Publication en ligne des thèses de Télécom SudParis

Retrouvez sur theses.fr l'ensemble des thèses soutenues par les docteurs de Télécom SudParis, membre de la Comue Université Paris-Saclay.

Publication en ligne des thèses de Télécom SudParis

Soutenances de thèses

L'Ecole doctorale : Sciences et Technologies de l'Information et de la Communication et le Laboratoire de recherche SAMOVAR - Services répartis, Architectures, MOdélisation, Validation, Administration des Réseaux

présentent

l’AVIS DE SOUTENANCE de Madame Pamela CARVALLO

 

Autorisée à présenter ses travaux en vue de l’obtention du Doctorat de l'Université Paris-Saclay, préparé à Télécom SudParis en :

Informatique

 

« Sécurité dans le cloud : Framework de détection de menaces internes basé sur l'analyse d'anomalies »

 

LUNDI 17 decembre 2018 à 10h30

à Télécom SudParis

Salle C004
9 Rue Charles Fourier, 91000 Évry

Membres du jury :

 
M. Stéphane MAAG, Professeur, Télécom SudParis, FRANCE - Directeur de thèse

Mme Natalia KUSHIK, Maître de Conférences, Télécom SudParis, FRANCE - Examinatrice
Mme Ana CAVALLI, Professeure Emérite, Télécom SudParis, FRANCE - Examinatrice
M. Wissam MALLOULI, Ingénieur de Recherche, Montimage, FRANCE - Examinateur
M. Pascal POIZAT, Professeur, LIP6, FRANCE - Examinateur
M. Abdelhamid MELLOUK, Professeur, Université de Créteil, FRANCE - Examinateur
Mme Hélène WAESELYNCK, Directrice de Recherche, LAAS, FRANCE - Rapporteur
Mme Norah CUPPENS, Directrice de Recherche, IMT Atlantique, FRANCE - Rapporteur

Résumé :

Le Cloud Computing (CC) ouvre de nouvelles possibilités pour des services plus flexibles et efficaces pour les clients de services en nuage (CSC). Cependant, la migration vers le cloud suscite aussi une série de problèmes, notamment le fait que, ce qui autrefois était un domaine privé pour les CSC, est désormais géré par un tiers, et donc soumis à ses politiques de sécurité. Par conséquent, la disponibilité, la confidentialité et l'intégrité des CSC doivent être assurées. Malgré l'existence de mécanismes de protection, tels que le cryptage, la surveillance de ces propriétés devient nécessaire. De plus, de nouvelles menaces apparaissent chaque jour, ce qui exige de nouvelles techniques de détection plus efficaces. Les travaux présentés dans ce document vont au-delà du simple l’état de l'art, en traitant la menace interne malveillante, une des menaces les moins étudiées du CC. Ceci s'explique principalement par les obstacles organisationnels et juridiques de l'industrie, et donc au manque de jeux de données appropriés pour la détecter. Nous abordons cette question en présentant deux contributions principales. Premièrement, nous proposons la dérivation d’une méthodologie extensible pour modéliser le comportement d’un utilisateur dans une entreprise. Cette abstraction d'un employé inclut des facteurs intra-psychologiques ainsi que des informations contextuelles, et s'inspire d'une approche basée sur les rôles. Les comportements suivent une procédure probabiliste, où les motivations malveillantes devraient se produire selon une probabilité donnée dans la durée. La contribution principale de ce travail consiste à concevoir et à mettre en œuvre un cadre de détection basé sur les anomalies pour la menace susmentionnée. Cette implémentation s’enrichit en comparant deux points différents de capture de données : une vue basée sur le profil du réseau local de la entreprise, et une point de vue du cloud qui analyse les données des services avec lesquels les clients interagissent. Cela permet au processus d'apprentissage des anomalies de bénéficier de deux perspectives: (1) l'étude du trafic réel et du trafic simulé en ce qui concerne l'interaction du service de cloud computing, de manière de caractériser les anomalies; et (2) l'analyse du service cloud afin d'ajouter des statistiques prenant en compte la caractérisation globale du comportement. La conception de ce cadre a permis de détecter de manière empirique un ensemble plus large d’anomalies de l’interaction d'une entreprise donnée avec le cloud. Cela est possible en raison de la nature reproductible et extensible du modèle. En outre, le modèle de détection proposé profite d'une technique d'apprentissage automatique en mode cluster, en suivant un algorithme adaptatif non supervisé capable de caractériser les comportements en évolution des utilisateurs envers les actifs du cloud. La solution s'attaque efficacement à la détection des anomalies en affichant des niveaux élevés de performances de clustering, tout en conservant un FPR (Low Positive Rate) faible, garantissant ainsi les performances de détection pour les scénarios de menace lorsque celle-ci provient de la entreprise elle-même.

