KAPITTEL 2 - TIDLIGERE FORSKNING
2.4 M OBILITET OG BILISME
L’utilisation des techniques comme la cryptographie n’offre pas la possibilité de détecter de nouvelles attaques, ni même de défendre le réseau contre des nœuds internes compromis [10,53].
Toutefois, ce type de système est utilisé comme premièr ligne de défense alors que la deuxième ligne de défense est occupée par les systèmes de détection d’intrusion communément désignés par son acronyme anglais IDS (Intrusion Detection System). Un IDS fonctionne de trois phases : une phase de collection de données suivie d’une phase d’analyse et enfin une phase de réponse pour prévenir ou minimiser l’impact sur le système. Le système IDS est implanté au niveau de certains nœuds spéciaux appelés moniteurs ou nœuds de surveillance. Le déploiement de ces nœuds diffère en fonction du type protocole et de l’architecture de l’IDS.
Les IDS peuvent être classifiés [70,71] selon les techniques de détection utilisées :
• système de détection d’anomalie: le système détecte tout comportement qui dévie le comportement normal préétabli et déclenche une réponse.
• système basé sur les signatures : le système possède une base de données de certaines attaques avec laquelle sont comparées les données collectées. Une attaque est détectée si les données collectées coïncident avec un comportement malicieux déjà enregistré.
• système basé sur les spécifications: le système définit un ensemble de conditions qu’un protocole doit satisfaire. Une attaque est détectée si le programme ou le protocole ne respecte pas les conditions établies du bon fonctionnement.
Les IDS peuvent aussi être classés selon l’architecture en : autonome, distribuée et coopérative et hiérarchique [72].
IV.3.1 Watchdog and Pathrater
Marti, Giuli, and Baker [73] ont présenté une solution pour détecter les nœuds malicieux qui suppriment les paquets (de façon sélective ou aléatoire) passant par ce nœud de transit. Cette solution nommée Watchdog consiste en effet, à surveiller le comportement de tous les
67 nœuds d’une part, et choisir la route la plus sécuritaire grâce au module nommé Pathrater d’une autre part. De ce fait, tous les nœuds du réseau se surveillent les uns les autres sous forme d’architecture maillée.
La figure 21 ci-dessous présente le mécanisme Watchdog. En effet, si le nœud S veut transmettre un paquet vers le nœud D via les nœuds intermédiaires A, B et C, le paquet est transmis au nœud A qui le retransmet à son tour au nœud B mais garde une copie du paquet. La prochaine étape du processus est de surveiller si B va retransmettre ce paquet vers le nœud C en écoutant et en comparant tous les paquets émis par le nœud B. Si le nœud B ne retransmet pas le paquet au bout d’un certain temps, un compteur est incrémenté. Si le compteur atteint une valeur maximale préétablie (nombre de fois que le nœud B ne transmet pas un paquet), le nœud A peut conclure que le nœud B est malicieux. Sa décision est rapportée au nœud S.
Figure 21: Le principe du Watchdog [73]
Ces deux techniques sont très efficaces pour choisir les routes pour éviter les nœuds malveillants. Toutefois, ces nœuds ne sont pas punis. En revanche, ils continuent à bénéficier du réseau puisque les autres nœuds transmettent les paquets pour eux, alors qu’eux suppriment les paquets afin d'économiser leurs propres ressources. Par conséquent, les nœuds malveillants sont encouragés à poursuivre leurs comportements.
IV.3.2 CONFIDANT : un système basé sur la réputation
Buchegger et Le Boudec ont proposé une extension au protocole de routage DSR appelé CONFIDANT [74] (Cooperation Of Nodes: Fairness In Dynamic Ad-hoc NeTworks), utilisant un mécanisme similaire au mécanisme Watchdog et Pathrater ou chaque nœud observe le comportement de ses voisins. Une fois qu’un comportement malicieux est détecté, le nœud malicieux est exclu de tous les services offerts par le réseau (retransmission des paquets par exemple) et l’isole grâce à un système de réputation (Figure22) en alertant les autres nœuds par la diffusion d’un message d’alarme.
