instance de classe peut traiter au cours de son cycle de vie en réaction à des événements discrets (de type signaux, invocations de méthode). Le diagramme d’états-transitions est le seul diagramme, de la norme UML, à offrir une vision complète et non ambiguë de l’ensemble des comportements de l’élément auquel il est attaché.

Figure 5.9-Diagramme d’états-transitions.

Dans ce diagramme, nous avons rassemblé et organisé les états et les transitions passant par chaque capteur durant sa vie. Bien entendu, ces états décrivent le comportement interne du capteur. Le capteur, au départ, est en mode écoute, lorsqu’il reçoit ou envoie un message hello il bascule de l’état écoute à l’état active. L’événement When(envoie/reçoit hello) est un événement de changement, Il s’agit d’une manière déclarative d’attendre qu’une condition soit satisfaite. Tant que le capteur envoie ou reçoit des messages il est donc normal, dans les cas de non-respect des règles, il bascule vers l’état anormal. Les diagrammes d’états-transitions sont orientés vers des systèmes réactifs, mais ils ne donnent pas une vision satisfaisante d’un traitement faisant intervenir plusieurs classes, ils doivent être complétés. Au contraire, les diagrammes d’activités ne sont pas spécifiquement rattachés à une classe particulière, on peut rattacher un diagramme d’activités à n’importe quel élément de modélisation afin de visualiser, spécifier, construire ou documenter le comportement de cet élément. Les diagrammes d’activités sont relativement proches des diagrammes d’états-transitions dans leur présentation, mais leur interprétation est sensiblement différente.


114

5.5.4 Diagramme d’activité Les diagrammes d’activités permettent de mettre l’accent sur les traitements. Ils sont donc particulièrement adaptés à la modélisation du cheminement de flots de contrôle et de flots de données. Ils permettent ainsi de représenter graphiquement le comportement d’une méthode ou le déroulement d’un cas d’utilisation.

Diagramme d’activité d’envoi des messages hello

Figure 5.10-Diagramme d’activité d’envoi des messages hello.

Nous avons, dans cette étape, spécifié les traitements a priori et séquentiels qui sont particulièrement adaptés à la description des cas d’utilisation sous forme d’organigramme. Le diagramme ci-dessus illustre l’échange des messages Hello entre deux capteurs, quand un capteur envoie un message, le capteur récepteur s’active, avant d’effectuer n’importe quelle opération, il doit tout d’abord vérifier s’il est dans le même rayon de connectivité que le capteur émetteur, cette vérification est assuré grâce au nœud de décision, si c’est le cas il répond par un message de type réponse hello. Après l’envoi de la réponse hello, nous calculons le temps qu’a pris le récepteur pour répondre au message hello, ceci est faisable grâce au nœud d’action .


115

Diagramme d’activité d’envoi de paquets de données

Figure 5.11-Diagramme d’activité d’envoi de paquets de données.

Nous avons par la suite modélisé l’envoi des messages à travers un noeud intermédiaire où le délai de renvoi et le nombre de paquets perdus ne doivent pas dépassés un certain seuil au niveau de ce nœud intermédiaire, ainsi que le temps entre l’envoi de deux messages successifs. Un objet interagit pour implémenter un comportement. On peut décrire cette interaction de deux manières complémentaires : l’une est centrée sur des objets individuels (diagramme d’états-transitions) et l’autre sur une collection d’objets qui coopèrent (diagrammes d’interaction).

5.5.5 Diagramme d’interaction

Un diagramme d’interaction permet d’offrir une vue plus holistique du comportement d’un jeu d’objets. Ce qui permet d’établir un lien entre les diagrammes de cas d’utilisation et les diagrammes de classes : ils montrent comment des objets (i.e. des instances de classes) communiquent pour réaliser une certaine fonctionnalité. Ils apportent ainsi un aspect dynamique à la modélisation du système. Pour produire un diagramme d’interaction, il faut focaliser son attention sur un sous-ensemble d’éléments du système et étudier leur façon d’interagir pour décrire un comportement particulier. UML 2 propose deux diagrammes pour illustrer une interaction [245].

Diagramme de communication

Le diagramme de communication est un diagramme d’interaction mettant l’accent sur l’organisation structurelle des objets qui envoient et reçoivent des messages. Dans la norme UML 1, le diagramme de communication s’appelait diagramme de collaboration [244].


116

Diagramme de communication de la création de la liste des voisins

Figure 5.12-Diagramme de communication de la création de la liste des voisins.

Nous avons validé les associations du diagramme de classe en les utilisant comme support de transmission des messages. Lors du déploiement des nœuds, chaque nœud commence à envoyer des messages hello en essayant de connaitre ces voisins qui sont dans le même rayon de connectivité.

Diagramme de communication de la création de la liste noire

Figure 5.13-Diagramme de communication de la création de la liste noire.

Après la création de la liste des voisins, les nœuds commencent à échanger des messages, en générant un flux, ce flux concerne le trafic des messages circulant dans le réseau, ce trafic


117

nous permette d’extraire un ensemble de règles d’associations qui représentent le comportement normal des nœuds capteurs, ces règles sont par la suite appliquées sur le trafic courant du réseau pour la détection des nœuds à mauvais comportement. En cas de déviation du comportement d’un nœud, un compteur d’anomalie associé au capteur en question s’incrémente et lorsqu’il dépasse un certain seuil le capteur sera automatiquement ajouté à la liste noire.

Diagramme de séquence

Les principales informations contenues dans un diagramme de séquence sont les messages échangés entre les lignes de vie présentés dans un ordre chronologique. Ainsi, contrairement au diagramme de communication, le temps y est représenté explicitement par une dimension (la dimension verticale) et s’écoule de haut en bas.

Diagramme de séquence d’envoi des messages hello

Figure 5.14-Diagramme de séquence d’envoi des messages hello.

Nous avons dans ce diagramme mis l’accent sur la chronologie d’envoi des messages, comme nous l’avons déjà vu, quand un capteur reçoit un message hello, il vérifié s’il est dans le même rayon de connectivité que le capteur émetteur, cette opération peut être présentée en UML 2, en utilisant l’opérateur d’assertion Assert, qui rend indispensable l’envoi du message vérifier le rayon de connectivité. Il en est de même pour le temps de la réponse hello qui ne doit pas dépassé un certain seuil.


118

Diagramme de séquence d’envoi de messages de données

Figure 5.15-Diagramme de séquense d’envoi des messages de données.

Dans ce 2ème diagramme, nous avons modélisé l’envoi des messages de données. Quand un capteur reçoit un message de données, il doit vérifier si ce message lui est destiné ou il doit le renvoyer, l’opérateur Alt permet d’assurer une telle opération.

5.6 Résultats et discussions Dans cette section, nous présentons le modèle de simulation et les résultats de notre travail. 5.6.1 Modèle de simulation Nous avons développé un simulateur de réseau de capteurs sans fil pour créer un environnement pour évaluer notre travail. C'est un simulateur à événements discrets écrit en C ++. Un générateur de réseau a été construit, pour générer un réseau constitué de nœuds normaux plus des nœuds malveillants. Un réseau de 10 nœuds ont été produits et utilisées comme entrée pour le simulateur. La simulation de scénario se compose de deux étapes: la première est pour l'extraction de règles d'association à partir du trafic initial du réseau, la seconde est d'utiliser ces règles pour détecter les nœuds anormaux qui présentent des mauvais comportements dans le réseau. 5.6.2 Architecture du système Nous avons mis en application un logiciel qui se base sur une surveillance centralisée pour détecter les anomalies dans un RCSF. Il se compose de plusieurs modules et une base de données contenant le trafic initial du réseau utilisé pour l'extraction des règles d'association du comportement normal des capteurs. Une autre base de données contenant le trafic courant sert à analyser l'état du comportement courant des capteurs, une base de règles contenant des règles d'association; un autre module pour extraire les règles d'association; un module qui


119

exploite ces règles d'association sur la base du trafic courant pour la détection des anomalies, une liste des capteurs anormaux. Le schéma suivant résume les différents modules :

Figure 5.16-L’organigramme du système.

5.6.3 Tests et résultats de simulation Afin de montrer les résultats de simulation de notre approche sur la sécurité des réseaux de capteurs, nous exposons, dans cette section, les résultats de tests sous forme de graphes et leurs interprétations :

Figure 5.17- Contribution de chaque règle dans la détection des nœuds malicieux.

Le graphe ci-dessus présente une vision compréhensible sur l’état de chaque nœuds, par exemple : nous remarquons que les nœuds C2, C4 et C8 ne respectent pas la première règle alors que C2 et C8 ont été détectés par la quatrième règle ce qui confirme leur comportement malicieux. Afin de montrer la succession des attaques, les graphes de la figure 5.18 présentent le temps de commencement de chaque anomalie. Par exemple : les nœuds C2, C4 et C8 ne répondent pas aux messages hello et sont sujet à d’autres anomalies. En même temps nous remarquons que les nœuds C6 et C10 ont sujet avec l’attaque abandon de paquets (packet dropping)


120

destinés aux autres nœuds ce qui explique leurs comportement anormal mais pas forcement malveillant qui peut être dû au débordement de tampon ou simplement à la congestion.

