Soutenance mémoire
Etat de l’art sur les RCSF
Cette section présente l’état de l’art des réseaux de capteurs, elle consiste a décrire un noeud capteur et ses composants, l’architecture de communication dans les RCSF, leurs caractéristiques, et leur domaines d’application.
Les capteurs sans fil
Un capteur est un petit appareil autonome capable d’effectuer des mesures simples sur son environnement immédiat, comme la température, la vibration, la pression, etc. Chaque capteur assure trois fonctions principales : la collecte, le traitement et la communication de l’information vers un ou plusieurs points de collecte appelés station de base (SB).Il est constitué de quatre unités principales [1] [2] (voir figure1):
Unité de capture (Sensing unit) : elle est composée d’un dispositif de capture physique qui prélève l’information de l’environnement local et un convertisseur analogique/numérique appelé ADC (Analog to Digital Converter) qui va convertir l’information relevée et la transmettre à l’unité de traitement.
Unité de traitement (Processing unit) : est composée de deux interfaces, une interface pour l’unité d’acquisition et une autre pour l’unité de transmission. Cette unité est également composée d’un processeur et d’une mémoire. Elle acquiert les informations en provenance de l’unité d’acquisition et les stocke en mémoire ou les envoie à l’unité de transmission.
Unité de transmission (Transceiver unit) : elle est composée d’un émetteur/récepteur (module radio) pour assurer toutes les émissions et réceptions de données.
Unité d’énergie (Power unit) : elle est responsable de la gestion de l’énergie et de l’alimentation de tous les composants du capteur. Elle consiste, généralement, en une batterie qui est limitée et irremplaçable, ce qui rend l’énergie comme principale contrainte pour un capteur.
Domaines d’application des RCSF
La miniaturisation des micro-capteurs, le coût de plus en plus faible, la large gamme des types de capteurs disponibles (thermique, optique, vibrations, etc.) ainsi que le support de communication sans fil utilisé, permettent l’application des réseaux de capteurs dans plusieurs domaines [2] [5] parmi lesquels :
Domaine militaire
Comme pour de nombreuses autres technologies, le domaine militaire a été le moteur initial pour le développement des réseaux de capteurs. Le déploiement rapide, le coût réduit, l’auto-organisation et la tolérance aux pannes des réseaux de capteurs sont des caractéristiques qui font de ce type de réseaux un outil appréciable dans un tel domaine. Actuellement, les RCSFs peuvent être une partie intégrante dans le commandement, le contrôle, la communication, la surveillance, la reconnaissance, etc.
Domaine médical
Les réseaux de capteurs sont également largement répandus dans le domaine médical. Cette classe inclut des applications comme : fournir une interface d’aide pour les handicapés, collecter des informations physiologiques humaines de meilleure qualité, facilitant ainsi le diagnostic de certaines maladies, surveiller en permanence les malades et les médecins à l’intérieur de l’hôpital.
Domaine architectural
Transformation des bâtiments en environnements intelligents capables de reconnaître des personnes, interpréter leurs actions et y réagir.
Domaine environnemental
Dans ce domaine, les capteurs peuvent êtres exploités pour détecter les catastrophes naturelles (feux de forêts, tremblements de terre, etc.), détecter des émanations de produits toxiques (gaz, produits chimiques, pétrole, etc.) dans des sites industriels tels que les centrales nucléaires ou pétrolières.
Domaine commercial
Parmi les domaines dans lesquels les réseaux de capteurs ont aussi prouvé leur utilité, on trouve le domaine commercial. Dans ce secteur on peut énumérer plusieurs applications comme : la surveillance de l’état du matériel, le contrôle et l’automatisation des processus d’usinage, etc.
Détection d’intrusion dans les RCSF
Les réseaux de capteurs sans fil ont beaucoup d’applications potentielles. Dans beaucoup de scénarios, ces réseaux sont sujets à de nombreuses attaques en raison du déploiement en environnement ouvert et de leurs ressources limitées. Pour faire face à ces attaques des systèmes de protection existent. La détection d’intrusions peut être considérée comme une action complémentaire à la mise en place des mécanismes de sécurité.
