“Formal framework to specify and deploy reaction policies” : un article de Frédéric Cuppens, Nora Cuppens-Boulahia, Wael Kanoun et Aurélien Croissant du département Logique des usages, sciences sociales et sciences de l’information. Cet article a été sélectionné pour constituer un chapitre du livre “Web-based information technologies and distributed systems” publié chez Atlantis Press en juin 2010.

Couverture de l'ouvrage "Web-Based Information Technologies and Distributed Systems" de Alban Gabillon, Quan Z. Sheng et Wathiq Mansoor. Atlantis Press

Couverture de l'ouvrage "Web-Based Information Technologies and Distributed Systems" de Alban Gabillon, Quan Z. Sheng et Wathiq Mansoor. Atlantis Press

Résumé : Les systèmes de détection d’intrusions actuels ne se limitent plus à la génération d’alertes mais sont désormais capables de réagir à certaines attaques. Ces systèmes ne fournissent malheureusement que des techniques de réaction limitées permettant d’agir localement sur l’infrastructure d’un système d’information. Dans ce chapitre, nous avons introduit une nouvelle approche exhaustive et efficace pour réagir aux intrusions.

Cette approche prend en compte non seulement la menace et l’architecture du système sous surveillance, mais également la politique de sécurité qui spécifie formellement les exigences de sécurité à activer lorsqu’une intrusion est détectée. En particulier, certaines exigences correspondent à des obligations qui peuvent être déployées sous forme de contre-mesures. Nous avons proposé un workflow de réaction qui fait le lien entre les mécanismes de détection remontant des informations de bas niveau et les outils de plus haut niveau permettant l’administration de la politique de sécurité. Pour cela nous avons défini une architecture de réaction à trois niveaux : – réaction réflexe reposant sur la détection d’une intrusion élémentaire de bas niveau ;
- réaction tactique activée sur la base d’un diagnostic d’un scénario d’intrusion. Ce diagnostic repose sur la corrélation des alertes de plus bas niveau ;
- réaction stratégique fondée sur une reconfiguration dynamique de la politique de sécurité à déployer. Lorsqu’une intrusion est détectée, ce dernier niveau correspond à l’activation de nouvelles règles de sécurité.

Mots-clés : politique de réaction, détection d’intrusion, corrélation d’alerte

Référence complète : Cuppens Frédéric, Cuppens-Boulahia Nora, Kanoun Wael, Croissant Aurélien. Formal framework to specify and deploy reaction policies. Chapitre dans “Web-based information technologies and distributed systems”. Atlantis Press (Atlantis Ambient and Pervasive Intelligence Series), 2010, pp. 159-188, ISBN 978-9078677284.