Figure 5.18-Temps de commencement des anomalies pour chaque règle

Figure 5.19-Taux des messages perdus (packets dropped) par les nœuds C1, C6 et C10.

Le graphe ci-dessus illustre le taux des messages perdus par les nœuds détectés par la troisième règle. Le graphe suivant présente les nœuds qui ne respectent pas la quatrième règles qui a pour but de détécter les messages directs et successives allant de la même source à la même destination. Dans notre cas nous avons remarqué que le nœud C2 a envoyé un essemble de messages de type fabriqué dans un temps minimum au nœud C7 à travers lequel circule plus de trafic en essayant de lui assécher l’énergie.


121

Figure 5.20-Taux des messages directs et successives.

5.7 Conclusion Ce chapitre fournit une solution pour découvrir les nœuds malicieux dans un réseau de capteurs sans fil en utilisant les règles d’association basées sur le trafic obtenus des nœuds. Du point de vue des règles d’association, nous avons présenté la technique d’extraction des motifs d’attributs fréquents et la génération des règles d’association pour des données tabulaires. Nous avons constaté tout au long de cette étude que la recherche des motifs fréquents présente un challenge surtout dans les domaines complexes fournissant des données relationnelles. Dans notre cas, nous avons extrait un ensemble de règles du trafic initial du réseau ce qui fait référence au fonctionnement normal des capteurs, cette heuristique nous a permis de détecter à postériori, n’importe quel changement de fonctionnement des nœuds en surveillant le trafic courant du réseau. Du point de vue application, nous avons mis en place des algorithmes exploitant les règles d’association extraites du trafic normal pour les appliquer sur le trafic courant du réseau afin de découvrir les nœuds présentant un écart du comportement normal, et ce en provoquant par simulation cet écart. Ainsi nous avons réalisé un système décisionnel de détection d’anomalies pour les réseaux de capteurs sans fil qui offre une vue claire et lisible sur l’état de chaque capteur. Enfin si cette technique a été appliquée pour la détection des nœuds malicieux, elle pourrait être adaptée pour la détection des défauts de fonctionnement des nœuds qui ne sont pas un sujet d’une attaque, mais plutôt physiquement défaillants. Les outils vus au chapitre un concernant l’analyse structurelle pour la surveillance des processus peuvent constituer des perspectives intéressantes.

Conclusions et Perspectives

122

Conclusion et Perspectives Conclusion générale Les réseaux de capteurs sans fil ont connu au cours de ces dernières années un formidable essor aussi bien dans l’industrie que dans le milieu universitaire. Cela est principalement attribuable à l’ampleur sans précédent des possibilités qu’offre cette technologie. Toutefois, les réseaux de capteurs sans fil doivent aussi faire face à d’importants défis de conception en raison de leurs capacités de calcul et de stockage limitées, la communication sans fil, leur dépendance à l’égard d’une énergie limitée fournie par une batterie et surtout leur déploiement dans des zones hostiles sans surveillance physique. Toutes ces contraintes matérielles et environnementales rendent les RCSFs vulnérables à un grand nombre de type d’attaque réseau. La sécurité des RCSFs et de grande importance surtout pour les applications critiques nécessitant un niveau très élevé de sécurité. Le domaine de la recherche pour la sécurité des RCSFs est très actif, mais chaque contribution n’apporte qu’une partie de la solution et les attaques deviennent de plus en plus complexes, ce qui motive les chercheurs à donner toujours plus dans ce domaine. La problématique de la sécurité des RCSFs restera une préoccupation permanente des chercheurs dans le domaine des RCSFs. Les solutions de sécurité basées sur la surveillance locale et globale proposées jusqu’à ce jour (y compris celles développées dans cette thèse) contribuent certes à apporter quelques éléments de réponse pour faire face à cette problématique, mais elles resteront limitées à certaines catégories d’attaques et de mauvais comportements induits par des nœuds capteurs malicieux. Le présent travail, après avoir étudié différents types d’attaques, s’est également intéressé à des stratégies de surveillance adaptées pour la détection des mauvais comportements dans un RCSF. Nous avons ainsi classifié différents schémas d’attaques contre les RCSFs ainsi que les mauvais comportements des nœuds par la mise en place d’un cahier de charge de sécurité qui a été respecté de manière plus ou moins satisfaisante. De cette étude, résulte nos contributions consistant tout d’abord en une proposition d’une première solution (inspirée des techniques d’analyse structurelle de surveillance) qui consiste à surveiller un RCSF par une approche distribuée de détection et d’isolation des nœuds malicieux. Nous avons proposé une stratégie qui consiste à organiser le réseau en clusters et ce pour ne pas gêner le trafic dans le réseau (problème local), et de faciliter le routage des alertes et les informations urgentes de sécurité qui nécessitent des voies de communication les moins encombrées et les plus rapides. Cette stratégie permet surtout d’assurer le bon fonctionnement de la politique de sécurité dans le cas où le réseau passe à l’échelle en limitant les données à stocker: les nœuds ont des informations complètes sur leur groupe seulement. Parmi les points forts de notre système de clustering, c’est qu’il est autonome et s’exécute de manière automatique à la demande des nœuds capteurs. L’élection des chefs de clusters sur différents critères : plus fort degré de connectivité, plus faible mobilité, un bon niveau de comportement et d’énergie, une somme pondérée de plusieurs paramètres, etc. Ceux sont des mécanismes d’obtention de chefs des clusters plus robustes assurant ainsi une surveillance stable et durable.


123

Dans la deuxième solution nous avons aussi proposé une nouvelle stratégie qui vise à surveiller et analyser le trafic d’information circulant dans le réseau et cela pour une extraction des règles d’association qui représentent le profil de comportement normal des nœuds capteurs, puis les appliquer par la suite pour la détection et l’élimination des nœuds à comportement anormaux dont on a constaté une déviation de la normale. Le point fort de cette stratégie (toujours inspirée de l’analyse structurelle) repose sur le système de détection par « apprentissage » qui génère de nouvelles règles à même de détecter de nouveaux comportements. Nos solutions montrent à travers les résultats d’évaluation qu’elles peuvent fournir plus de sécurité avec moins d’exigences que d’autres solutions proposées jusque-là. Enfin, nous constatons que l’approche de surveillance distribuée, basé sur des règles fixes pour la détection des anomalies d’un un RCSF se révèle efficace pour détecter les mauvais comportements déjà connus, mais ne suffit pas pour détecter de nouvelles formes d’anomalies. Ce n’est pas le cas de la deuxième solution : l’extraction des règles d’association du trafic réseau et leur utilisation dans la détection des anomalies dans un RCSF sont efficace pour la détection de nouvelles formes d’anomalies puisque les règles de détection sont générées de manière automatique. Cependant l’aspect centralisé de l’approche, pose d’autres problèmes tel que l’encombrement du réseau, les problèmes de latence, le réseau passe à l’échelle, …etc. Une nouvelle approche plutôt hybride des deux approches nous semble une solution très intéressante pour garantir une sécurité réseau infaillible, quel que soit la taille du réseau et les types de mauvais comportements des nœuds capteurs. Perspectives La recherche dans ce domaine doit, à notre avis, s’orienter vers plus de distributivité des algorithmes assurant la sécurité des nœuds capteurs, avec plus de dynamisation des règles utilisées dans la détection des nœuds malicieux. Actuellement, nous sommes en train d’investiguer d’autres moyens pour améliorer d’avantage la distributivité de nos algorithmes de détection d’anomalies, par l’utilisation de techniques bio-inspirés, en imitant le comportement de certain agrainais social pour la détection des mauvais comportement dans un RCSF. Les travaux que nous avons effectué dans cette thèse nous ouvrent de nombreuses perspectives de recherche. Nous structurons nos réflexions comme suit :

- Donner plus d’importance au protocoles de routage , par l’évaluation de nos algorithmes grâce à des simulateurs standards tel : NS2, Omnet++, Opnet … ou bien par l’expérimentation de nos algorithmes directement dans des capteurs réels. En effet, cela nous permettra de déceler et de comprendre au mieux les aléas du support afin d'en tenir compte dans les modèles de détection.

- Intervention d’autres métriques, tel que les taux des faux positif et faux négatif, la corrélation des alertes au niveau de la station de base, etc. des algorithmes plus formels pour l’extraction des règles d’associations. Il est donc nécessaire de prendre en compte différents éléments avant d’intégrer une technique de sécurisation de données dans un RCSF.