68 Figure 22: Le principe de confidant [74]
Le mécanisme proposé utilise le module Monitoring pour détecter toute activité malicieuse.
Si un cas suspect est détecté, le module Monitor en voie une notification au module Reputation System qui, à son tour, fait une mise à jour de sa table de réputation en fonction des rapports d’activité reçus. Si la valeur de réputation dépasse un seuil critique, une alarme est envoyée aux autres nœuds via le module Trust Manager ainsi qu’au Path Manager qui supprime toutes les routes contenant le nœud malicieux.
Puisque ce protocole permet l’envoi d’alarmes, le réseau peut être sujet à des attaques envoyant de fausses accusations. Ainsi, un déni de service peut être facilement réalisé.
IV.3.3 CORE : un système basé sur la réputation
Le mécanisme CORE [75] (Collaborative reputation mechanism) présenté par Michiardi et Molva a proposé une solution pour contrer le comportement égoïste des nœuds. La solution consiste à offrir des moyens d’incitation pour tout nœud voulant participer aux processus collaboratifs. Les moyens d’incitation sont inspirés de la théorie des jeux (Prisoner’s Dilemma) ou chaque nœud a une réputation à mettre en jeu traduisant son honnêteté. Pour transmettre ou recevoir un paquet, le nœud doit avoir une réputation suffisante. De plus, chaque nœud détecté malveillant ou égoïste voit sa réputation se diminue ce qui a pour
69 conséquence d’isoler ce nœud complètement du réseau (impossibilité d’émettre ou recevoir des paquets). Cela oblige les nœuds à adopter un comportement honnête.
Dans CORE, chaque nœud attribue une valeur de réputation à tout autre nœud impliqué dans un processus coopératif. À noter que CORE contrairement à CONFIDANT ne permet d’attribuer que des valeurs positives pour la réputation, si le nœud de décision reçoit un rapport positif d’un autre nœud (surveillance indirecte). Les valeurs négatives sont réservées seulement pour une surveillance directe dans le cas où le nœud surveillé ne coopère pas. En procédant ainsi, le mécanisme élimine les éventuelles fausses accusations et les attaques de dénis de service dont CONFIDANT souffre. Si un nœud A sollicite un service du nœud B (Retransmission de paquet, découverte de routes), le nœud B consulte sa table de réputation et calcule la valeur globale de réputation (surveillance directe et indirecte) pour le nœud A. S’il s’avère que le nœud A à une réputation globale négative alors sa requête sera rejetée et le nœud sera isolé.
IV.3.4 Zhang et Lee IDS
Zhang et Lee [76] ont proposé un IDS distribué coopératif où chaque nœud appelé agent IDS, est responsable de la collection des données et la détection des activités malicieuses. Chaque agent IDS peut initier une réponse (punition) indépendamment des autres nœuds. Toutefois, les agents IDS voisins pourraient coopérer entre eux pour une détection d’intrusion globale.
Un agent IDS est structuré en six modules comme illustrés sur la figure 23 :
• le module local data collection qui est responsable de la collecte les données en temps réel.
• le module local detection engine décide à partir des données collectées si le système est attaqué ou non. Le module peut initier une réponse si une attaque est détectée.
La réponse est exécutée par le module local response (alerte à l’utilisateur local) ou le module global response (alerte globale) en fonction du type d’attaque.
Le module cooperative detection engine est exécuté quand une anomalie est détectée et sollicite la coopération des autres nœuds via un autre module de communication sécurisée appelé secure communication.
70 Figure 23: Modèle d’un agent IDS [76]
IV.3.5 Zone-Based Intrusion Detection System
Sun, Wu et Pooch [77] ont proposé un IDS comportemental qui divise le réseau en zones comme illustré sur la figure 24, les nœuds dans cette architecture peuvent être classés en deux types:
Les nœuds intrazones et les nœuds interzones (ou nœuds passerelle).
