Diagnostic multi-sources adaptatif. Application à la détection d'intrusion dans des serveurs Web

Résumé. Le but d’un système adaptatif de diagnostic est de surveiller et diagnostiquer un système tout en s’adaptant à son évolution. Ceci passe par l’adaptation des diagnostiqueurs qui précisent ou enrichissent leur propre modèle pour suivre au mieux le système au fil du temps. Pour détecter les besoins d’adaptation, nous proposons un cadre de diagnostic multi-sources s’inspirant de la fusion d’information. Des connaissances fournies par le concepteur sur des relations attendues entre les diagnostiqueurs mono-source forment un méta-modèle du diagnostic. La compatibilité des résultats du diagnostic avec le méta-modèle est vérifiée en ligne. Lorsqu’une de ces relations n’est pas vérifiée, les diagnostiqueurs concernés sont modifiés. Nous appliquons cette approche à la conception d’un système adaptatif de détection d’intrusion à partir d’un flux de connexions à un serveur Web. Les évaluations du système mettent en évidence sa capacité à améliorer la détection des intrusions connues et à découvrir de nouveaux types d’attaque.