Vers une synthèse d'arbres d'attaque pour une analyse de risques assistée par ordinateur - INRIA - Institut National de Recherche en Informatique et en Automatique Accéder directement au contenu
Document Associé À Des Manifestations Scientifiques Année : 2013

Vers une synthèse d'arbres d'attaque pour une analyse de risques assistée par ordinateur

Stéphanie Georges
  • Fonction : Auteur
Logic and Applications
Sophie Pinchinat
Logic and Applications
CV

Résumé

Risk Analysis is a discipline consisting in identifying and evaluating risks that threaten a given system in order to reduce or annihilate them by defining actions to engage (risk management). After (Bornette et al., 2005), we have developed a method aiming at building attack scenarios against a system that has to be protected. We describe this method in the present article. The main principle is to extract from a dedicated model of the system the scenarios (expressed as a succession of elementary actions) allowing to reach, from an initial state, a given goal (expressed as a set of damages against which we want to provide countermeasures). Thanks to the use of high-level actions, these scenarios are then gathered into an attack tree allowing after specific processing to highlight flaws to bring down.
L'analyse de risques est une discipline consistant à identifier et à évaluer les risques qui menacent un système donné afin de les atténuer ou de les éliminer grâce à l'application de protocoles de sécurité (gestion de risques). Après (Bornette et al., 2005), nous avons développé une méthode ayant pour but de construire de façon automatique des scénarios d'attaque contre un système à protéger. Elle consiste principalement en l'extraction de ces scénarios, exprimés sous la forme de suites d'actions élémentaires permettant d'atteindre, à partir d'un état initial, un objectif donné (exprimé sous la forme d'un ensemble de dommages à causer au système), du graphe représentant le système. Grâce à l'utilisation d'une grammaire d'actions, nous en déduisons un arbre d'attaque mettant en évidence les failles du système étudié. Cette méthode doit aboutir à la conception d'un outil à destination des experts. Il ne leur reste alors qu'à déterminer des contremesures empêchant la réalisation effective de ses attaques.

Domaines

Génie logiciel [cs.SE]
Fichier principal
Vignette du fichier
Georges.pdf (73.71 Ko) Télécharger le fichier
Origine : Fichiers produits par l'(les) auteur(s)

Hervé Marchand  : Connectez-vous pour contacter le contributeur

https://inria.hal.science/hal-00876647

Soumis le : vendredi 25 octobre 2013-11:36:41

Dernière modification le : vendredi 24 mars 2023-14:52:57

Archivage à long terme le : vendredi 7 avril 2017-17:31:14

Télécharger pour visualiser

Dates et versions

hal-00876647 , version 1 (25-10-2013)

Identifiants

  • HAL Id : hal-00876647 , version 1

Citer

Stéphanie Georges, Sophie Pinchinat. Vers une synthèse d'arbres d'attaque pour une analyse de risques assistée par ordinateur. MSR 2013 - Modélisation des Systèmes Réactifs, 2013, Rennes, France. ⟨hal-00876647⟩

Exporter

BibTeX XML-TEI Dublin Core DC Terms EndNote DataCite

Collections

INSTITUT-TELECOM EC-PARIS UNIV-RENNES1 CNRS INRIA ENS-CACHAN INSA-RENNES IRISA MSR2013 IRISA-D4 UR1-MATH-STIC UR1-UFR-ISTIC UNIV-RENNES UR1-MATH-NUM ENS-PARIS-SACLAY
445 Consultations
990 Téléchargements

Partager

Gmail Facebook X LinkedIn More