Monitoring of security properties using BeepBeep

Runtime enforcement is an effective method to ensure the compliance of program with user-defined security policies. In this paper we show how the stream event processor tool BeepBeep can be used to monitor the security properties of Java programs. The proposed approach relies on AspectJ to generate a trace capturing the program’s runtime behavior. This trace is then processed by BeepBeep, a complex event processing tool that allows complex data-driven policies to be stated and verified with ease. Depending on the result returned by BeepBeep, AspectJ can then be used to halt the execution or take other corrective action. The proposed method offers multiple advantages, notable flexibility in devising and stating expressive user-defined security policies

Modélisation formelle des systèmes de détection d'intrusions

L’écosystème de la cybersécurité évolue en permanence en termes du nombre, de la diversité, et de la complexité des attaques. De ce fait, les outils de détection deviennent inefficaces face à certaines attaques. On distingue généralement trois types de systèmes de détection d’intrusions : détection par anomalies, détection par signatures et détection hybride. La détection par anomalies est fondée sur la caractérisation du comportement habituel du système, typiquement de manière statistique. Elle permet de détecter des attaques connues ou inconnues, mais génère aussi un très grand nombre de faux positifs. La détection par signatures permet de détecter des attaques connues en définissant des règles qui décrivent le comportement connu d’un attaquant. Cela demande une bonne connaissance du comportement de l’attaquant. La détection hybride repose sur plusieurs méthodes de détection incluant celles sus-citées. Elle présente l’avantage d’être plus précise pendant la détection. Des outils tels que Snort et Zeek offrent des langages de bas niveau pour l’expression de règles de reconnaissance d’attaques. Le nombre d’attaques potentielles étant très grand, ces bases de règles deviennent rapidement difficiles à gérer et à maintenir. De plus, l’expression de règles avec état dit stateful est particulièrement ardue pour reconnaître une séquence d’événements. Dans cette thèse, nous proposons une approche stateful basée sur les diagrammes d’état-transition algébriques (ASTDs) afin d’identifier des attaques complexes. Les ASTDs permettent de représenter de façon graphique et modulaire une spécification, ce qui facilite la maintenance et la compréhension des règles. Nous étendons la notation ASTD avec de nouvelles fonctionnalités pour représenter des attaques complexes. Ensuite, nous spécifions plusieurs attaques avec la notation étendue et exécutons les spécifications obtenues sur des flots d’événements à l’aide d’un interpréteur pour identifier des attaques. Nous évaluons aussi les performances de l’interpréteur avec des outils industriels tels que Snort et Zeek. Puis, nous réalisons un compilateur afin de générer du code exécutable à partir d’une spécification ASTD, capable d’identifier de façon efficiente les séquences d’événements.Abstract : The cybersecurity ecosystem continuously evolves with the number, the diversity, and the complexity of cyber attacks. Generally, we have three types of Intrusion Detection System (IDS) : anomaly-based detection, signature-based detection, and hybrid detection. Anomaly detection is based on the usual behavior description of the system, typically in a static manner. It enables detecting known or unknown attacks but also generating a large number of false positives. Signature based detection enables detecting known attacks by defining rules that describe known attacker’s behavior. It needs a good knowledge of attacker behavior. Hybrid detection relies on several detection methods including the previous ones. It has the advantage of being more precise during detection. Tools like Snort and Zeek offer low level languages to represent rules for detecting attacks. The number of potential attacks being large, these rule bases become quickly hard to manage and maintain. Moreover, the representation of stateful rules to recognize a sequence of events is particularly arduous. In this thesis, we propose a stateful approach based on algebraic state-transition diagrams (ASTDs) to identify complex attacks. ASTDs allow a graphical and modular representation of a specification, that facilitates maintenance and understanding of rules. We extend the ASTD notation with new features to represent complex attacks. Next, we specify several attacks with the extended notation and run the resulting specifications on event streams using an interpreter to identify attacks. We also evaluate the performance of the interpreter with industrial tools such as Snort and Zeek. Then, we build a compiler in order to generate executable code from an ASTD specification, able to efficiently identify sequences of events

Development of monitoring systems for anomaly detection using ASTD specifications

Anomaly-based intrusion detection systems are essential defenses against cybersecurity threats because they can identify anomalies in current activities. However, these systems have difficulties providing entity processing independence through a programming language. In addition, a degradation of the detection process is caused by the complexity of scheduling the training and detection processes, which are required to keep the anomaly detection system continuously updated. This paper shows how to use the algebraic state-transition diagram (ASTD) language to develop flexible anomaly detection systems. This paper provides a model for detecting point anomalies using the unsupervised non-parametric technique Kernel Density Estimation to estimate the probability density of event occurrence. The proposed model caters for both the training and the detection phase continuously. The ASTD language streamlines the modeling of detection systems thanks to its process algebraic operators that provide a solution to overcome these challenges. By delegating the combination of anomaly-based detection processes to the ASTD language, the effort and complexity are reduced during detection models development. Finally, using a qualitative evaluation, this study demonstrates that the algebraic operators in the ASTD specification language overcome these challenges

A modular runtime enforcement model using multi-traces

Runtime enforcement seeks to provide a valid replacement to any misbehaving sequence of events of a running system so that the correct sequence complies with a user-defined security policy. However, depending on the capabilities of the enforcement mechanism, multiple possible replacement sequences may be available, and the current literature is silent on the question of how to choose the optimal one. In this paper, we propose a new model of enforcement monitors, that allows the comparison between multiple alternative corrective enforcement actions and the selection of the optimal one, with respect to an objective user-defined gradation, separate from the security policy. These concepts are implemented using the event stream processor BeepBeep and a use case is presented. Experimental evaluation shows that our proposed framework can dynamically select enforcement actions at runtime, without the need to manually define an enforcement monitor