Figure 24: La division du réseau en zone par ZBIDS [77]
Considérant la zone E, les nœuds 5, 9, 10 et 11 sont des nœuds intrazones, tandis que les nœuds 2, 3, 6, et 8 sont des nœuds interzones connectés aux nœuds d'autres zones. La
71 formation et l'entretien des zones exigent que chaque nœud doive connaître son emplacement physique pour le mapper sur une carte la zone.
Chaque nœud a un agent IDS semblable à un agent IDS proposé par Zhang et Lee, en outre, nous trouvons le module Local Aggregation and Correlation Engines (LACE) qui combine les résultats des différents modules locaux et génère des alertes si un comportement anormal est détecté. Ces alertes sont diffusées à d'autres nœuds dans la même zone. Cependant, la manière de fonctionnement de module Global Aggregation and Correlation Engines (GACE) est dépendant au type du nœud, comme décrit dans la figure 25, si le nœud est intrazone, il envoie uniquement les alertes générées aux noeuds interzones. Alors que, si le noeud est interzone, il reçoit des alertes à partir d'autres nœuds intrazones, les agrégats et les corrèle avec ses propres alertes, puis génère des alertes qui seront envoyées vers les autres modules GACE des noeuds interzones.
Figure 25: L’agent IDS dans ZBIDS
Enfin, le module intrusion response est responsable du traitement des alertes générées par le GACE.
L’algorithme d’agrégation et de corrélation utilisé dans ZBIDS est basé sur la création d’un profil normal construit par une chaine de Markov à partir du cache des informations de routage. Un changement valide dans le cache de routage peut être caractérisé par le modèle de détection de chaîne de Markov avec des probabilités, sinon, il sera considéré comme anormal, et une alerte sera générée. Pour algorithme d’agrégation et de corrélation globale, il est basé sur les informations fournies dans les alertes reçues contenant le type, l'heure, et la source de ces attaques.
72 IV.3.6 Système de détection d'intrusion hiérarchique
Les réseaux ad hoc véhiculaires sont caractérisés par une forte mobilité c’est pourquoi une hiérarchie statique n'est pas appropriée pour une telle topologie dynamique de réseau .Stern et al. [78] ont proposé un IDS clustérisé qui est basé sur la signature d’attaque qui peut être structuré en plusieurs niveaux comme le montre la Figure 26.
Figure 26: Le système de détection d'intrusion hiérarchique [78]
Les nœuds étiquetés "1" sont le premier niveau de chefs de grappe (clusterheads) tandis que les nœuds étiquetés "2" sont second niveau de chefs de grappe ainsi de suite.
Chaque nœud possède des responsabilités de surveillance (par l'accumulation de statistiques), d'enregistrement, d'analyse (par exemple, contrôler si la signature d'attaque correspondant aux têtes des paquets et des payloads), répondre aux intrusions détectées s'il y a suffisamment de preuves, et d'alerter les chefs de grappe. Les chefs de grappe, en outre, doivent également effectuer:
Fusion / intégration/ réduction des données
Détection d’intrusion : les chefs de grappe consolident les données afin de détecter les attaques car un nœud ne pourrait pas être en mesure de détecter une attaque comme DDoS tout seul.
Gestion de la sécurité: les nœuds les plus élevés de la hiérarchie ont l'autorité et la responsabilité de gestion de détection d’intrusion et d'intervention aux clusters en dessous d'eux. Ils peuvent envoyer des mises à jour de signatures ou des directives et des politiques visant à modifier les configurations pour la détection d'intrusion et la réponse.
