"SARGOS" : Système d'Alerte et Réponse Graduée Off Shore

International audienceLe projet SARGOS répond à l'émergence du besoin de sûreté des infrastructures offshore civiles vulnérables aux actes de malveillance, de piraterie ou de terrorisme menées à partir de la mer. Il propose le développement d'un système assurant de manière coordonnée la chaîne globale de protection : veille et surveillance automatisées ; détection d'intrusion ; évaluation de dangerosité ; plan de réaction gradué et piloté en temps réel pour rester constamment adapté au niveau de menace représenté par l'intrusion détectée. Une des capacités clefs est l'élaboration d'une stratégie complète et mutualisée de défense, incluant la mise en sûreté des personnes, la diffusion de l'alarme, la coordination des moyens d'assistance extérieure et la mise en oeuvre de moyens de dissuasion non létaux pour apporter une réponse complète à la menace. Un démonstrateur du système SARGOS illustrant toute la chaîne de protection a été déployé sur site pour des expérimentations en vraie grandeur selon des scénarios définis avec les opérationnels. Les essais ont permis de valider tous les points clefs : détection de petites embarcations - levée d'alertes pertinentes couplant analyse de comportement des embarcations et évaluation de dangerosité - Assistance intuitive à l'opérateur pour l'activation de procédures de réaction proposées en dynamique suivant une logique prédéfinie propre aux moyens disponibles

SARGOS : Système d'Alerte et Réponse Graduée Off Shore

National audienceLes champs de production d'hydrocarbures deviennent de plus en plus une cible de choix pour la piraterie maritime voire la menace terroriste. Or si les plates-formes et navires associés forment un réseau industriellement abouti en ce qui concerne l'exploitation, ils sont démunis face aux actes de malveillance intentionnels : de ce point de vue, ce sont des cibles isolées et exposées. Le projet SARGOS vise à répondre à l'émergence du besoin de sûreté des infrastructures offshore civiles vulnérables aux actions de malveillance, de piraterie ou de terrorisme menées à partir de la mer. Il propose le développement d'un système assurant de manière coordonnée la chaîne globale de protection : veille et surveillance automatisées ; détection d'intrusion ; évaluation de dangerosité ; plan de réaction gradué et piloté en temps réel pour rester constamment adapté au niveau de menace représenté par l'intrusion détectée. Une des capacités clefs est l'élaboration d'une stratégie complète et mutualisée de défense, incluant la mise en sûreté des personnes, la diffusion de l'alarme, la coordination des moyens d'assistance extérieure et la mise en oeuvre de moyens de dissuasion non létaux. Un enjeu fort est mis sur la prise en compte des modes de fonctionnement de l'infrastructure et des contraintes règlementaires et juridiques. SARGOS apporte une réponse nouvelle et innovante dans ce domaine de la sûreté maritime pour lequel il n'existe pas aujourd'hui de système opérationnel. Après un rappel de la problématique, cet article fait le point sur les différentes approches innovantes mises en oeuvre dans le développement du projet

Examen de l'impact de la division du travail sur la performance et de sa pertinence en contexte de vidéosurveillance

Le travail d’équipe est un sujet d’intérêt grandissant et la réalité d’aujourd’hui fait en sorte que le travail d’équipe est omniprésent dans une variété de domaines. Le domaine de la sécurité publique n’en fait pas exception à la règle. Des évènements comme les attentats de la Rambla à Barcelone ou du World Trade Center à New York ont prouvé que la surveillance vidéo est un atout majeur dans le rôle des intervenants en sécurité publique et qu’il est critique d’en comprendre les mécanismes. La réalité sur le terrain est que les pratiques de division des tâches et de travail d’équipe ne sont pas harmonisées en salle de contrôle. Grâce à une tâche de vidéosurveillance simulée en laboratoire à l’aide du micromonde Cognitive Solution to Security Surveillance (CSSS), la présente étude visait dans un premier temps à vérifier si, lorsque comparé au travail individuel, le travail d’équipe a un impact les performances dans un contexte de vidéosurveillance. Dans un deuxième temps, la présente étude visait à comparer l’impact sur la performance de deux stratégies de division des tâches, soit de manière spatiale où chaque surveillant est en charge d’un nombre limité de caméras, soit en prenant en compte les objectifs, où chaque surveillant détient au préalable des objectifs précis de recherche. Les résultats ont révélé que pour une tâche de surveillance donnée, les équipes ont rapporté plus d’incidents que les participants qui ont réalisé la tâche individuellement, mais c’est la stratégie de division des tâches par objectifs qui a rapporté une charge mentale inférieure. Somme toute, l’utilisation de stratégies de division des tâches plus sophistiquées que la division spatiale des secteurs ou des écrans, comme la division des tâches par objectifs, devrait être considérée dans les salles de contrôle afin de répartir la charge de travail de manière plus structurée et ergonomique.Teamwork is a topic of growing interest and is ubiquitous in a variety of fields in today’s reality. Public safety is no exception to the rule. Events such as the Rambla attacks in Barcelona or the World Trade Center in New York have shown that video surveillance is a major asset in the role of responders and that it is critical to further understand human surveillance performance. In relation to teamwork in control rooms, operational procedures and the division of labor are not harmonized. Using a laboratory-simulated video surveillance task within the Cognitive Solution to Security Surveillance (CSSS) microworld, the present study first aimed to verify whether, when compared to individual work, teamwork has an impact on performance. Secondly, the present study aimed to compare the impact of two strategies of division of tasks on performance: Task allocation was either based on the spatial dimension, each operator being in charge of a specific set of cameras, or goal-oriented, each operator receiving specific research objectives beforehand. Results showed that for a given supervisory task, teams detected more incidents than participants who completed the task individually, however, goal-oriented teams reported the lowest mental workload. Overall, the use of more sophisticated strategies than the spatial division of screens, such as goal-oriented strategies, should be considered in control rooms in order to distribute the workload in a more structured and ergonomic way