124

- Le contrôle de la topologie du réseau peut aussi aider à mieux protéger le réseau contre les menaces de sécurité de plus en plus nombreuses dans un RCSF. Dans notre troisième contribution intitulée ’’Monitoring connectivity in wireless sensor networks’’ , qui n’est pas décrite dans cette thèse. Cette contribution vise à détecter au préalable les nœuds capteurs qui peuvent déconnecter le réseau. Ces nœuds sont appelés points d’articulations dans un graphe de connectivité. Ces nœuds critiques représentent les maillons faibles du réseau et toute attaque sur ces nœuds peut causer la déconnection du réseau. Dans nos futurs travaux, une auto-organisation du réseau peut garantir une connexité et une tolérance aux fautes dans le réseau, même en présence de nœuds malveillants.

Bibliographie

125

Bibliographie

[1] J. M. Kahn, R. H. Katz, K. S. J. Pister, “Next century challenges: Mobile networking for smart dust”. Proc. of the 5th annual ACM/IEEE Int. Conf. on Mobile Computing and Networking (MobiCom 99), Seattle, WA, pp. 271, 278, August 1999.

[2] Kechar Bouabdellah , “Problématique de la consommation d’énergie dans les réseaux de

capteurs sans fil ”, thèse de doctorat, Université d’Oran, 2010. [3] Kashif Kifayat, “Group-based Secure Communication for Wireless Sensor Networks”,

Phd Thesis, School of computing and mathematical sciences Liverpool John Moores University, September 2008.

[4] K. Kifayat, M. Merabti, Q. Shi, and D. Llewellyn-Jones. “The Performance of Dynamic

Group-Based Key Establishment (DGKE) under Node Capture Attacks in Wireless Sensor Networks”. in 2nd Conference on Advances in Computer Security and Forensics (ACSF) 2007. Liverpool, UK, pp. 12-13 July 2007.

[5] D. Braginsky and D. Estrin, “Rumor Routing Algorithm for Sensor Networks”, 1st

Workshop. Sensor Networks and Apps., Atlanta, GA (2002). [6] L.Hu and D. Evans, “Secure aggregation for wireless networks”, Workshop on Security

and Assurance in Ad Hoc Networks, January 2003. [7] Sergio Marti, T. J. Giuli, Kevin Lai, and Mary Baker. “Mitigating routing misbehavior in

mobile ad hoc networks”, In MobiCom ’00 : Proceedings of the 6th annual international conference on Mobile computing and networking, pages 255–265, New York, NY, USA, 2000. ACM Press.

[8] P. Michiardi and R. Molva, “Core: a collaborative reputation mechanism to enforce node

cooperation in mobile ad hoc networks,” Communication and Multimedia Security Conference (CMS'02), September 2002.

[9] Séverine Sentilles, “ Architecture logicielle pour capteurs sans-fil en réseau ”, Master TI

2e année, Mälardalen University, Sweden, Janvier-Juin 2006. [10] Ian F. Akyildiz, Weilian Su, Yogesh Sankarasubramaniam, and Eredal Cayirci,

“Wireless sensor networks : a survey”, Computer Networks, 38(4) :393–422, 2002. 5, 6, 7, 20

[11] David Culler, Deborah Estrin, and Mani Srivastava, “ introduction : Overview of sensor

networks”, Computer, 37(8) :41–49, August 2004. 5, 6 [12] Benahmed Khélifa, “Approche Théorie des Graphes pour la Surveillance d’un Réseau

de Capteurs sans fil ”, Magister en Informatique, Option : Méthodes et Modèles pour la

Bibliographie

126

sécurité des S.I, Université d’Oran Es-senia, Faculté des Sciences, Département d’informatique, Février 2007.

[13] Hung-Cuong LE, “ Optimisation d’accès au médium et stockage de données distribuées

dans les réseaux de capteurs ”, thèse de doctorat, Université de Franche-Comté, 2009. [14] LAN-MAN Standards Committee of the IEEE Computer Society– 802.15.4 IEEE

Standard for Information technology, Part 15.4 : Wireless Medium Access Control (MAC) and Physical Layer (PHY) Specifications for Low-Rate Wireless Personal Area Networks (LR-WPANs) –IEEEStd 802.15.4-2003 (2003)

[15] Zhao, Q. et L. Tong. “Distributed opportunistic transmission for wireless sensor

networks. ”, Proceedings of the international conference on acoustics, speech and signal processing. New York: IEEE magazine, 2004. 833-836.

[16] M. Yasser ROMDHANE, “ Evaluation des performances des protocoles S-MAC et

Directed Diffusion dans les réseaux de capteurs ”, Rapport De Projet De Fin d’Etudes, Ecole supérieur de communication de Tunis, 2006/2007.

[17] Ian F. Akyildiz, Weilian Su, Yogesh Sankarasubramaniam, and Erdal Cayirci. “A

Survey on Sensor Networks. ” , Georgia Institute of Technology. Pages 102-114, IEEE Communications Magazine. August 2002.

[18] Challal, Y., “Réseaux de capteurs sans fils.” , Cours magistère sur les systems

intelligents du transport, UTC, 2008. [19] C.Y. Chong and S.P. Kumar. “ Sensor Networks : Evolution, Opportunities, and

Challenges. ” , In Proceedings of the IEEE, vol.91, no.8, pp. 1247-1256, 2003. [20] T.B. Gosnell, J.M. Hall, C.L. Ham, D.A. Knapp, Z.M. Koenig, S.J. Luke, B.A. Pohl, A.

Schach von Wittenau, and J.K. Wolford. Gamma-Ray “Identification of Nuclear Weapon Materials.”, Technical Report DE97053424. Lawrence Livermore National Lab., Livermore, CA (USA). February 1997.

[21] M. J. Brown. “Users Guide Developed for the JBREWS Project. ”, Technical Report

LA-UR- 99-4676. Los Alamos National Laboratory of California University. 1999. [22] Guillermo Barrenetxea, Francois Ingelrest, Yue M. Lu, and Martin Vetterli. “Assessing

the challenges of environmental signal processing through the sensor scope project. ”, In Proceedings of the IEEE International Conference on Acoustics, Speech, and Signal Processing, ICASSP 2008, March 30 - April 4, 2008, Caesars Palace, Las Vegas, Nevada, USA, pages 5149{5152. IEEE, 2008.

[23] Guillermo Barrenetxea, Fran_cois Ingelrest, Gunnar Schaefer, Martin Vetterli, Olivier

Couach, and Marc Parlange. “Sensor scope : Out-of-the-box environmental monitoring. ”, In Proceedings of the 7th International Conference on Information Processing in Sensor Networks, IPSN 2008, St. Louis, Missouri, USA, April 22-24, 2008, pages 332{343. IEEE Computer Society, 2008.

Bibliographie

127

[24] François Ingelrest, Guillermo Barrenetxea, Gunnar Schaefer, Martin Vetterli, Olivier Couach, and Marc Parlange. “Sensor scope : Application-specific sensor network for environmental monitoring. ”, ACM Transactions On Sensor Networking, 6(2) :1{32, 2010.

[25] P. Johnson and D.C Andrews. “Remote continuous monitoring in the home. ”, Journal

of Telemedicine and Telecare, vol.2, no.2, pp.107-113, June 1996. [26] E.M. Petriu, N.D. Georganas, D.C. Petriu, D. Makrakis, and V.Z. Groza. “Sensor-based

information appliances. ”, IEEE Instrumentation Measurement Magazine, vol.3, no.4, pp.31-35, December 2000.

[27] Vassileios Tsetsos, George Alyfantis, Tilemahos Hasiotis, Odysseas Sekkas, and Stathes

Hadjiefthymiades. “Commercial wireless sensor networks : Technical and business issues. ”, In 2nd International Conference on Wireless on Demand Network Systems and Service (WONS 2005), 19-21 January 2005, St. Moritz, Switzerland, pages 166{173. IEEE Computer Society, 2005.

[28] Jean-Philippe Fassino. “THINK: vers une architecture de systèmes flexibles. ”,

laboratoire Architecture des Systèmes Répartis de la Direction des Techniques Logicielles de France Télécom Recherche & Développement 2001.

[29] Shashank Mehrotra. “Distributed Algorithms for Tasking Large Sensor Networks. ”,

Thesis submitted to the Faculty of the Virginia Polytechnic Institute and State University. 2001.

[30] P. Sadegh and J. Spall. “Optimal sensor configuration for complex systems with

application to signal detection in structures. ”, Instrumentation and Measurement Technology Conference, 2000. IMTC2000. Proceedings of the 17th IEEE, vol. 1, Pages. 330–334, 2000.

[31] B. Yamauchi, A. Schultz, W. Adams. “Mobile robot exploration and mapbuilding with

continuous localization. ”, In: In Proceedings of the 1998 IEEE/RSJ International Conference on Robotics and Automation. Volume 4. 1998.

