Thèse portant sur la Défense contre les attaques à l'aune des nouvelles formes de virtualisation des infrastructures F/H
Thèse Coutures (Dordogne) Développement informatique
Description de l'offre
about the role
Effectuer un travail de thèse sur « La Défense contre les attaques à l'aune des nouvelles formes de virtualisation des infrastructures ». Vous trouverez ci-dessous la description du contexte de la thèse. La mission et les principaux objectifs scientifiques seront précisés dans " l'entité ".
Le modèle de sécurité dit 'basé sur l'hôte' reste un héritage des infrastructures traditionnelles (non virtualisées) très présent dans les techniques actuelles de défense contre les attaques. Dans ce modèle, le système de sécurité s'exécute dans l'hôte dont on souhaite assurer la sécurité et le système de sécurité peut dans ce type d'infrastructure accéder et exploiter l'ensemble de la pile logicielle de l'hôte, des applications jusqu'à l'interface hardware/software.
Par ailleurs, la virtualisation des infrastructures s'est généralisée avec le cloud. La virtualisation sépare de part et d'autre de ce qui peut être appelée la 'frontière de virtualisation', le domaine virtualisé (environnement utilisateur) du virtualiseur (relevant de l'infrastructure). Il existe plusieurs alternatives possibles de virtualisation des infrastructures. Les deux alternatives les plus répandues et actuellement déployées sont : la virtualisation de niveau matériel (hyperviseur) et plus récemment celle de niveau système d'exploitation (conteneur). De récents travaux de recherche défendent des propositions de frontière de virtualisation autres, notamment intermédiaire entre ces deux extrêmes [1] ou minimaliste avec la notion de virtualiseur unikernel [2].
Ces dernières années, les avancées en termes de virtualisation des infrastructures ont privilégié essentiellement la recherche de performances d'exécution.
Très (trop) peu de travaux de sécurité se sont intéressés à l'exploration de la frontière de virtualisation pour son impact et son possible apport vis-à-vis des techniques de défense contre les attaques.
Or, les capacités respectives du domaine virtualisé et du virtualiseur à capturer et exploiter les activités pour superviser la sécurité du domaine virtualisé diffèrent selon les alternatives de virtualisation des infrastructures, en particulier pour les opérations de bas niveau (système, noyau).
Par exemple, pour la virtualisation de type conteneurisation où la frontière de virtualisation déporte le système d'exploitation du côté de l'infrastructure pour en faire le virtualiseur, une technique sécurité basée sur la vérification de l'intégrité de flot de contrôle de l'exécution noyau [3] ne peut plus s'effectuer dans le domaine virtualisé. Pour ce type de virtualisation, un premier système de détection d'anomalies pour les domaines virtualisés de type conteneur, basé sur l'analyse de séquences des appels systèmes collectés au niveau du virtualiseur a par ailleurs été proposé [4].
Pour la virtualisation au moyen d'hyperviseur, la pile logicielle du domaine virtualisé reste relativement inchangée (par rapport aux environnements non virtualisés) avec une visibilité complète s'étendant des applications jusqu'à l'interface 'hardware devenu virtualisé'/software. On pourrait alors penser que les techniques de défense traditionnelles opérant exclusivement dans le domaine virtualisé sont satisfaisantes mais les techniques dites d'introspection sont de plus en plus prometteuses pour offrir au virtualiseur (hyperviseur) des capacités de plus en plus étendues de supervision sémantique et présentent des avantages certains en termes de sécurité (isolation, niveau de privilège) [5].
Dans un monde où la frontière de virtualisation existe sous différentes formes (machine virtuelle, conteneur, unikernel) et est en train d'évoluer, des approches de défense génériques de niveau virtualiseur sont-elles possibles ?
about you
Vous êtes diplômé(e) d'une école d'ingénieur ou titulaire d'un Master Recherche dans le domaine de l'informatique, avec idéalement une spécialisation en sécurité.
Vous devrez avoir (et développer) un profil de double compétence technique. Des connaissances informatiques pointues en système d'exploitation, avec si possible une spécialisation sur la virtualisation et les hyperviseurs, sont requises. Et des connaissances en sécurité et plus particulièrement en sécurité des systèmes sont particulièrement appréciées puisqu'elles sont indispensables pour pouvoir mener à bien ces recherches.
Une expérience dans la conception et/ou le développement de systèmes de virtualisation (hyperviseurs) ou de mécanismes systèmes (programmation noyau) ou de mécanismes de sécurité des infrastructures seront des atouts pour ce poste. Une expérience dans un contexte de type recherche serait un plus.