Approches de détection d’intrusions
La détection d’intrusion peut être définie comme la détection automatique et la génération d’une alarme pour rapporter qu’une intrusion a eu lieu ou est en cours.
Approche comportementale : le comportement observé du système cible est comparé aux comportements normaux et espérés. Si le comportement du système est significativement différent du comportement normal ou attendu, on dit que le système cible présente des anomalies et fait l’objet d’une intrusion [7]. L’avantage principal de cette approche est de pouvoir détecter de nouvelles attaques. Cependant, elle génère souvent de nombreux faux positifs car une déviation du comportement normal ne correspond pas toujours à l’occurrence d’une attaque.
Approche par scenarios : consiste a modéliser non plus des comportements normaux, mais des comportements interdits. Dans cette approche on analyse les données d’audits à la recherche de scénarios d’attaques prédéfinis dans une base de signatures d’attaque [8]. Le principal avantage d’une approche par scénario est la précision des diagnostics qu’elle fournit par rapport à ceux avancés par l’approche comportementale. Par contre son inconvénient majeur est de ne pouvoir détecter que les attaques enregistrées dans la base de signatures.
Besoin de corrélation d’alertes et choix de CRIM
La détection d’intrusions est un problème préoccupant qui vise à détecter des activités suspectes et des activités malveillantes. Deux principales approches de détection sont utilisées par les SDI . La première est l’approche comportementale qui se base sur un profil représentant les différentes activités normales au sein du système. Toute déviation par rapport au profil établi sera interprétée comme une éventuelle intrusion. La seconde est l’approche par signatures qui consiste à vérifier les signatures d’attaques dans les données analysées. Il est clair que toute attaque qui n’a pas sa signature dans la base de signatures ne sera pas détectée, ce qui nécessite une mise à jour fréquente de la base de signatures. Ces deux approches sont indispensables pour la surveillance et la protection d’un système d’informations. En revanche, leur utilisation pose plusieurs problèmes. Le problème majeur réside dans l’excès d’alertes que les SDIs produisent. L’opérateur de sécurité qui a comme tâche d’analyser et de prendre des décisions appropriées se retrouve rapidement débordé.
Approches de corrélation d’alertes
Les trois approches de corrélation d’alertes proposées dans la littérature sont:
La corrélation implicite : est utilisée pour mettre en évidence des relations entre événements. Parmi les articles sur cette méthode on peut citer [11]. Cette méthode est fondée sur l’observation de groupes d’alertes et l’extraction de relations implicites entre ces alertes à travers une fonction de similarité sur les attributs. Une relation peut être constituée, par exemple, par une correspondance fréquentielle ou statistique entre des alertes. Cette correspondance est obtenue par une analyse automatique des données. Cette méthode a des limites assez rapidement, et notamment parce qu’elle ne fournit pas de relation causale entre les alertes.
Corrélation explicite : l’opérateur est capable d’exprimer explicitement des relations entre différentes alertes, sous la forme d’un scénario. Un scénario regroupe en général un ensemble de propriétés que doivent satisfaire les alertes, et des liens les connectant. L’inconvénient de cette méthode est de nécessiter en général un expert pour fournir les scénarios d’attaques.
Corrélation semi-explicite : Cette approche ([8] et [11]) a été développée à partir des deux précédentes afin de faire disparaître leurs inconvénients. Elle est basée sur la description logique des attaques sous la forme d’un triplet qui comprend l’attaque elle même, ses pré-conditions et ses post-conditions. Le mécanisme de corrélation consiste à corréler des alertes si les post-conditions d’une première alerte correspondent aux pré-conditions d’une alerte qui a lieu plus tard. Cette méthode permet a priori de découvrir les liens causaux entre les alertes et donc de fournir un diagnostic assez précis. De plus, la méthode semble prometteuse pour détecter les nouvelles attaques.
