Diagnostic multi-sources adaptatif Application à la détection d'intrusion dans des serveursWeb
Abstract
Le but d'un système adaptatif de diagnostic est de surveiller et diagnostiquer
un système tout en s'adaptant à son évolution. Ceci passe par l'adaptation
des diagnostiqueurs qui précisent ou enrichissent leur propre modèle pour
suivre au mieux le système au fil du temps. Pour détecter les besoins d'adaptation,
nous proposons un cadre de diagnostic multi-sources s'inspirant de la
fusion d'information. Des connaissances fournies par le concepteur sur des relations
attendues entre les diagnostiqueurs mono-source forment un méta-modèle
du diagnostic. La compatibilité des résultats du diagnostic avec le méta-modèle
est vérifiée en ligne. Lorsqu'une de ces relations n'est pas vérifiée, les diagnostiqueurs
concernés sont modifiés.
Nous appliquons cette approche à la conception d'un système adaptatif de détection
d'intrusion à partir d'un flux de connexions à un serveur Web. Les évaluations
du système mettent en évidence sa capacité à améliorer la détection des
intrusions connues et à découvrir de nouveaux types d'attaque.