[32] I. Howitt and H. Seung-Yong. “Base station location optimization. ”, IEEE VTS 50th

Vehicular Technology Conference. VTC 1999, vol. 4, pages: 2067– 2071.1999. [33] Edgar H. Callaway. Wireless Sensor Networks: Architectures and Protocols. CRC Press

2004. [34] A. Savvides, C-C Han, aind M. Srivastava. “Dynamic fine-grained localization in Ad-

Hoc networks of sensors. ”, Proceedings of the Seventh ACM Annual International Conference on Mobile Computing and Networking (MobiCom), Pages: 166-179. July 2001.

Bibliographie

128

[35] C. Intanagonwiwat, D. Estrin, and R. Govindan. “Impact of network density on data aggregation in wireless sensor networks. ”, Technical report 01-750, University of Southern California, November 2001.

[36] Edgar H. Callaway. “Wireless Sensor Networks: Architectures and Protocols. ”, CRC

Press 2004. [37] Mokhtar Aboelaze, Fadi Aloul. “Current and Future Trends in Sensor Networks: A

Survey. ”, IEEE 2005. [38] Haowen Chan, Mark Luk, and Adrian Perrig. “Using Clustering Information for Sensor

Network Localization. ”, Carnegie Mellon University. 2004. [39] Soheil Ghiasi, Ankur Srivastava, Xiaojian Yang, and Majid Sarrafzadeh. “Optimal

Energy Aware Clustering in Sensor Networks. ”, Computer Science Department, University of California at Los Angeles. July 2002.

[40] Junpei Kamimura, Naoki Wakamiya and Masayuki Murata. “Energy-Efficient

Clustering Method for Data Gathering in Sensor Networks.”, Osaka University, Japan.2004.

[41] S. Selvakennedy, S. Sinnappan and Yi Shang. “Data Dissemination Based on Ant

Swarms for Wireless Sensor Networks. ”, IEEE 2006. [42] F.Bouhafs, M. Merabti, and H. Mokhtar. “A Semantic Clustering Routing Protocol for

Wireless Sensor Networks. ”, Computing and Mathematical Sciences School, Liverpool John Moores University.Liverpool, UK. IEEE 2006.

[43] A. Perrig, R. Szewczyk, V. Wen, D. E. Culler et D. Tygar. “SPINS: security protocols

for sensor networks. ”, in Mobile Computing and Networking p. 189–199, 2001. [44] Naveen Sastry, Chris Karlof, David Wagner. “TinySec: A Link Layer Security

Architecture for Wireless Sensor Networks. ”, SenSys’04,, Baltimore, Maryland, USA.2004.

[45] K. Jamshaid et L. Schwiebert. “SEKEN: secure and efficient key exchange for sensor

networks. ”, To appear in the 23rd IEEE International. Performance Computing and Communications Conference (IPCCC), Avril 2004.

[46] J.-C. Laprie, J.Arlat, J.-P. Blanquart, A. Costes, Y. Crouzet, Y. Deswarte, J.-C. Fabre, H.

Guillermain, M. Kaâniche, K. Kanoun, C. Mazet, D. Powell, C. Rabéjac et P. Thévenod, “Guide de la sûreté de fonctionnement ”, 324 pp., Editions Cépaduès, Toulouse 1995.

[47] Anas Abou El Kalam, “ modèles et politiques de sécurité pour les domaines de la santé

et des affaires sociales ”, thèse de doctorat, Institut National Polytechnique de Toulouse, décembre 2003.

Bibliographie

129

[48] C. Bidan. “Sécurité des systèmes distribués : apport des architectures logicielles. ”,Thèse de doctorat, Université de Rennes I, mai 1998.

[49] A. Ould Kara, “ Sécurité des systèmes d’information ”, Cours, Institut National de

formation en Informatique (I.N.I), Algérie, Mai 1999. [50] D. Djenouri et al. “A survey of security issues in mobile ad hoc and sensor networks”,

IEEE Communications Surveys and Tutorials Journal, Page(s): 2-29, 2005. [51] John Paul Walters, Zhengqiang Liang, Weisong Shi, and Vipin Chaudhary, “Wireless Sensor Network Security: A Survey”, Department of Computer Science Wayne State University, USA, 2006. [52] Martins D., Guyennet, H. , “ Wireless Sensor Network Attacks and Security Mechanisms

: A Short Survey.” 13th International Conference on Network Based Information Systems, 2010.

[53] G. Padmavathi, D. Shanmugapriya, “A Survey of Attacks, Security Mechanisms and

Challenges in Wireless Sensor Networks ”, International Journal of Computer Science and Information Security, Vol. 4, No. 1 & 2, 2009.

[54] Tanya Roosta, Shiuhpyng Winston Shieh, S. Shankar Sastry. “Taxonomy of Security

Attacks in Sensor Networks and Countermeasures ”, The First IEEE International Conference on System Integration and Reliability Improvements, December, 2006.

[55] I. F. Akyildiz, W. Su, Y. Sankarasubramaniam, and E. Cayirci. “A survey on sensor

networks.”, IEEE Communications Magazine, 40(8):102–114, August 2002. [56] J. A. Stankovic et al. , “Real-time communication and coordination in embedded sensor

networks.”, Proceedings of the IEEE, 91(7):1002–1022, July 2003. [57] Hatem Bettahar, Yacine Challal, “Introduction à la sécurité informatique ”, Supports de

cours, Systèmes Intelligents pour le Transport, Université de Technologie de Compiègne, France, 15 Octobre 2008.

[58] S. Ganeriwal, S. Capkun, C.-C. Han, and M. B. Srivastava. , “Secure time

synchronization service for sensor networks.”, In WiSe ’05: Proceedings of the 4th ACM workshop on Wireless security, pages 97–106, New York, NY, USA, 2005. ACM Press.

[59] Tahir Naeem, Kok-Keong Loo, “Common Security Issues and Challenges in Wireless

Sensor Networks and IEEE 802.11 Wireless Mesh Networks”, International Journal of Digital Content Technology and its Applications, Page 89-90 Volume 3, Number 1, year 2009

[60] Yee Wei Law “Key management and link-layer security of wireless sensor networks:

energy-efficient attack and defense” , these de doctorat Université de Twente (Pays-Bas) , 2005.

Bibliographie

130

[61] T.Kavitha, D.Sridharan, “Security Vulnerabilities In Wireless Sensor Networks: A Survey”, Journal of Information Assurance and Security 5 (2010) 031-044

[62] Song Han, Elizabeth Chang, Li Gao and Tharam Dillon, “Taxonomy of Attacks on

Wireless Sensor Networks”, Proceedings of the First European Conference on Computer Network Defence School of Computing, University of Glamorgan, Wales, UK, 2005.

[63] E. Z. Ang, “Node Misbehaviour in Mobile Ad Hoc Networks”, National University of

Singapore, 2004. [64] Khelifa Benahmed, “La sécurité dans les réseaux de capteurs sans fil”, Ecole

Informatique de Printemps’2006, Sécurité Informatique : Tendances et Applications INI, 17-19 Juin 2006.

[65] W. R. Cheswick and S. M. Bellovin. “Firewalls and Internet Security Repelling the Wily

Hacker. ”, Addison-Wesley, 1994. [66] Frederick B. Cohen. “Information system attacks : A Preliminary Classification Scheme.

Computers and Security”, 16, No.1 :29–46, 1997. [67] David Icove, Karl Seger, and William VonStorch. “Computer Crime : A Crime fighter’s

Handbook ”, Inc., Sebastopol, CA, 1995. [68] N.D. Jayaram and P.L.R. Morse. “Network security a taxonomic view ”, European

Conference on Security and Detection. School of Computer Science, University of Westmister, UK, IEE, Conference Publication, 437, 28-30 April 1997.

[69] T. Perry and P. Wallich. “Can computer crime be stopped ? ”, IEEE Spectrum, 5(21),

May 1984. [70] William Stallings. “Network and internet work security : principles and practice. ”,

Prentice- Hall, Inc, Upper Saddle River, NJ, USA, 1995. [71] Frederick B. Cohen. “Protection and Security on the Information Superhighway. ”, John

Wiley & Sons, Inc., New York, NY, USA, 1995. [72] Deborah Russell and Sr. G. T. Gangemi. “Computer security basics. ”, O’Reilly &

Associates, Inc., Sebastopol, CA, USA, 1991. [73] Peter G Neumann and Donn B Parker. “A summary of computer misuse techniques. ”,

In Proceedings of the 12th National Computer Security Conference, pages 396–407, Baltimore, Maryland, October 1989.

[74] Peter G. Neumann. “Computer-Related Risks. ”, Addison-Wesley, October 1994.

Bibliographie

131

[75] Ulf Lindqvist and Erland Jonsson. “How to systematically classify computer security intrusions. ”, In proceeding of the IEEE Symposium on Security and Privacy, pages 154– 163, 1997.

[76] S. Kumar. “Classification and detection of computer intrusions”, PhD thesis, Purdue

University, 1995. [77] John D. Howard. “An Analysis of Security Incidents on the Internet ”, PhD thesis,

Carnegie Mellon University, Pittsburgh, Pennsylvania 15213 USA, April 1997. [78] J. Howard and T. Longstaff. “A common language for computer security incidents ”,

Sand98- 8667, Sandia International Laboratories, 1998. [79] Daniel Weber. “A taxonomy of computer intrusions”, PhD thesis, Department of

Electrical Engineering and Computer Science, Massachusetts Institute of Technology, June 1998.