AlertWheel visualisation radiale de graphes bipartis appliquée aux systèmes de détection d'intrusions sur des réseaux informatiques

Les systèmes de détection d’intrusions (IDS) sont couramment employés pour détecter des attaques sur des réseaux informatiques. Ces appareils analysent le trafic entrant et sortant à la recherche d’anomalies ou d’activités suspectes. Malheureusement, ces appareils génèrent une quantité importante de bruit (ex. : faux positifs, alertes redondantes, etc.), complexifiant grandement l’analyse des données. Ce mémoire présente AlertWheel, une nouvelle application logicielle visant à faciliter l’analyse des alertes sur des grands réseaux. L’application intègre une visualisation radiale affichant simultanément plusieurs milliers d’alertes et permettant de percevoir rapidement les patrons d’attaques importants. AlertWheel propose, entre autres, une nouvelle façon de représenter un graphe biparti. Les liens sont conçus et positionnés de façon à réduire l’occlusion sur le graphique. Contrairement aux travaux antérieurs, AlertWheel combine l’utilisation simultanée de trois techniques de regroupement des liens afin d’améliorer la lisibilité sur la représentation. L’application intègre également des fonctionnalités de filtrage, d’annotation, de journalisation et de « détails sur demande », de façon à supporter les processus d’analyse des spécialistes en sécurité informatique. L’application se décompose essentiellement en trois niveaux : vue globale (roue), vue intermédiaire (matrice d’alertes) et vue détails (une seule alerte). L’application supporte plusieurs combinaisons et dispositions de vues, de façon à s’adapter facilement à la plupart des types d’analyse. AlertWheel a été développé principalement dans le but d’étudier le trafic sur des pots de miel (honeypots). Dans la mesure où tout le trafic sur un honeypot est nécessairement malveillant, ces derniers permettent d’isoler plus facilement les attaques. AlertWheel a été évalué à partir de données provenant du réseau international de honeypots WOMBAT. Grâce à l’application, il a été possible d’isoler rapidement des attaques concrètes et de cibler des patrons d’attaques globaux

Étude du potentiel des données satellitaires pour la cartographie géologique

Traditional methods and a lack of consensus and quality control in the delimitation of lithological units lead to differences and offsets at the contact zones between map sheets. On some geological maps, such inconsistencies considerably hinder exploration work. This study evaluates the contribution of remote sensing combined with a geoscientific knowledge base to produce bedrocks maps in a geologically complex and semi-arid region of the Peruvian Andes. The region is characterized by the presence of vegetation, snow and hydrothermal alteration. The results demonstrate the potential of ASTER-TIR emissivity data to discriminate lithological units characterized by differences in silica content. These units correspond to felsic plutonic, intermediate volcanic and sedimentary carbonate rocks with a map accuracy of 72% when compared to the available geological map. Specifically with regards to quartz zones, mapping by the two methods resulted in a comparative precision of 99%. The methodological approach also demonstrated that the potential of SWIR spectral bands is sufficiently high (precision of 84%) to detect many of the minerals associated with argillic and advanced argillic alteration in the study area