73 IV.3.7 Système de détection d'intrusion clustérisé
Jaydip Sen a proposé un système de détection d’intrusion clustérisé [79] composé de deux modules :
le module Cluster-Head (CHM) s'exécutant sur chaque chef de grappe, et il est responsable de la gestion des nœuds membres de grappe, de l'initiation de détection d'intrusion coopérative et de réponse aux demandes des nœuds membres de grappe. Le CHM est composé en six sous modules comme illustrés à la figure 27:
Figure 27: Le module CMH [79]
Le module Cluster-Member (CMM) qui est exécuté sur tous les nœuds et gère les données recueillies localement par les membres de grappe pour la détection d'intrusion et la réponse, et en cas besoin, il peut demander au chef de grappe d’initier une détection d'intrusion coopérative. Cela se produit lorsque les données locales disponibles au CMM ne sont pas suffisantes pour tirer une conclusion concrète sur une activité .Le CMM est composé en six sous modules comme illustrés à la figure 28.74 Figure 28: Le module CMM [79]
Jaydip Sen propose aussi d’invoquer périodiquement l’algorithme d’élection de chef de grappe afin d’assurer la rotation de la responsabilité de gestion de cluster à différents nœuds ce qui assure un équilibrage de charge appropriée et de tolérance aux pannes dans le système. Chaque nœud dans le réseau maintient une base de données d'attaques connues (misuse signatures) et les activités du réseau sont considérées anormales si l’IDS dépasse un seuil ce qui permet l’identification des nouvelles attaques contre le réseau.
L’auteur propose aussi d’utiliser les agents mobiles pour les communications inter-grappe afin d’augmenter la flexibilité dans la détection coopérative du système de détection d'intrusion distribué.
IV.3.8 Comparaison des IDS étudiés
Le tableau 1 représente la comparaison finale entre les techniques de détection d’intrusions discutées.
75 Le système de detection d’intrusion Architecture La méthodologie Techniques Watchdog and Pathrater Autonome surveillance de noeuds relais qui assure le routage
- Auto observation de voisin
- Evite les nœuds malveillants dans la recherche de route
Confidant Distribuée et
coopérative Réputation
- Auto observation de voisin - observation voisin pour voisin - Evite les nœuds malveillants dans la recherche de route
- punition de nœud malveillant
CORE Distribuée et
coopérative Réputation
- la théorie des jeux
- Auto observation de voisin - Détection d'égoïsme
- Punition de nœud malveillant
Zhang et Lee IDS Distribuée et coopérative Détection coopérative
- Détection locale indépendamment des autres nœuds
- Détection globale coopérative si les informations locales sont insuffisant pour faire des décisions sur une activité.
ZBIDS Clustérisé Détection
coopérative
- Les agents mobiles - Chaine de Markov - Module LACE et GACE Jaydip Sen
clustered IDS Clustérisé Signature
- Les agents mobiles
- Détection d’intrusion assurée par les chefs de grappe
Sterne IDS Clustérisé et hiérarchique
Signature
- Fusion / intégration/ réduction des données
-Détection d’intrusion par les chefs de grappe
- Gestion de la sécurité Table 2: Les systèmes de détection d’intrusion
76 V. Conclusion du chapitre
Dans un réseau ad VANET tous les nœuds doivent coopérer dans les opérations de routage, en gérant entre autre l’établissement des chemins, la dissémination de notifications de ruptures de chemins et la retransmission des données. Etant donné cette caractéristique, il devient relativement facile de mener des d'attaques, qui visent à modifier la topologie du réseau, comme la déclaration de faux voisins, l’utilisation de fausses identités (attaque sybil), ou à dégrader ses performances via des attaques comme l’attaque blackhole, la déclaration des routes non optimales ou la création des boucles de routage afin de le rendre inopérant, soit par des nœuds malveillants internes ou bien de nœuds compromis par un attaquant au cours de l'exploitation du réseau.
Dans ce chapitre nous avons étudié un ensemble de protocoles de routage pour les réseaux ad hoc mobile sécurisés par des méthodes cryptographiques. Ces solutions utilisent soit mécanismes légers comme l'authentification de bout en bout par MAC en SRP, soit des mécanismes couteux comme Tesla et la signature à clé publique.
Cette étude nous a permis de remarquer que certaines d’entre eux sont toujours vulnérables à certaines attaques de modification de paquets comme la création des boucles de routage et l’attaque Route cache poisoning qui consiste à injecter de fausses informations dans le cache de routage des nœuds honnêtes.
Ces techniques montrent d'autres limitations comme les coûts calculatoires importants liés à la génération et la vérification des clés dans Tesla, ainsi que la difficulté liée à la mise en place d’une architecture de gestion de clé. Ces problèmes nous ont poussé à proposer d’établir des clés secrètes Diffie-Hellman dans la phase de découvert de voisinage pour les utiliser comme clés pour la génération d’une signature symétrique décentralisé et rapide basée sur AES.
