Résumé L’objectif de la tâche T4.4 de Politess concerne l’évaluation de techniques de diagnostic pour la construction de détecteurs d’intrusions, le diagnostic consistant à inférer des propriétés sur des évènements non observés à partir de traces d’exécutions du système. Ce document rassemble des articles et rapports de recherche sur ce sujet. Il comprend les contributions suivantes :

1. "Monitoring Information flow by diagnosis techniques" : Nous avons regardé comment construire des moniteurs passifs permettant de détecter la fuite d’information confidentielle pour des systèmes finis partiellement observables. En se basant sur l’ensemble des observations pour lesquelles un attaquant infère de l’information confidentielle, nous avons montré comment adapter les techniques de diagnostic sur des systèmes à événement discrets. Nous avons explicité des conditions nécessaires et suffisantes sur le système pour permettre la détection et/ou la prédiction de cette fuite d’information et comment construire un moniteur permettant à un administrateur d’assurer cette détection.

2. "Anomaly Detection with diagnosis techniques" : Nous nous sommes également intéressés à la détection d’anomalies en se basant sur des techniques d’ordres partielles et de diagnostics. L’approche consiste à comparer les exécutions du système à un modèle d’ordre partiel représentant les comportements « normaux » de celui-ci (de tels systèmes peuvent être infinis). Quand l’observation faite sur le système ne correspond à aucune explication du modèle, une alarme est alors levée.

Auteurs IRISA

Livrable L4.6