Architecture proposée
Dans cette section, après avoir critiqué les trois architectures de détection d’intrusion proposées pour les réseaux de capteurs sans fil, nous proposons une architecture qui tire avantage de ces dernières et limite leurs inconvénients. Cette architecture assure un double rôle de détection d’intrusion et de corrélation d’alertes dans les RCSF.
Critiques des architectures Existantes
Dans les première et deuxième architectures, chaque noeud capteur doit être capable d’exécuter un SDI : cette contrainte est très forte étant données les caractéristiques des réseaux de capteurs sans fil (énergie limitée, ressources limitées, etc.). On constate dans la première architecture une indépendance entre les différents noeuds dans le processus de détection où chaque noeud ne s’occupe que de sa protection, et ne détecte que les attaques contre lui, ce qui représente une faiblesse contre les attaques distribuées. Le problème majeur pour les SDIs de la deuxième architecture est qu’ils causent une dégradation des performances du réseau par le trafic échangé entre les différents agents SDI, en plus du gaspillage de la bande passante limitée du réseau. La dernière architecture minimise ainsi la surcharge du réseau puisque la coopération est réduite entre les chefs de groupes et leurs membres. Cependant, elle ne permet pas d’avoir une vision globale du réseau à cause de l’absence de coopération entre les différentes cellules et reste par la suite inefficace contre certaines attaques distribuées.
Rôle de CRIM dans cette architecture
Pour répondre au besoin de corrélation d’alertes dans le domaine de la détection d’intrusion un module CRIM basée sur la troisième approche (approche semi-explicite) a été développé. Ce module fournit une base de travail intéressante pour analyser et corréler les alertes, générer un diagnostic plus global et synthétique, et aider l’administrateur de sécurité dans le choix d’une contre-mesure adaptée à l’attaque détectée. Dans notre architecture, ce module est exécuté au niveau de la station de base. Il reçoit les alertes générées par les différents SDIs installés dans les zones constituant le réseau, suite à une action suspecte ou malveillante détectée, les corrèle et génère une alerte plus globale et synthétique.
Notre objectif, derrière l’intégration de module CRIM dans notre architecture, est de garantir la couverture totale et la surveillance globale de réseau : la structuration en zone de réseaux permet aux SDIs d’avoir une vue partielle de réseau, et l’intégration de module CRIM au niveau de la station de base permet d’avoir une vue globale des intrusions impliquées. Il a pour objectifs de :
réduire le volume d’alertes à traiter par l’administrateur de sécurité.
réduire le nombre de faux positifs comme les alertes générées en détectant des actions suspectes.
générer des alertes plus globales en regroupant les alertes partielles sous forme de scénarios.
analyse plus profonde des alertes et générations des contre mesures adaptées aux scénarios d’attaques.
création d’un système de détection d’intrusion globale sans avoir recours aux échanges entre les SDIs , ce qui permet de conserver la bande passante du réseau.
faire la fusion des alertes au niveau de CRIM : si deux SDI de deux groupes différents détectent deux alertes différentes dont la cible est la même. Nous pouvons faire la fusion d’alertes et réduire le volume d’alertes en conséquence.
identifier les intentions de l’attaquant, ses capacités à réussir les attaques, la cible, et le résultat final.
Implémentation d’un scénario d’attaque dans CRIM
Dans ce qui suit, nous décrivons un scénario d’attaque dans les réseaux de capteurs sans fil et sa modélisation dans l’approche LAMBDA. C’est une attaque qui vise à épuiser la batterie d’un capteur. Les principales méthodes consistent à tromper le nœud en le maintenant éveillé, l’obligeant à écouter les communications et à retransmettre les paquets afin de consommer ses ressources et réduire sa durée de vie et celle de réseau en conséquence.
Introduction
Un réseau ne peut accomplir son objectif que tant qu’il est en vie, mais pas au delà. La durée de vie prévue est critique dans tout déploiement de réseau de capteurs. Le but des scénarios applicatifs classiques consiste à déployer des nœuds dans un domaine sans surveillance pendant des mois ou des années.