An IoE Blockchain-Based Network Knowledge Management Model for Resilient Disaster Frameworks

The disaster area is a constantly changing environment, which can make it challenging to distribute supplies effectively. The lack of accurate information about the required goods and potential bottlenecks in the distribution process can be detrimental. The success of a response network is dependent on collaboration, coordination, sovereignty, and equal distribution of relief resources. To facilitate these interactions and improve knowledge of supply chain operations, a reliable and dynamic logistic system is essential. This study proposes the integration of blockchain technology, the Internet of Things (IoT), and the Internet of Everything (IoE) into the disaster management structure. The proposed disaster response model aims to reduce response times and ensure the secure and timely distribution of goods. The hyper-connected disaster supply network is modeled through a concrete implementation on the Network Simulation (NS2) platform. The simulation results demonstrate that the proposed method yields significant improvements in several key performance metrics. Specifically, it achieved more than a 30% improvement in the successful migration of tasks, a 17% reduction in errors, a 15% reduction in delays, and a 9% reduction in energy consumption

Décentralisation du contrôle de conformité de processus opérationnels : approches par blockchain et séquence de pair-actions

La gestion de processus d’affaires (ou BPM, pour Business Process Management) fait l’objet d’un intérêt majeur et croissant dans l’industrie et la recherche académique. La principale explication a ce phénomène réside dans le fait que le BPM améliore grandement les performances et la flexibilité globales de l’exécution de processus opérationnels. Cette amélioration repose en partie sur la possibilité d’automatiser les contrôles de conformité des processus, qui assurent que ces derniers suivent une exécution valide par rapport aux modèles mis en place. En outre, depuis une quinzaine d’années, on a pu observer l’avènement des processus opérationnels centres sur les artefacts. Dans cette approche, plus intuitive et flexible, l’enchainement des opérations possibles est exprimé par l’ensemble des contraintes, appelé cycle de vie, que les pairs intervenant dans le processus doivent respecter lorsqu’ils interagissent avec les objets physiques ou virtuels manipules en son sein, appelés artefacts. Contrôler la conformité d’un tel processus revient alors à vérifier que les cycles de vie des artefacts sont respectés, et ce à toutes les étapes du processus. Dans ce domaine, les travaux de recherche et les solutions industrielles actuelles se basent néanmoins principalement sur des architectures centralisées, qui représentent plusieurs inconvénients en termes de sécurité et flexibilité. L’objet de cette thèse est donc de proposer des approches embrassant une décentralisation complète du procédé de vérification de conformité. La première d’entre elles consiste à stocker la totalité des manipulations sous la forme de transactions incluses dans une blockchain Ethereum. En effet, la blockchain permet l’établissement de registres décentralisés, immuables et authentifiés. Plus précisément, les actions sont stockées par l’intermédiaire de smart contracts, programmes partagés et exécutés par tous les nœuds du réseau blockchain. Nous appliquons cette architecture à un scénario concret de livraisons de colis dans un contexte de logistique hyperconnectée. Plusieurs propriétés de cycle de vie pertinentes dans ce milieu sont exprimées, implémentées et vérifiées à l’aide de BeepBeep, une bibliothèque de Complex Event Processing (CEP).Bien que fonctionnelle, l’approche par blockchain expose des inconvénients majeurs, notamment en termes du nombre d’actions qu’il est possible de traiter dans un temps donné, jugé insuffisant dans certains contextes. Nous proposons alors une approche originale où les actions sont stockées directement dans l’artefact manipulé sous la forme d’une séquence de pair-actions. Les séquences de pair-actions permettent de construire des historiques immuables composés d’actions confidentielles et authentifiées. Cette solution repose uniquement sur l’utilisation de mécanismes de chiffrement et de hachage classiques, là où les technologies de type blockchain nécessitent également un consensus pour l’agrégation de blocs de transactions. Les résultats expérimentaux montrent que l’ajout d’actions dans une séquence de pair-actions est plus rapide qu’en utilisant une blockchain Ethereum, tout en provoquant un surplus en mémoire inférieur. De plus, les séquences de pair-actions n’impliquent aucune restriction sur les types de cycles de vie et d’artefacts manipulés ; elles permettent donc une abstraction complète de l’implémentation du contrôle de conformité. Ces éléments, combinés à d’autres, font des séquences de pair-actions une alternative décentralisée, sécurisée, efficace et flexibleà la blockchain et aux solutions existantes intervenant dans le BPM

Étude de faisabilité du runtime monitoring dans les jeux vidéo

Dans le domaine des jeux vidéo, beaucoup de bogues se retrouvent sur le marché malgré les différentes phases de tests. Pour une industrie basée sur le divertissement, rencontrer des bogues qui empêchent le déroulement normal du jeu (dits « game breaking ») peut nuire à la vente du produit. Toutefois, la plupart des techniques d'assurance-qualité connues ne sont pas adaptées aux jeux vidéo. Il existe une technique de vérification, le runtime monitoring, qui observe l'exécution d'un système et pourrait améliorer la tâche d'élimination des bogues. Ce projet a pour objectif de prouver la faisabilité de l'utilisation d'une telle technique dans ce domaine. Ce travail vise à améliorer le processus de recherche et d'élimination des bogues retrouvés dans l'entreprise ainsi qu'à agrandir le champ d'action des méthodes formelles. Pour ce faire, ce mémoire propose une nouvelle méthode d'instrumentation prenant en compte des caractéristiques propres aux jeux vidéo. Ce mémoire ne représente qu'une première partie d'un projet plus grand visant non seulement à rendre possible l'utilisation du runtime monitoring mais aussi à améliorer le processus de détection des bogues en facilitant la tâche des testeurs et développeurs