Vers la sécurité des conteneurs : les comprendre et les sécuriser

To facilitate shorter modern development cycles, as well as the ephemeral nature of cloud computing, many organizations are now running their applications in containers, a form of operating system virtualization. These new environments are often referred to as containerized environments. However, these environments are not without risk. Recent studies have shown that containerized applications are, like all types of applications, prone to various attacks. Another problem for those working in IT security is that containerized applications are often very dynamic and short-lived, which compounds the problem because it is more difficult to audit their activities or even make an investigation. In case of intrusion. In this thesis, we propose an intrusion detection system based on machine learning for containerized environments. Containers provide isolation between the host system and the containerized environment by efficiently grouping applications and their dependencies. In this way, containers become a portable software environment. However, unlike virtual machines, containers share the same kernel as the host operating system. In order to be able to do anomaly detection, our system uses this feature to monitor system calls sent from a container to a host system. Thus, the monitored container does not have to be modified and our system is not required to know the nature of the container to monitor it. The results of our experiments show that it is indeed possible to use system calls to detect abnormal behaviour made by a containerized application without having to modify the container.Afin de faciliter les cycles de développement moderne plus courts, ainsi que la nature éphémère de l’infonuagique, de nombreuses organisations exécutent désormais leurs applications dans des conteneurs, une forme de virtualisation du système d'exploitation. Ces nouveaux environnements sont souvent appelés environnements conteneurisés. Cependant, ces environnements ne sont pas sans risque. Des études récentes ont montré que les applications conteneurisées sont, comme tous les types d’applications, sujettes à diverses attaques. Un autre problème pour ceux qui travaillent dans le domaine de la sécurité informatique est que les applications conteneurisées sont souvent très dynamiques et de courte durée, ce qui aggrave le problème, car il est plus difficile d’auditer leurs activités ou encore de faire une enquête en cas d’intrusion. Dans ce mémoire, nous proposons un système de détection d’intrusion basé sur l’apprentissage machine pour les environnements conteneurisés. Les conteneurs assurent l'isolation entre le système hôte et l'environnement conteneurisé en regroupant efficacement, les applications ainsi que leurs dépendances. De cette façon, les conteneurs deviennent un environnement logiciel portable. Cependant, contrairement aux machines virtuelles, les conteneurs partagent le même noyau que le système d'exploitation hôte. Afin de pouvoir faire la détection d'anomalies, notre système utilise cette caractéristique pour surveiller les appels système envoyés d’un conteneur vers un système hôte. Ainsi, le conteneur surveillé n’a pas à être modifié et notre système n'est pas tenu de connaitre la nature du conteneur pour le surveiller. Les résultats de nos expériences montrent qu’il est en effet possible d’utiliser les appels système afin de détecter des comportements anormaux faits par une application conteneurisée et ce sans à avoir à modifier le conteneur

Mise au point d'un protocole d'inventaire des moyens et grands mammifères dans le parc de la Lékédi.

Le parc de la Lékédi, ancien lieu de ranching touristique, souhaite aujourd’hui se reconvertir en aire de préservation de la biodiversité locale. Pour cela, il était nécessaire de réaliser un diagnostic de biodiversité afin de déterminer les enjeux de cette aire. Le travail réalisé a permis de démarrer ce diagnostic en s’intéressant au taxon des mammifères. L’étude réalisée a consisté en des relevés de faune pendant 1236 jours caméra, sur 36 emplacements répartis à travers les 14000ha du parc. Les résultats obtenus ont permis de valider la présence de 31 espèces de mammifères au sein du parc et de confirmer l’intérêt majeur qu’il présente pour la conservation des grands primates et de plusieurs autres espèces menacées. Cette étude a permis de poser les bases d’un examen méthodique du parc. Si les résultats obtenus sont déjà très encourageants, ils mettent aussi en lumière l’intérêt qu’il y aurait à examiner les autres taxons et à réaliser un suivi de longue durée, éventuellement ciblé sur les espèces à enjeux

Langage dédié et analyse automatisée pour la détection de patrons au sein de traces d'exécution