[80] Richard Lippmann, Joshua W. Haines, David J. Fried, Jonathan Korba, and Kumar Das.

“Analysis and results of the 1999 darpa off-line intrusion detection evaluation. ”, In RAID ’00 : Proceedings of the Third International Workshop on Recent Advances in Intrusion Detection, pages 162–182, London, UK, 2000. Springer-Verlag.

[81] Kevin S. Killourhy, Roy A. Maxion, and Kymie M. C. Tan. “A defense-centric

taxonomy based on attack manifestations. ”, In DSN ’04 : Proceedings of the 2004 International Conference on Dependable Systems and Networks, page 102,Washington, DC, USA, 2004. IEEE Computer Society.

[82] A. Chakrabarti and B. Manimaran. “Internet infrastructure security : A taxonomy ”,

IEEE Network, 16(6) :13–21, Nov-Dec 2002. [83] Maria Kjaerland. “A taxonomy and comparison of computer security incidents from the

commercial and government sectors ”, Computers & Security, 25(7) :522–538, 2006. [84] Abdelraouf Ouadjaout, “La Fiabilité de Dissémination dans les Réseaux de Capteurs

Sans Fil ”, thèse de magister, USTHB, 2008 [85] IEEE Std 802.15.4-2996, September, Part 15.4: Wireless Medium Access Control

(MAC) and Physical Layer (PHY) Specifications for Low-Rate Wireless Personal Area Networks (WPANs), 2006, URL http://www.ieee802.org/15.

[86] International Organization for Standardization. Information Processing Systems Open

Systems Interconnection (OSI) | Basic Reference Model. ISO/IEC 7498 (Second Edition), 1994.

[87] M. Saraogi, “Security in wireless sensor networks” , University of Tennessee, 2005. [88] J.P. Mäkelä, “Security in wireless sensor networks”, Oulu University of Applied

Sciences, School of Engineering, Oulu, Finland, 2009.

Bibliographie

132

[89] J. Rehana, “Security of wireless sensor network”, Helsinki University of Technology, Helsinki, Technical Report TKK-CSE-B5, 2009.

[90] I. Chatzigiannakis, ”A Decentralized Intrusion Detection System for Increasing Security

of Wireless Sensor Networks”, University of Patras, Greece, 2007. [91] C. Karlof, D. Wagner, “Secure routing in wireless sensor networks: Attacks and

countermeasures”. In Proceedings of the 1st IEEE International Workshop on Sensor Network Protocols and Applications (Anchorage, AK, May 11, 2003).

[92] Al-Sakib Khan Pathan, Hyung-Woo Lee, Choong Seon Hong, “Security in Wireless

Sensor Networks: Issues and Challenges”, Proceedings of 8th IEEE ICACT 2006, Volume II, February 20-22, Phoenix Park, Korea, 2006, pp. 1043-1048.

[93] J. Deng, R. Han, and S. Mishra. “Counter measures against traffic analysis in wireless

sensor networks”, Tech. Rep. CU-CS-987-04, University of Colorado at Boulder, 2004. [94] Sumit Gupta, “Automatic Detection of DOS Routing Attacks in Wireless Sensor

Networks (SNAIDS – Sensor Network Automated Intrusion Detection System) ”, Master of Science, université de Houston, Décembre 2006.

[95] Xavier Perséguers, “ La sécurité dans les réseaux de capteurs sans fil ”, Projet de Master,

Ecole Polytechnique Fédérale de LAUSANNE, 2005. [96] A. Karygiannis, E. Antonakakis, and A. Apostolopoulos, “Detecting critical nodes for

MANET intrusion detection systems”, in Proc. 2nd International Workshop on Security, Privacy and Trust in Pervasive and Ubiquitous Computing, 2006.

[97] J. Kong, “ Adaptive Security for Multi-layer Ad Hoc Networks, Special Issue of

Wireless Communications and Mobile Computing ”,John Wiley InterScience Press, 2002.

[98] L. Blazevic, L. Buttyan, S. Capkun, S. Giordano, J. Hubaux, and J. Le Boudec, “Self-

organization in mobile ad-hoc networks: the approach of terminodes”, IEEE Communications Magazine, vol. 39, no. 6, pp. 166–174, 2001.

[99] Y. Zhang, and W. Lee, “Intrusion detection in wireless ad-hoc networks,” in Proc. 6th

Annual International Conference on Mobile Computing and Networking, Boston, MA, USA, 2000, pp. 275–283.

[100] N. Komninos, D. Vergados, and C. Douligeris, “Detecting unauthorized and

compromised nodes in mobile ad hoc networks,” Elsevier Ad hoc network, vol. 5, no. 3, pp. 289-298, 2007.

[101] P. Kyasanur, and N. Vaidya, “Detection and handling of MAC layer misbehavior in wireless networks,” Int. Conf. on Dependable Systems and Networks (DSN’03), 200 pp. 173–182.

Bibliographie

133

[102] Y. Hu, A. Perrig, and D. B. Johnson, “Packet leashes: A defense against wormhole attacks in wireless networks,” in Proc. 22th Annual Joint Conference of the IEEE Computer and Communications Societies(INFOCOM’03), Pittsburgh, PA, USA, vol. 3, 2003, pp. 1976-1986.

[104] P. Papadimitratos, Z.J. Haas, and E.G. Sirer, “Path set selection in mobile ad hoc

networks,” in Proc. 3rd ACM International Symposium on Mobile Ad Hoc Networking and Computing, Lausanne, Switzerland, 2002, pp. 1–11.

[105] B. Sun, W. Kui, and U.W. Pooch, “Towards adaptive intrusion detection in mobile ad hoc networks”, in Proc. IEEE Global Telecommunications Conference

(GLOBECOM’04), Beaumont, TX, USA, vol. 6, 2004, pp. 3551–3555. [106] M. K. Rafsanjani, A. Movaghar, “Identifying monitoring nodes in MANET by

detecting unauthorized and malicious nodes”, in Proc. 3rd IEEE Int. Symposium on Information Technology (ITSIM’08), August 2008, pp. 2798-2804.

[107] Y. Xiao, X. Shen, and D.Z. Du, “Wireless/Mobile Network Security”, Springer, 2006.

Ch.7. [108] T. G. LUPU, “Main Types of Attacks in Wireless Sensor Networks”, International

Conference in Recent Advances in Signals and Systems. in 2009, ISSN: 1790-5109, ISBN: 978-960-474-114-4.

[109] K.Q. Yan, S.C. Wang, C.W. Liu, “A Hybrid Intrusion Detection System of Cluster-

based Wireless Sensor Networks”, Proceedings of the International Multi Conference of Engineers and Computer Scientists 2009 Vol I, IMECS 2009, March 18 - 20, 2009, Hong Kong.

[110] Kh. Benahmed , A. Bella, K. Limam, “Anomaly detection in wireless sensor networks

using association rules”, The Mediterranean Journal of Computers and Networks, Vol. 6, No. 4, 2010, ISSN: ISSN: 1744-2397, pp. 126-132.

[111] A. Perrig, “SPINS: security protocols for sensor networks”, In Proc. of ACM

MobiCom, 2001. [112] S. Ganeriwal and M. B. Srivastava, “Reputation-based framework for high integrity

sensor networks”, In Proc. Of ACM SASN, 2004. [113] P. E. Verissimo, N. F. Neves, and M. P. Correia, “Intrusion-tolerant architectures:

Concepts and design. ”, In R. Lemos, C. Gacek, and A. Romanovsky, editors, Architecting Dependable Systems, volume 2677 of Lecture Notes in Computer Science, pages 3–36. Springer-Verlag, 2003.

[114] N. A. Boudriga and M. S. Obaidat, “Fault and intrusion tolerance in wireless ad hoc

networks”, In Proceedings of IEEE wireless communications and networking conference (WCNC), volume 4, pages 2281–2286, Washington, DC, USA, 2005. IEEE Computer Society.

Bibliographie

134

[115] Y. Deswarte and D. Powell, “Internet security: an intrusion-tolerance approach”, Proceedings of the IEEE, 94(2):432–441, 2006.

[116] J. P. G. Sterbenz, R. Krishnan, R. R. Hain, A.W. Jackson, D. Levin, R. Ramanathan,

and J. Zao, “Survivable mobile wireless networks: issues, challenges, and research directions”, In Proceedings of ACM workshop on wireless security (WiSe), pages 31–40, New York, NY, USA, September 2002. ACM Press.