Abstract :

Cloud Computing (CC) opens new possibilities for more flexible and efficient services for Cloud Service Clients (CSCs). However, one of the main issues while migrating to the cloud is that what once was a private domain for CSCs, now is handled by a third-party, hence subject to their security policies. Therefore, CSCs' confidentiality, integrity, and availability (CIA) should be ensured. In spite of the existence of protection mechanisms, such as encryption, the monitoring of the CIA properties becomes necessary. Additionally, new threats emerge every day, requiring more efficient detection techniques.  The work presented in this document goes beyond the state of the art by treating the malicious insider threat, one of the least studied threats in CC. This is mainly due to the organizational and legal barriers from the industry, and therefore the lack of appropriate datasets for detecting it. We tackle this matter by addressing two challenges. First, the derivation of an extensible methodology for modeling the behavior of a user in a company. This abstraction of an employee includes intra psychological factors, contextual information and is based on a role-based approach. The behaviors follow a probabilistic procedure, where the malevolent motivations are considered to occur with a given probability in time. The main contribution, a design and implementation of an anomaly-based detection framework for the aforementioned threat. This implementation enriches itself by comparing two different observation points: a profile-based view from the local network of the company, and a cloud-end view that analyses data from the services with whom the clients interact. This allows the learning process of anomalies to benefit from two perspectives: (1) the study of both real and simulated traffic with respect to the cloud service's interaction, in favor of the characterization of anomalies; and (2) the analysis of the cloud service in order to aggregate data statistics that support the overall behavior characterization. The design of this framework empirically shows to detect a broader set of anomalies of the company's interaction with the cloud. This is possible due to the replicable and extensible nature of the mentioned insider model. Also, the proposed detection model takes advantage of the autonomic nature of a clustering machine learning technique, following an unsupervised, adaptive algorithm capable of characterizing the evolving behaviors of the users towards cloud assets. The solution efficiently tackles the detection of anomalies by showing high levels of clustering performance, while keeping a low False Positive Rate (FPR), ensuring the detection performance for threat scenarios where the threat comes from inside the enterprise.

 

L'Ecole doctorale EDITE - Ecole doctorale informatique, télécommunications et électronique et Télécom SudParis avec le Laboratoire de recherche SAMOVAR - Services répartis, Architectures, MOdélisation, Validation, Administration des Réseaux

présentent

 

l’AVIS DE SOUTENANCE de Monsieur Pierre-Edouard FABRE

 

Autorisé à présenter ses travaux en vue de l’obtention du Doctorat de Télécom SudParis avec l'Université Paris 6 en :

 

Informatique & Réseaux

 

« Utiliser les ressources réseaux pour atténuer les attaques DDoS volumétriques »

 

le 13 décembre 2018 à 11:00 - Salle A003

Adresse : Télécom SudParis - 9 Rue Charles Fourier, 91000 Évry

Membres du jury :

 

Directeur de thèse : Hervé DEBAR - Professeur

 

 

Rapporteurs :

Isabelle CHRISMENT - Professeure - Télécom Nancy - Université de Lorraine

Guillaume URVOY-KELLER - Professeur - Université de Nice Sophia-Antipolis

 

 

Examinateurs :

Bruno DEFUDE - Professeur - Télécom SudParis

Guillaume DOYEN - Maître de conférences - Université de Technologie de Troyes

Jouni VIINIKKA - Ingénieur -  6cure

 

Résumé :

 

Les attaques massives par déni de service représentent une menace pour les services Internet. Ils impactent aussi les fournisseurs de service réseau et menace même la stabilité de l'Internet. Il y a donc un besoin pressant de contrôler les dommages causés par ces attaques.

De nombreuses recherches ont été menées, mais aucune n'a été capable de combiner le besoin d'atténuation de l'attaque, avec l'obligation de continuité de service et les contraintes réseau. Les contre mesures proposées portent sur l'authentification des clients légitimes, le filtrage du trafic malicieux, une utilisation efficace des interconnections entre les équipements réseaux, ou l'absorption de l'attaque par les ressources disponibles.

Dans cette thèse, nous proposons un mécanisme de contrôle de dommages. Basé sur une nouvelle signature d'attaque et les fonctions réseaux du standard Multiprotocol Label Switching (MPLS), nous isolons le trafic malicieux du trafic légitime et appliquons des contraintes sur la transmission du trafic malicieux. Le but est de rejeter suffisamment de trafic d'attaque pour maintenir la stabilité du réseau tout en préservant le trafic légitime.

Considérant que les opérateurs réseaux n'ont pas une même visibilité sur leur réseau, nous étudions l'impact du niveau d'information de l'attaque ainsi que du le trafic réseau, sur l’efficacité d'une contre mesure régulièrement recommandée, le filtrage par liste noire. Nous formulons des scénarios auxquels chaque opérateur peut s'identifier. Nous démontrons que la l'algorithme de génération des listes noires doit être choisi avec précaution afin de maximiser l'efficacité du filtrage.

 

Abstract:

 

Massive Denial of Service attacks represent a genuine threat for Internet services, but also significantly impact network service providers and even threat the Internet stability. There is a pressing need to control damages caused by such attacks.

Numerous works have been carried out, but were unable to combine the need for mitigation, the obligation to provide continuity of service and network constraints. Proposed countermeasures focus on authenticating legitimate traffic, filtering malicious traffic, making better use of interconnection capacity network equipment or absorbing attack with the help of available resources.

In this thesis, we propose a damage control mechanism against volumetric Denial of Services. Based on a novel attack signature and with the help of Multiprotocol Label Switching (MPLS) network functions, we isolate malicious from legitimate traffic. We apply a constraint-based forwarding to malicious traffic. The goals is to discard enough attack traffic to sustain network stability while preserving legitimate traffic. It is not only aware of attack details but also network resource, especially available bandwidth.

Following that network operators do not have equal visibility on their network, we also study the impact of operational constraints on the efficiency of a commonly recommended countermeasure, namely blacklist filtering. The operational criteria are the level of information about the attack and about the traffic inside the network. We then formulate scenario which operators can identify with. We demonstrate that the blacklist generation algorithm should be carefully chosen to fit the operator context while maximizing the filtering efficiency.