La vie d’un réseau de capteurs correspond à la période de temps durant laquelle le réseau peut, selon le cas, maintenir assez de connectivité, couvrir le domaine entier, ou garder le taux de perte d’information en-dessous d’un certain niveau. La vie du système est donc liée à la vie nodale. La vie nodale correspond à la vie d’un des nœuds du réseau. Elle dépend essentiellement de deux facteurs : l’énergie qu’il consomme en fonction du temps et la quantité d’énergie dont il dispose. La quantité prédominante d’énergie est consommée par un nœud capteur durant la détection, la communication puis le traitement des données.
À cause de la nature intrinsèque de leur fonctionnalité, les capteurs ont une contrainte principale : leur source d’énergie est limitée et presque jamais renouvelable. Ceci peut être considéré comme une vulnérabilité très importante dans les réseaux de capteurs sans fil, et les attaquants de ces derniers peuvent l’exploiter dans leur intérêt : en effet, un attaquant peut viser les nœuds les plus faibles en énergie dans le réseau et les bombarder par des rafales de requêtes en les obligeant à effectuer des traitements intenses en énergie afin d’épuiser leurs ressources et réduire leur durée de vie et celle du réseau en conséquence.
Dans ce qui suit, un scénario de cette attaque est envisagé et décrit tout en modélisant le comportement de l’attaquant et l’état de système (réseau de capteur), afin de réaliser la corrélation d’alertes et la reconnaissance d’intentions malveillantes dans les WSN en se basant sur l’approche utilisée par CRIM.
Description de scénario
Le routage multi-saut des réseaux de capteurs sans fils, a pour but d’optimiser (minimiser) la consommation d’énergie afin d’assurer une longévité maximale du réseau. Cette optimisation se fait par le choix de la route à consommation d’énergie minimale suivant :
– L’énergie disponible maximale : le choix des routes efficaces en consommation d’énergie consiste à prendre celle qui contient les nœuds possédant le maximum d’énergie totale disponible. Cette quantité est égale à la somme des énergies résiduelles des nœuds appartenant à cette route.
– L’énergie de transmission minimale : le choix se fait sur la route qui consomme le minimum d’énergie pour transmettre un paquet entre le nœud capteur et le nœud puits.
– Le noeud ayant le maximum des minimums des énergies disponibles : le choix se fait sur la route dans laquelle l’énergie disponible minimale est plus grande que toutes les autres énergies minimales disponibles sur les autres routes.
Pour cela, pour calculer les coûts des routes menant vers la station de base, un nœud ayant des données à transmettre peut être amené à solliciter l’énergie résiduelle de ses voisins. Cette dernière opération légitime peut être exploitée par un nœud malveillant à son intérêt, ce dernier peut interroger ses voisins pour récupérer leur énergie résiduelle (énergie qui peut être une métrique de routage).Cette action n’est pas dangereuse mais suspecte, car le but de l’intrus est de repérer le nœud voisin le plus faible en terme d’énergie, et le bombarder ensuite par des requêtes en lui affectant des traitements intenses et coûteux en énergie. Son but est d’épuiser les ressources de ce nœud victime (mémoire, énergie) jusqu’à sa mort et réduire en conséquence la durée de vie de réseau.
Dans ce scénario d’attaque envisagé, l’objectif de l’intrus est la réduction de la durée de vie du réseau [14].
Trois définitions de cette dernière sont présentées dans la littérature :
définition 1: l’intervalle de temps qui sépare l’instant de déploiement du réseau de l’instant où le premier nœud tombe énergétiquement en panne.
définition 2: l’intervalle de temps qui sépare l’instant de déploiement du réseau de l’instant où le dernier nœud tombe énergétiquement en panne.
définition 3: l’intervalle de temps qui sépare l’instant de déploiement du réseau de l’instant où un certain pourcentage de nœuds tombe énergétiquement en panne.