[117] I. Khalil, S. Bagchi, and C. Nina-Rotaru, “DICAS: detection, diagnosis and isolation of

control attacks in sensor networks”, In Proc. of IEEE SecureComm, 2005. [118] I. Khalil, S. Bagchi, and N. Shroff, “LITEWORP: a lightweight countermeasure for the

wormhole attack in multihop wireless networks”, In Proc. of IEEE/IFIP DSN, 2005. [119] Neel Sundaresan, “Online trust and reputation systems”, In EC ’07 : Proceedings of the

8th ACM conference on Electronic commerce, pages 366–367, New York, NY, USA, 2007. ACM.

[120] Audun Jösang, Roslan Ismail, and Colin Boyd, “A survey of trust and reputation

systems for online service provision”, Decis. Support Syst., 43(2) :618–644, 2007. [121] Sini Ruohomaa, Lea Kutvonen, and Eleni Koutrouli, “Reputation management survey”,

In ARES ’07 : Proceedings of the The Second International Conference on Availability, Reliability and Security, pages 103–111,Washington, DC, USA, 2007. IEEE Computer Society.

[122] Pietro Michiardi and Refik Molva, “CORE : a collaborative reputation mechanism to

enforce node cooperation in mobile ad hoc networks”, In Borka Jerman-Blazic and Tomaz Klobucar, editors, Communications and Multimedia Security, volume 228 of IFIP Conference Proceedings, pages 107–121. Kluwer, 2002.

[123] Sonja Buchegger and Jean-Yves Le Boudec, “Performance analysis of the

CONFIDANT protocol”, In MobiHoc ’02 : Proceedings of the 3rd ACM international symposium on Mobile ad hoc networking & computing, pages 226–236, New York, NY, USA, 2002. ACM Press.

[124] S. Bansal and M. Baker, “Observation-based cooperation enforcement in ad hoc

networks”, Research Report cs.NI/0307012, Stanford University,2003. [125] J. Hu, “Cooperation in Mobile Ad Hoc Networks”, Technical report, Computer Science

Department, Florida State University, January 11, 2005. [126] K. Ioannis, T. Dimitriou, and F. C. Freiling, “Towards intrusion detection in wireless

sensor networks”, In Proc. of the 13th European Wireless Conference, 2007. [127] Y. Huang and W. Lee, “A cooperative intrusion detection system for ad hoc networks”,

In Proc. of ACM SASN, 2003.

Bibliographie

135

[128] I. Khalil, S. Bagchi, and N. B. Shroff, “SLAM: sleep-wake aware local monitoring in sensor networks”, In Proc. Of IEEE/IFIP DSN, 2007.

[129] C. Hsin and M. Liu, “Self-monitoring of wireless sensor networks”, Elsevier Computer

Communications, vol. 29, pp.462-476, 2006. [130] K. Ramachandran, E. Belding-Royer, and K. Almeroth, “DAMON : A Distributed

Architecture for Monitoring Multi-hop Mobile Networks”, In Proc. of IEEE International Conference on Sensor and Ad Hoc Communications and Networks (SECON’04), Santa Clara, CA, USA, October 2004.

[131] J. Zhao, R. Govindan, and D. Estrin, “Residual energy scans for monitoring wireless

sensor networks”, In IEEE Wireless Communications and Networking Conference (WCNC), 2002.

[132] Nithya Ramanathan, Kevin Chang, Rahul Kapur, Lewis Girod, Eddie Kohler, Deborah

Estrin, “Sympathy for the Sensor Network Debugger”, In 3rd Embedded networked sensor systems. 2005. San Diego, USA: ACM Press.

[133] Y. an Huang and W. Lee, “A cooperative intrusion detection system for ad hoc

networks”, in Proc of the 1st ACM Workshop on Security of Ad hoc and Sensor Networks, 2003, pp. 135–147.

[135] N. Nasser and Y. Chen, “Enhanced intrusion detection system for discovering

malicious nodes in mobile ad hoc network”, in Proc. IEEE Int. Conf. on Communication (ICC’07), June 2007, pp. 1154-1159.

[136] A. Hasswa, M. Zulker, and H. Hassanein, “Routeguard: an intrusion detection and

response system for mobile ad hoc networks”, Wireless and Mobile Computing, Networking and Communication, vol. 3, August 2005, P336-343.

[138] O. Kachirski and R. Guha, “Effective intrusion detection using multi-ple sensors in

wireless ad hoc networks”, in Proc. 36th Annual Hawaii Int. Conf. on System Sciences (HICSS'03), January 2003, p. 57.1.

[139] Y. Huang, W. Fan, W. Lee, and P. Yu, “Cross-feature analysis for detecting ad-hoc

routing anomalies”, in Proc. 23rd IEEE Int. Conf. on Distributed Computing Systems (ICDCS'03), May 2003, pp. 478-487.

[140] Rafsanjani M k, Movaghar A, Koroupi F.,” Investigating Intrusion Detection Systems

in MANET and Comparing IDS for Detecting Misbehaving Nodes”, in Proceeding of the World Academy of Science, Engineering and Technology. 34,2008 ,pp 351-5.

[141] M.Yu, H. Mokhtar, M. Merabti, ”A Survey on Fault Management in Wireless Sensor

Networks”, School of Computing & Mathematical Science Liverpool John Moores University. UK, 2007.

Bibliographie

136

[142] Chihfan Hsin, Mingyan Liu. ”A Distributed Monitoring Mechanism for Wireless Sensor Networks ”, in 3rd workshopo on Wireless Security. 2002: ACM Press.

[143] Jinran Chen, Shubha Kher, Arun Somani, ”Distributed Fault Detection of Wireless

Sensor Networks”, in DIWANS'06. 2006. Los Angeles, USA: ACM Pres. [144] Anmol Sheth, Carl Hartung, Richard Han, ”A Decentralized Fault Diagnosis System for

Wireless Sensor Networks”, in 2nd Mobile Ad Hoc and Sensor Systems. 2005. Washington, USA.

[147] A. Silva, M. Martins, B. Rocha, A. Loureiro, L. Ruiz, and H. Wong, “Decentralized

intrusion detection in wireless sensor networks”, in Proceedings of the 1st ACM international workshop on Quality of service & security in wireless and mobile networks, pp. 16-23, 2005.

[149] K. Müller, “ IDS - Systèmes de Détection d'Intrusion, Partie II ”, July 2003,

http://www.linuxfocus.org/Francais/July2003/article294.shtml. [150] W. Barth. Nagios, “System and Network Monitoring”, NS Press, U.S. Edition, May

2006. [151] R. Chadha, H. Cheng, Yuu-Heng Chend, and J. Chiang. “Policy-based Mobile Ad-hoc

Network Management”, In Proc. of the 5th IEEE International Workshop on Policies for Distributed Systems and Networks (POLICY’04), New York, USA, June 2004.

[152] M. E. Elhdhili , L. B. Azzouz, F. Kamoun , “CASAN: Clustering algorithm for security

in ad hoc networks”, Computer Communications, Elsevier , 31 (2008), pp. 2972–2980. [153] P. Basu, N. Khan, et T.D.C. Little, “A mobility Based Metric for Clustering in Mobile

and Ad Hoc Networks ”, In Proceedings of International Conference of Distributed Computing Systems Workshop (ICDCSW’01), Phoenix, Arizona, USA, Avril 2001.

[154] LEHSAINI Mohamed , “ Diffusion et couverture basées sur le clustering dans les

réseaux de capteurs : application à la domotique ”, Thèse de Doctorat, Université A.B Tlemcen : Faculté des Sciences pour l’Ingénieur && Université de Franche-Comté :U.F.R Sciences et Techniques, École Doctorale SPIM 2009.

[155] M. Chatterjee, S. K. Das, and D. Turgut, “An On-Demand Weighted Clustering

Algorithm (WCA) for Ad hoc Netwoks”, in Proc. IEEE Globecom’00, 2000, pp. 1697–701.

[156] M. Chatterjee, S. K. Das, et D. Turgut, “WCA : A weighted clustering algorithm for

mobile ad hoc networks”, Journal of Cluster Computing (Special Issue on Mobile Ad hoc Networks), vol.5, Avril 2002.

[157] M. Chatterjee, S. K. Das, et D. Turgut, “ A weight based distributed clustering

algorithm for mobile ad hoc networks ”, In Proceedings of the International Conference on High Performance Computing, IEEE & ACM (sponsors), Bangalore, India,

Decembre 2000.

Bibliographie

137

[158] C.R. Lin et M. Gerla, “ Adaptive clustering for mobile wireless networks ”, IEEE Journal of Selected Areas in Communications, vol.15, no.7, Septembre 1997.

[159] A. Safwat et H. Hassanein, “ Infrastructure-based routing in wireless mobile ad hoc

networks ”, International Journal of Computer Communications, vol.25, 2002. [160] Bouyssou D, A.G. Lockett et G. Islei, “Modelling inaccurate determination, uncertainty,

imprecision using multiple criteria ”, in Improving Decision Making in Organisations, Springer Verlag, Heidelberg, 1989.