RÉSUMÉ La complexité des systèmes informatiques distribués et à plusieurs unités de calcul a introduit de nouvelles classes de problèmes. Ces problèmes sont difficiles à reproduire et leur complexité accrue a suggéré l'introduction de nouvelles méthodes de compréhension des systèmes. L'analyse dynamique, à l'aide de traces d'exécution, permet de comprendre les systèmes à partir de leurs données d'exécution. Les traces d'exécution enregistrent, sous forme d'événements, les informations précises et détaillées de l'exécution du système instrumenté. Pour des systèmes comme le noyau d'exploitation de Linux, le traçage fournit des événements de bas niveau (appels systèmes, fautes de pages). De plus, en quelques secondes, le fichier de trace peut enregistrer des millions d'événements. Des visionneuses de trace, telle que Trace Compass, ont été développées dans le but de fournir des analyses de la trace sous différents angles de vue tels que l’allocation des ressources ou l’usage des unités de calcul, et à un haut niveau d'abstraction. Cependant, au-delà des analyses déjà fournies par les visionneuses, les utilisateurs souhaiteraient pouvoir créer des analyses personnalisées qui représenteraient mieux leurs besoins. Par exemple, un utilisateur pourrait tenter de vérifier si le système a subi une attaque particulière. Il faudrait dans ce cas précis pouvoir appliquer à la trace une analyse spécialisée qui permettrait de vérifier la présence d’une séquence d’événements ou d’informations qui décrit l’attaque recherchée. Il existe donc un besoin quant à la nécessité d'identifier des formes particulières ou de retrouver des séquences d'intérêts au sein de la trace. Ce travail propose l'introduction d'un langage déclaratif utilisant les automates finis pour la description de patrons d'intérêts. Les patrons décrits sont ensuite passés à un analyseur élaboré afin de vérifier et repérer leurs présences au sein de traces d’exécution. L'utilisation de machines à états pour la description des patrons permet de décrire des patrons complexes. Ainsi, la mise en place d'un mécanisme de suivi de l'exécution des patrons a été réalisée. Le langage déclaratif proposé est conçu de façon déclarative en XML. Il permet de représenter avec succès tous les types de patrons rencontrés dans la littérature (patrons de détection d'attaques, patrons de test de programmes, patrons d'évaluation de performance, patrons d'agrégations des événements...). La spécification du langage proposé permet de créer des événements synthétiques qui peuvent être traités par l'analyseur au fur et à mesure qu'ils sont créés. La solution proposée dans ce mémoire devrait être capable de traiter les traces de grandes tailles (500MB et plus); la performance en terme de temps d'extraction des données est donc importante. Nous nous assurons qu'elle est au moins aussi bonne que celle des travaux antérieurs du même genre et que la déviation par rapport à la méthode d'extraction standard de Trace Compass reste acceptable. La solution proposée écrit directement les données sur le disque. Elle n’accumule donc pas d’informations en mémoire. L’analyse en terme d’espace en mémoire est donc négligeable. De plus, nous démontrons l'utilité de l'approche proposée à l'aide d'exemples concrets de cas d'utilisation. Une tentative de découverte de la source d'un défaut de requête Web est présentée ainsi qu'un exemple de détection d'attaque dans le système. Enfin, nous proposons à la fin de notre étude une liste de suggestions pour des améliorations possibles à la solution en termes de description des patrons et de réduction du temps de l’analyse.----------ABSTRACT The complexity of distributed and multi-core systems introduced new classes of problems. These problems could be difficult to reproduce and their increasing complexity has suggested the introduction of new methods of systems comprehension. Dynamic analysis, through execution traces, allows to understand the system behavior from its execution data. The execution traces record, in the form of events, accurate and detailed information about the execution of an instrumented system. For systems like the Linux kernel, tracing provides low level events such as system calls and page faults. Moreover, in a few seconds, the trace file can record millions of events. Visualizers, like Trace Compass, were developed to provide analysis of the trace from different points of view such as ressources allocation and CPU usage, and with a high-level of abstraction. However, beyond the analyses that have been already provided by the visualizers, users would like to be able to create custom analyses that better represent their needs. For example, a user could attempt to verify if the system is under a particular attack. It should then be possible to apply to the trace a specialized analysis that would verify the presence of a sequence of events or information that describes the intended attack. Thus, there is a need to be able to identify patterns or to find predefined sequences of events within the trace. This work proposes the introduction of a declarative automata-based pattern description language. The described patterns are then passed to an analyzer designed to efficiently verify and detect their presence within the execution trace. The use of state machines allows to describe complex patterns. Thus, a mechanism to follow the execution of the patterns has been implemented. The proposed language is designed declaratively in XML. It has successfully represented all the types of pattern found in the literature (security attack patterns, testing patterns, system performance patterns, events aggregation patterns, ...). The language specification allows to create synthetic events that can be processed by the analyzer as they are created. This proposal should be able to process large trace files (1GB or more). Thus, performance in terms of time of data extraction is important. We ensure that this solution is at least as good as previous ones of the same kind and that the deviation from the standard extraction method of Trace Compass remains acceptable. The proposed solution writes the data directly to disk. It therefore does not accumulate information in memory. The analysis in terms of memory space is negligible. In addition, we try to demonstrate the usefulness of our approach with some application test cases. An example of an attempt to find the root cause of a web request defect and an example of attack detection in a system are presented. Finally, we propose at the end of this study a list of suggestions for possible improvements of the solution in terms of the description of patterns and reduction of the time of the analysis