Pour notre cas de scénario, nous prenons la première définition pour décrire l’objectif d’intrusion.
Hypothèses de travail
Afin d’améliorer la compréhension de notre proposition dans la suite de cette section, nous décrivons quelques hypothèses raisonnables dans le cas d’un réseau de capteurs avec une topologie sous forme de zones et avec un modèle de trafic tous-vers-un :
chaque noeud capteur peut évaluer sa quantité d’énergie et la communiquer en cas de besoin.
chaque noeud contient la liste de ses voisins à un saut après déploiement.
Un noeud attaquant dispose des ressources suffisantes pour réaliser son attaque.
Une fois déployés, les capteurs sont laissés sans surveillance. Il est donc impossible de les recharger en cas d’épuisement d’énergie ou de panne.
Chaque noeud capteur a un unique identificateur connu par lui même et tous ses voisins.
Les noeuds capteurs qui exécutent les SDIs sont un peu spéciaux (possèdent des ressources importantes).
Afin de faire la corrélation des alertes au niveau de CRIM, les SDIs doivent être capables de détecter différents types d’attaques (impliqués dans les scénarios).
Modélisation de l’intrusion dans CRIM
Cette section consiste à modéliser le scénario décrit dans la section précédente dans l’approche CRIM.
En général un attaquant doit réaliser plusieurs actions, organisées en un scénario d’intrusions, afin d’arriver à atteindre ses objectifs. Nous représentons ces actions dans CRIM par leurs pré-conditions et post-conditions qui correspondent à un ensemble de prédicats logiques ou de négation de prédicats. La pré-condition d’une action représente l’état dans lequel doit être le système afin de pouvoir exécuter l’action. La post-condition correspond aux effets de l’exécution de l’action sur l’état du système (réseau de capteurs).
Modèles Lambda de scénario
Dans CRIM, l’approche de corrélation utilisée est l’approche semi-explicite. Elle est basée sur la description logique des attaques dans le langage LAMBDA[15]. Dans ce langage, une attaque est spécifiée en utilisant les attributs suivants :
– La pré-condition : condition logique qui spécifie les conditions qui doivent être satisfaites pour que l’attaque soit un succès.
– La post-condition : condition logique qui spécifie les effets de l’attaque lorsque l’attaque est un succès.
– La détection : mise en correspondance d’un modèle LAMBDA et une alerte et instanciation des variables du modèle.
– La vérification : combinaison d’événements qui permet de vérifier que l’attaque est un succès.
Par la suite, une analyse est faite pour étudier les liens logiques entre la post-condition d’une attaque A et la pré-condition d’une attaque B. Si un tel lien existe, l’attaque A a été faite dans le but de faire ensuite l’attaque B. Dans cette approche, les différents liens logiques sont automatiquement découverts au cours d’une phase d’analyse préalable de la base d’attaques spécifiées en LAMBDA. Ceci permet de générer une base de règles de corrélation qui sont ensuite appliquées pour corréler les alertes et construire des plans d’intrusions candidats correspondant à l’activité de l’attaquant. Pour prendre en compte des alertes spécifiques aux réseaux de capteurs sans fil, l’extension de modèle IDMEF est nécessaire (voir la sous section 6.8).
Dans ce qui suit, nous décrivons le plan d’intrusion discuté auparavant dans le langage Lambda.
Reconnaissance d’intention et réactions
La réalisation du scénario décrit ci-dessus permet à un attaquant d’atteindre un objectif d’intrusion «reduce_network_life» qui correspond à la réduction de la durée de vie de réseau. La fonction de reconnaissance d’intentions est utilisée pour détecter que l’objectif d’intrusion est atteint. Une possibilité de contre mesure consiste à réagir avant que l’objectif d’intrusion ne soit atteint : par exemple, la contre mesure «no_repense» qui ferme la connexion avec l’attaquant et qui consiste à ne pas répondre aux requêtes de l’attaquant est une contre mesure candidate.