D'autre part vous devrez disposer des qualités suivantes dans la conduite de vos travaux de recherche :
ouverture d'esprit et initiative, autonomie, capacité d'intégration à une équipe et au travail collaboratif, aisance dans la communication écrite et orale en français et en anglais, esprit de synthèse.
additional information
Vous rejoindrez le département Sécurité d'Orange Labs Product & Services qui regroupe une soixantaine de collaborateurs aux compétences pointues dans les domaines de la sécurité des réseaux (IP, mobiles), des terminaux (smartphones, Box, Set-Top-Box…), des systèmes (OS, Secure Elements…), du cloud (compute et stockage), de la cryptographie, de la protection des données personnelles, et de la détection et prévention des attaques informatiques.
Plus spécifiquement, vous serez intégré(e) à l'équipe de recherche de ce département, située à Caen.
Vous ferez partie d'un écosystème de recherche spécialisé dont les contributions sont fédérées dans le projet de recherche interne "Trusted cloud" au sein du domaine de recherche Orange "Trust and Security". Vous pourrez vous appuyer sur des résultats de recherche antérieurs de l'équipe d'accueil, dans le domaine de l'introspection de machines virtuelles notamment.
La thèse donnera lieu à la publication de plusieurs articles dans des conférences au meilleur niveau scientifique et possiblement à dépôt de brevets.
Les références :
[1] Van Moolenbroek, D. C., Appuswamy, R., & Tanenbaum, A. S. (2014, June). Towards a flexible, lightweight virtualization alternative. In Proceedings of International Conference on Systems and Storage (pp. 1-7). ACM.
[2] Williams, D., & Koller, R., Unikernel Monitors: Extending Minimalism Outside of the Box. In 8th USENIX Workshop on Hot Topics in Cloud Computing (HotCloud 16)
[3] Díez-Franco, I., & Santos, I. (2016, October). Feel Me Flow: A Review of Control-Flow Integrity Methods for User and Kernel Space. In International Conference on EUropean Transnational Education (pp. 477-486). Springer International Publishing.
[4] Amr S Abed, Charles Clancy, David S Levy,Intrusion detection system for applications using linux containers, Security and Trust Management, Lecture Notes in Computer Science, vol. 9331, 2015, pp. 123-135
[5] Hebbal, Y., Laniepce, S., & Menaud, J. M. Virtual Machine Introspection: Techniques and Applications. In 10th IEEE International Conference on Availability, Reliability and Security (ARES), 2015
department
L'objectif de la thèse est de caractériser, pour différentes techniques de virtualisation des infrastructures, les abstractions logicielles observables de part et d'autre de la frontière de virtualisation et de là, de proposer des mécanismes de défense du domaine virtualisé qui sont exploitables au niveau du virtualiseur d'une part et qui sont les plus génériques possibles vis-à-vis des différentes techniques de virtualisation d'autre part.
Dans cette thèse, on considérera tout particulièrement les nouvelles possibilités apportées par le virtualiseur (comparativement à une sécurité traditionnelle basée sur l'hôte utilisateur) :
i) l'isolation et le niveau élevé de privilèges du virtualiseur, ii) la vue multi-domaines virtualisés et iii) les services du virtualiseur tels que l'allocation dynamique de ressources, en particulier pour la réaction aux attaques.
Le principal verrou scientifique identifié est de concevoir des techniques de défense basées sur des observations bas niveau (système) du comportement des domaines virtualisés, qui soient les plus génériques possibles vis-à-vis des différentes techniques de virtualisation des infrastructures.
Le planning proposé serait le suivant :
· Année 1
o Analyse de l'état de l'art dans les 2 grands domaines identifiés ci-dessus : virtualisation des infrastructures et techniques de défense contre les attaques (détection de niveau système et réaction)
o Définition de mécanismes de détection à partir d'informations qu'il est possible de collecter au niveau virtualiseur d'une part et de techniques de réaction au niveau du virtualiseur d'autre part.
· Année 2
o Prototypage des mécanismes de détection et de réaction proposés, interfacés avec deux types de virtualiseur : virtualisation de niveau matériel (hyperviseur KVM ou moniteur unikernel) d'une part et de niveau système d'exploitation (docker) d'autre part
o Définition et constitution d'une base d'attaques et collecte au niveau virtualiseur de l'activité générée, en vue d'évaluer la capacité des techniques proposées à détecter les intrusions à partir de ces informations collectées au niveau virtualiseur,
o Expérimentations et évaluation des taux de détection avec la base d'attaques considérée, caractérisation de la généricité des principes proposés vis-à-vis des attaques et des types de virtualisation. Evaluation des techniques de réaction aux intrusions.
· Année 3
o Finalisation des expérimentations.
o Rédaction du manuscrit de thèse
o Préparation de la soutenance.
contract
Thesis