Année
1998
Abstract
L’objet de cet article est la présentation d’un modèle de comportement d’un utilisateur sur un réseau d’ordinateurs. Ce modèle est utilisé pour la détection avancée de malveillances sur un réseau. Le système, appelé DAMaR (Détection Avancée de Malveillances sur un Réseau), étudie le comportement ou profil habituel de l’utilisateur défini notamment par des composantes quantitatives (temps CPU, nombre moyen d’erreurs de connexion, nombre moyen d’utilisations des primitives du système et des logiciels, nombre d’accès en lecture/écriture à chaque base de données, etc.) et des composantes qualitatives (jour et heure habituels de connexion, poste de travail, etc.). Un changement de comportement peut dans certains cas traduire une intention de malveillance. Dès qu’un profil subit des modifications sensibles, une enquête est déclenchée. Ce profil n’est pas déterminé a priori, mais il se crée à l’issue d’une période d’apprentissage et d’observation des utilisateurs. Pour éviter de saturer le réseau, les utilisateurs sont répartis dans différentes classes de risque. Au départ, tous les individus sont dans la même classe. Au fur et à mesure des variations de leur comportement, les individus changent de classe. Le passage d’une classe à l’autre se fait soit de façon automatique soit par l’administrateur sur la suggestion de l’automate. Ce système, fonctionnant suivant un mode centralisé, a été expérimenté avec succès sur un réseau UNIX. Il a mis en évidence la dynamique du modèle en matérialisant les changements de classes des utilisateurs.
AKOKA, J., BRIOLAT, D. et COMYN-WATTIAU, I. (1998). La sécurité des réseaux : une approche de détection de malveillances. Systèmes d’Information et Management, pp. 23-42.