Même si les procédés cryptographiques peuvent s'avérer efficaces pour contrer un nombre important d’attaques, ils demeurent inopérants pour contrer l’attaque wormhole car cette attaque ne requiert aucune génération ou modification des paquets de routage, nous avons examiné aussi plusieurs techniques de détection d'intrusion qui ont été proposées récemment et considérées comme complémentaires aux techniques cryptographiques, ce qui nous a
77 permis de constater que la plupart des modèles IDS existants sont distribués et basé sur la détection d’anomalies, en plus il y a une tendance à utiliser les agents mobiles pour la détection d'intrusion dans les réseaux ad hoc mobiles, car ils permettent l’utilisation de multiples ressources distribuées d'une manière efficace.
Nous notons également que l'ensemble de ces techniques utilisent le mécanisme de watchdog et l'améliore par la résolution de certains de ses problèmes. Ces techniques basées sur l'observation présentent l'inconvénient d'être sujettes à des erreurs dans leur diagnostic, c’est pourquoi nous avons proposé un mécanisme de détection d’intrusion basé sur des algorithmes de datamining.
Dans le chapitre 5 de notre thèse on va détailler l’ensemble des propositions qui visent à sécuriser le protocole de routage géographique GPSR choisi comme le mieux adapté pour les VANETs.
78
Chapitre 4
Evaluation de performances des
protocoles de routage
I. Introduction
Dans le chapitre 2, nous avons apporté une vue sur un ensemble protocole de routage proposé pour les réseaux ad hoc, et leur classification selon la manière et les informations utilisées dans le processus de routage. Cette classification ne tient pas en compte des critères telle que la mobilité et de la densité des nœuds sur le comportement de ces protocoles. Pour l’évaluation de ces protocoles la simulation offre une vision sur les performances du protocole avant même de l’adopter et le commercialiser par un organisme de standardisation et nous rapproche de l’utilisation réelle du protocole, ce que nous aide à sélectionner les meilleurs protocoles qui ont un bon comportement dans différents scénarios, la simulation permet aussi aux développeursdes protocoles et de tester leur algorithme de routage afin de les améliorer.
Les métriques de performances des protocoles ad hoc ont été abordées dès le premier RFC publié par le groupe de travail MANET [80], en séparant ces métriques en mesure externes de l’efficacité du routage (comment la performance du protocole est perçue par les mécanismes utilisant le routage) et mesure interne (pour un même niveau externe de performances, deux algorithmes vont déployer des volumes d’overhead différents).
Les mesures externes de l’efficacité d’un protocole ad hoc regroupent : le délai de bout en bout,
le débit
le temps d’acquisition d’une route qui est valable uniquement pour les protocoles réactifs.
le pourcentage de segments reçus hors séquence (intéressant du point de vue de la couche transport car TCP ajuste sa fenêtre en cas d’arrivées désordonnées de segments)
79 Pour mesurer l’efficacité interne du protocole, les métriques suivantes sont conseillées :
le nombre moyen de bits de données transmis / nombre de bits de données reçus
le nombre moyen de bits de contrôle transmis / nombre de bits de données reçus
le nombre moyen de paquets de contrôle et de données transmis / nombre de paquets de données reçus.
Le but de ce chapitre est d’étudier les performances des protocoles de routage ad hoc afin de répondre aux questions suivantes :
1) Quelles sont les principales différences entre les protocoles de routage ad hoc ? 2) Quel protocole de routage fournit une meilleure performance dans les réseaux ad-
hoc véhiculaires?
3) quels sont les facteurs qui influencent la performance de ces protocoles de routage?
Pour répondre à ces questions, nous avons utilisé OPNET [48] pour comparer les performances des cinq protocoles AODV, DSR, TORA, OLSR et GRP afin d'examiner l'impact de la mobilité et de la densité des nœuds sur le comportement de ces protocoles en ce