[170] B. Kadri, A. M’hamed, M. Feham, “Secured Clustering Algorithm for Mobile Ad Hoc

Networks”, IJCSNS International Journal of Computer Science and Network Security, VOL.7 No.3, March 2007.

[171] M. Gerla, and J. Tsai. “Multicluster, mobile, multimedia radio network”, ACM-Baltzer

Journal of Wireless Networks, Vol.1, No.3, pp. 255-265, 1995. [172] T.J Kwon and M. Gerla, “Efficient flooding with passive clustering in Ad hoc

networks”, ACM SIGCOMM computer Communication Review, Janvier 2002. [173] S. Ghiasi, A. Srivastava, X. Yang and M. Sarrafzadeh, “Optimal Energy Aware

Clustering in Sensor Networks”, Sensors Magazine, 2002. [174] S. Basagni, “Distributed and mobility-adaptive clustering for multimedia support in

multi-hop wireless networks”, Proceeding of IEEE VTS 50th Vehicular Technology Conference. 1999.

[175] A. Siddiqui, R. Prakash, “Effect of availability factor threshold and clustering gap on

performance of clustering mechanisms for multi-cluster mobile Ad hoc networks”, IEEE international Conference on Communications, ICC 2002.

[176] G. Chen, F. Nocetti, J.S. Gonzalez, and T. Stojmenovic, “Connectivity-based K_hop

clustering in wireless networks”, in Proceeding of the 35th Hawaii international Conference on System Sciences (HTCSS-35), Janvier 2002.

[177] A. Amis, R. Prakash, T.Vuong, D. Huong, “Max-Min D-cluster formation in wireless

Ad hoc networks”, in Proceeding of IEEE Infocom, Tel Aviv, Mars 2000. [178] J.P. Ignizio, Goal programming and extensions”, Lexington Books, Lexington, MA,

(1976). [179] J.-C. Pomerol and S. Barba-Romero, “Choix multicritère dans l'entreprise, principe et

pratique”, Hermes, Paris, (1993). [180] B. Roy and D. Bouyssou, “Aide Multicritère a la Décision: Méthodes et Cas”, Edition

Economica (1993).

Bibliographie

138

[181] P. Salminen, J. Hokkanen and R. Lahdelma, “Muticriteria Decision Analysis Project on Environmental Problems ”, Report 5/1996, Department of Mathematics, Laboratory of Scientific Computing, University of Jyväskylä (1996).

[182] R.E. Steuer, “Muticriteria Optimization: Theory, Computation, and Application”,

Wiley, New York, (1986). [183] Ph. Vincke, “L'aide multicritère a la décision”, Editions de l'Université Libre de

Bruxelles (1989). [184] J.P. Brans, B. Mareschal and PH. Vincke, “PROMOTHE: A new family of outranking

methods in multi-criteria analysis”, in Brans J.P. (Ed), Operational Research 84, pp. 477-490, North Holland, (1984).

[185] J.P. Brans, B. Mareschal and PH. Vincke, , “How to select and how to rank projects: the

PROMETHE method ”, European Journal of Operational Research, Vol. 24, pp. 228-238, (1986).

[186] Salem Chakhar, “ Cartographie décisionnelle multicritère : Formalisation et

implémentation informatique”, thèse de doctorat, 7 Août 2006. [187] Renaud Caillet, “ Analyse multicritère : Étude de comparaison des méthodes existantes

en vue d'une application en analyse de cycle de vie ”, série scientifique, Montéréal, Aout 2003.

[188] Chris Karlof and David Wagner, “ Secure routing in wireless sensor networks: Attacks

and countermeasures”, Elsevier's AdHoc Networks Journal, Special Issue on Sensor Network Applications and Protocols , 1(2_3):293_315, September 2003.

[189] D. J. Lubinsky, “Discovery from databases : A review of ai and statistical techniques”,

In Proceedings of IJCAI-89 Workshop on Knowledge Discovery in Databases, p. 204–218, 1989.

[190] G. Piatetsky-Shapiro, “Discovery, analysis, and presentation of strong rules”, In

Knowledge Discovery in Databases, p. 229–248. AAAI/MIT Press, ISBN 0-262-62080-4, 1991.

[191] P. Adriaans et D. Zantinge, “Data mining”, Addison-Wesley, 1997. [192] Frédéric Pennerath, “Méthodes d’extraction de connaissances à partir de données

modélisables par des graphes. Application à des problèmes de synthèse organique ”, thèse de doctorat, Département de formation doctorale en informatique, UFR STMIA, Ecole doctorale IAEM Lorraine, Doctorat de l’université Henri Poincaré – Nancy 1, version1-27 nov 2009.

[193] U. M. Fayyad, G. Piatetsky-Shapiro et P. Smyth, “From data mining to knowledge

discovery : An overview”, In Advances in Knowledge Discovery and Data Mining, p. 1–34. MIT Press, 1996.

Bibliographie

139

[194] D. Hand, H. Mannila et P. Smyth, “Principles of Data Mining”, The MIT Press, Cambridge (MA), 2001.

[195] J. Han, “Data Mining : Concepts and Techniques”, Morgan Kaufmann Publishers Inc.,

San Francisco, CA, USA, ISBN 1558609016, 2005. [196] T. Cover et P. Hart, “Nearest neighbor pattern classification”, Information Theory,

IEEE Transactions on, 13(1):21–27. [197] L. Breiman, J. H. Friedman, R. A. Olshen et C. J. Stone, “Classification and Regression

Trees”, Wadsworth, ISBN 0-534-98053-8, 1984. [198] J. R. Quinlan, “C4.5 : programs for machine learning”, Morgan Kaufmann Publishers

Inc., San Francisco, CA, USA, ISBN 1-55860-238-0, 1993. [199] J. Quinlan, “Induction of Decision Trees ”, in Machine Learning, 1, pp.81-106, 1986. [200] P. Hajek, , I. Havel, , M. Chytil, “The GUHA method of automatic hypotheses

determination”, computing, (1), 293-308, 1966. [201] R. Agrawal, , T. Imielinski, , A. Swami, “Mining association rules between sets of

items in large databases”, in Proceedings of the 1993 ACM SIGMOD international conference on Management of data, Washington, D.C., USA, 207-216, 1993.

[202] Houtsma, M.A.W., Swami, A.N. ”Set-oriented mining for association rules in relational

databases”, In Proceedings of the 11th International Conference on Data Engineering (ICDE’95), pages 25-33, 1995.

[203] J. Han, Y. Cai et N. Cercone, “Knowledge discovery in databases : An attribute-

oriented Approach”, in Proceedings of the 18th Conference on Very Large Databases (VLDB’92), p.547–559, 1992.

[204] U. M. Fayyad, N. Weir et S. G. Djorgovski, “Skicat : A machine learning system for

automated cataloging of large scale sky surveys”, In ICML, p. 112–119, 1993. [205] S. Ben Yahia et E. Mephu Nguifo, “Approches d’extraction de règles d’association

basées sur la correspondance de Galois ”, Centre de Recherche en Informatique de Lens - IUT de Lens Rue de l’Université SP 16, F-62307 Lens cedex, motifs dans les bases de données, pages 23 à 55, 9/2004.

[206] R. Agrawal, H. Mannila, R. Srikant, H. Toivonen et A. I. Verkamo, “Fast discovery of

association rules”, In Advances in Knowledge Discovery and Data Mining, p. 307–328. AAAI/MIT Press, ISBN 0-262-56097-6, 1996.

[207] R. Agrawal et R. Srikant, “Fast algorithms for mining association rules in large

databases”, in Proceedings of the 20th Conference on Very Large Data Bases (VLDB-94), p. 478–499, 1994.

Bibliographie

140

[208] J.-F. Boulicaut, A. Bykowski et C. Rigotti, “Free-sets : A condensed representation of boolean data for the approximation of frequency queries”, Data Min. Knowl. Discov., 7(1):5–22, 2003.

[209] M. J. Zaki, S. Parthasarathy, M. Ogihara et W. Li , “New algorithms for fast discovery

of association rules”, In KDD, p. 283–286, 1997. [210] M. J. Zaki, “Scalable algorithms for association mining”, IEEE T. Knowl. Data. En., 12

(3):372–390, 2000. [211] J. Han, J. Pei, Y. Yin et R. Mao, “Mining frequent patterns without candidate

generation : A frequent-pattern tree approach”. Data Min. Knowl. Discov., 8(1):53–87, 2004.

[212] G. Birkhoff , “Lattice theory”, (first edition). Vol. 25, 1940. [213] M. Barbut et B. Monjardet, “Ordre et classification ”, Algèbre et combinatoire (2

tomes). Hachette, Paris, 1970. [214] B. Ganter et R. Wille , “ Formal Concept Analysis”, Springer, Berlin, 1999. [215] B. Ganter, G. Stumme et R. Wille, eds. , “ Formal Concept Analysis : Foundations and

Applications”, vol. 3626 de Lecture Notes in Computer Science, Springer. ISBN 3-540-27891-5, 2005.