Dans cette contre mesure, si l’intention de l’attaquant est reconnue, une réaction est générée avant que le réseau soit remis en cause.
Au niveau réseau de capteurs, la réaction consiste à envoyer un message d’alerte de la station de base vers les noeuds cluster-head qui exécutent les SDIs. Ces noeuds, à leur tour, transmettent le message vers les noeuds appartenant à la zone. A la réception de ce message d’alerte, chaque noeud du réseau bloque ses communications avec l’attaquant, y compris le noeud victime. De cette façon, il conserve son énergie restante pour d’autres fonctions telles que le captage, etc. En conséquence, l’objectif d’intrusion ne sera pas atteint car son intention est reconnue et une réaction est activée au bon moment.
modèle 5 : modèle de réaction “put_to_sleep”
Au niveau du module CRIM, nous nous basons sur l’énergie résiduelle des noeuds capteurs pour définir la réaction. Le modèle 5 ci –dessous représente l’action de réaction menée par CRIM pour stopper l’intrusion. Elle consiste à vérifier le prédicat inf (E,seuil ). Ce prédicat est vrai si l’énergie résiduelle de la victime V est inférieure au seuil prédéfini. Si c’est le cas, alors l’état du noeud attaqué sera mis en mode sleep afin d’anti-corréler la dernière étape du plan de l’intrus pour que la pré-condition de la troisième étape du scénario ne soit pas vérifiée, et l’attaque sera arrêtée en conséquence avant que l’objectif de l’intrusion ne soit atteint.
Perspectives et scénarios complexes
En général, un attaquant essaye d’atteindre un certain objectif en lançant plusieurs attaques successives, et non pas une seule attaque. Ces attaques successives constituent des plans d’intrusion. En effet, l’attaquant lance ses attaques dans l’ordre. Chacune lui permet d’exécuter la prochaine étape afin de réaliser son objectif malveillant. Etant donné qu’il existe des relations de plausibilité entre les différentes attaques, leur corrélation dans des scénarios d’attaques est nécessaire. Dans ce qui suit, nous proposons un schéma représentant des attaques qui peuvent êtres corrélées dans des scénarios dans les réseaux de capteurs sans fil.
|
Table des matières
Remerciements
Table de matières
Liste des figures
Liste des tableaux
Liste des Acronymes
Introduction Générale
1. Présentation du laboratoire d’accueil et de l’équipe
1.1. Présentation de Telecom Bretagne
1.2. Départements
1.2.1. Département LUSSI
2. Etat de l’art sur les RCSF
2.1. Les capteurs sans fil
2.2. Définition d’un réseau de capteurs
2.3. Domaines d’application des RCSF
2.4. Caractéristiques des RCSF
3. Détection d’intrusion dans les RCSF
3.1. Approches de détection d’intrusions
3.2. Propriétés des SDIs dans les RCSF
3.3. Architectures des SDIs dans les RCSF
4. Besoin de corrélation d’alertes et choix de CRIM
4.1. Approches de corrélation d’alertes
4.2. Description des fonctions de CRIM
5. Architecture proposée
5.1. Critiques des architectures Existantes
5.2. Description de l’architecture proposée
5.3. Schémas de fonctionnement de l’architecture
5.4. Choix de CRIM
5.5. Rôle de CRIM dans cette architecture
5.6. Conclusion
6. Implémentation d’un scénario d’attaque dans CRIM
6.1. Introduction
6.2. Description de scénario
6.3. Hypothèses de travail
6.4. Plan de l’intrusion
6.5. Modélisation de l’intrusion dans CRIM
6.6. Modèles Lambda de scénario
6.6.1. Les actions
6.6.2. Objectif de l’intrusion
6.6.3. Reconnaissance d’intention et réactions
6.7. Schéma de corrélation d’alertes
6.8. Implémentation et mise en ouvre dans CRIM
7. Perspectives et scénarios complexes
8. Bilan
9. Conclusion Générale
Résumé
Abstract
Références Bibliographiques
Télécharger le rapport complet