[216] R.Wille, “Restructuring lattice theory : An approach based on hierarchies of concepts”,

Ivan Rival, (Ed.), Ordered Sets, p. 445–470, 1982. [217] R. Wille , “Knowledge acquisition by methods of formal concept analysis”, In E.

Diday, éd. : Proceedings of the Conference on Data Analysis, Learning Symbolic and Numeric Knowledge, Juan-Les-Pins, France, p. 365–380. Nova Science Publisher Inc., New-York, 1989.

[218] N. Pasquier, Y. Bastide, R. Taouil et L. Lakhal , “ Efficient mining of association rules

using closed itemset lattices”, International Journal of Information Systems, 24(1):25–46, 1999b.

[219] N. Pasquier, Y. Bastide, R. Taouil et L. Lakhal, “Discovering frequent closed itemsets

for association rules”. In C. Beeri et P. Buneman, éds : Proceedings of the 7th International Conference on Database Theory (ICDT’99), Jerusalem, Israel, Lecture Notes in Computer Science 1540, p. 398–416. Springer, 1999a.

[220] Y. Bastide, R. Taouil, N. Pasquier, G. Stumme et L. Lakhal, “Mining frequent patterns

with counting inference”, ACM SIGKDD Explorations, 2(2):66–75, 2000b. [221] M. Zaki et C.-J. Hsiao, “Charm : An efficient algorithm for closed itemset mining”. In

R. Grossman, J. Han, V. Kumar, H. Mannila et R. Motwani, ´eds : Second SIAM International Conference on Data Mining, Arlington, 2002.

Bibliographie

141

[222] L. Szathmary, A. Napoli et S. O. Kuznetsov, “Zart : A multifunctional itemset mining algorithm”, In P. W. Eklund, J. Diatta et M. Liquiere, éds : CLA, vol. 331 de CEUR Workshop Proceedings. CEUR-WS.org, 2007.

[223] L. Szathmary, P. Valtchev, A. Napoli et R. Godin, “Constructing iceberg lattices from

frequent closures using generators”, In Boulicaut et al. (2008), p. 136–147. ISBN 978-3-540-88410-1.

[224] Y. Bast ide, N. Pasquier, R. Taouil, G. Stumme et L. Lakhal , “ Mining minimal

nonredundant association rules using frequent closed itemsets”, In J. W. Lloyd, V. Dahl, U. Furbach, M. Kerber, K.-K. Lau, C. Palamidessi, L. M. Pereira, Y. Sagiv et P. J. Stuckey, éds : Computational Logic, vol. 1861 de Lecture Notes in Computer Science, p. 972–986. Springer, ISBN 3-540-67797-6, 2000.

[225] N. Pasquier, R. Taouil, Y. Bastide, G. Stumme et L. Lakhal , “ Generating a condensed

representation for association rules”, J. Intell. Inf. Syst., 24(1):29–60, 2005. [226] L. D. Raedt, T. Guns et S. Nijssen, “ Constraint programming for itemset mining”, In

Y. Li, B. Liu et S. Sarawagi, éds : KDD, p. 204–212. ACM, ISBN 978-1-60558-193-4, 2008.

[227] R. T. Ng, L. V. S. Lakshmanan, J. Han et A. Pang, “Exploratory mining and pruning

optimizations of constrained association rules”. In Haas et Tiwary, p. 13–24. ISBN 0-89791-995-5, 1998.

[228] S. Berasaluce, “Fouille de données et acquisition de connaissances à partir de bases de

données de réactions chimiques”, thèse de chimie informatique et théorique, Université Henri Poincaré Nancy 1, 2002.

[229] G. Polaillon et E. G. Diday , “Symbolic galois lattices of multivariate and interval

tables”, In Proceedings of OSDA’97, Darmstadt.1997, 1997. [230] G. Polaillon, “Organisation et interprétation par les treillis de Galois de données de type

multi-valué, intervalle ou histogramme”, Thèse d’informatique, Université Paris IX (Dauphine), 1998.

[231] M. Boley et al, “Efficient closed pattern mining in strongly accessible set systems

(extended abstract)”, In J. N. Kok, J. Koronacki, R. L. de Màntaras, S. Matwin, D. Mladenic et A. Skowron, éds : PKDD, vol. 4702 de Lecture Notes in Computer Science, p. 382–389. Springer, ISBN 978-3-540-74975-2, 2007.

[232] X. Yan, X. J. Zhou et J. Han , “Mining closed relational graphs with connectivity

constraints”, In R. Grossman, R. J. Bayardo et K. P. Bennett, éds : KDD, p. 324–333. ACM, ISBN 1-59593-135-X, 2005.

[233] M. Huchard et al, “A proposal for combining formal concept analysis and description

logics for mining relational data”, In S. O. Kuznetsov et S. Schmidt, éds : ICFCA, vol. 4390 de Lecture Notes in Computer Science, p. 51–65. Springer, ISBN 3-540-70828-6, 2007.

Bibliographie

142

[234] S. Ferré, O. Ridoux et B. Sigonneau, “Arbitrary relations in formal concept analysis and logical information systems”, In F. Dau, M.-L. Mugnier et G. Stumme, éds : ICCS, vol. 3596 de Lecture Notes in Computer Science, p. 166–180. Springer, ISBN 3-540- 27783-8, 2005.

[235] Xiaolei Li et al. “Local Area Network Anomaly Detection using Association Rules

Mining”, Research Center of Spatial Information and Digital, Engineering, International School of Software, Wuhan, University, Wuhan, China 2009.

[236] Wang Xuren et He Famei, “Improving Intrusion Detection Performance Using Rough

Set Theory and Association Rule Mining”, International Conference on Hybrid Information Technology (ICHIT’06), China, 2006.

[237] Sebastian Luhr, Svetha Venkatesh, Geoff West, “Emergent Intertransaction Association

Rules for Abnormality Detection in Intelligent Environments”, Department of Computing, Curtin University of Technology, Australia, ISSNIP2005.

[238] A. Braud et al. “une démarche fondée sur les treillis de Galois pour l’aide à la

qualification de l’état des milieux aquatiques”, LSIIT UMR III kirch, juin 2006. [239] P. Michiardi, “A collaborative reputation mechanism to enforce node cooperation in

mobile ad hoc networks”, Proc. IFIP 6th Joint Working Conference on Communications and Multimedia Security (CMS.02), Portoro., Slovenia, September 2002, pp. 107-122.

[240] S. Buchegger et al, “Performance Analysis of the CONFIDANT Protocol: Cooperation

of Nodes -Fairness in Dynamic Ad-hoc Networks”, Proc. 13th IEEE/ACM Symp. on Mobile Ad Hoc Networking and Computing (MobiHoc), Lausanne, Switzerland, June 2002.

[241] S. Marti et al.,”Mitigating Routing Misbehavior in Mobile Ad Hoc Networks”, Proc.

6th Annual Intl. Conf. on Mobile Computing and Networking (MobiCom.00), Boston, Massachusetts, pp. 255-265, August 2000.

[242] S. Madhavi et al. “A Reputation Based Intrusion Detection System In Mobile Adhoc

Networks Using Set Based Monitor Election Protocol”, MASAUM Journal of Computing Vol.1 No.1, 2009.

[243] A. Babakhouya et al., “A Simulation Analysis of Routing Misbehaviour in Mobile Ad

hoc Networks”, IEEE computer society, 2008. [244] Laurent Audibert , “ UML2 ”, http://laurent-audibert.developpez.com/, date publication

: 31/10/2006, Date de mise à jour : 01/12/2009, consulté le : 24/04/20010 à 14 :37. [245] Youssef ROUMMIEH Roummierh, “ UML : diagramme d’interaction”, http://

bat710.univlyon1.fr/~yroummie/ens/csi/cours/Diagramme%20d'interactions_1.8.pdf 31/10/2008, consulté le : 24/04/20010 à 23 :37.

Bibliographie

143

[247] Bechar rachid « Théorie de la redondance pour la reconfiguration des systèmes – Application aux réseaux de capteurs sans fil », Université Abdelhamid Ibn Badis de Mostaganem, Faculté des Sciences, Département d’informatique, Magister en Informatique, 2008/2009.

[248] Azzedine Boukerche, “Algorithms and Protocols for Wireless Sensor Networks”, John

Wiley Publishers, 2009, pp. 479-502, ISBN : 978-0471798132. [249] Holger Karl et Andreas Willig, “Protocols and Architectures for Wireless Sensor

Networks”, WileyBlackwell, 29 août 2007, 524 p., ISBN : 978-0470519233 [250] Erdal Çayırcı, Chunming Rong , “Security in Wireless Ad Hoc and Sensor Networks”,

John Wiley Publishers, 2009, 283 p., ISBN 978-0-470-02748-6.

Surveillance Distribuée pour la Sécurité d’un Réseau...

Documents

Transcript of Surveillance Distribuée pour la Sécurité d’un Réseau...