Beruflich Dokumente
Kultur Dokumente
net/publication/318724422
CITATIONS READS
0 1,915
4 authors:
Some of the authors of this publication are also working on these related projects:
SDN : Adaptive Security and QoS for Next generation networks. View project
All content following this page was uploaded by EL Habib Benlahmar on 27 July 2017.
Figure.1 - Modèle visuel de Cloud Computing Figure.2 les differentes couches du Cloud
II.2 Les cinq caractéristiques essentielles du Cloud Trois modèles de services peuvent être offerts sur le Cloud :
Computing Software as a Service (SaaS), Platform as a Service (PaaS),
Services Cloud présentent cinq caractéristiques essentielles Infrastructure as a Service (IaaS). Ces trois modèles de
qui démontrent leur relation, et leurs différences avec les service doivent être déployés sur des Infrastructures qui
approches informatiques traditionnelles: possèdent les cinq caractéristiques essentielles citées plus
haut pour être considérées comme du Cloud Computing.
a) Accès aux services par l’utilisateur à la demande
A. LE LOGICIEL COMME UN SERVICE (SAAS)
La mise en oeuvre des systèmes est entièrement
automatisée et c’est l’utilisateur, au moyen d’une console de Ce modèle de service est caractérisé par l’utilisation
commande, qui met en place et gère la configuration à d’une application partagée qui fonctionne sur une
distance. infrastructure Cloud. L’utilisateur accède à l’application par
le réseau au travers de divers types de terminaux (souvent via
b) Accès réseau large bande un navigateur web). L’administrateur de l’application ne gère
pas et ne contrôle pas l’infrastructure sous-jacente (réseaux,
serveurs, applications, stockage). Toute la charge repose sur Les quatre modèles de déploiement
le fournisseur de service SaaS qui assurera le déploiement de
la solution de manière dynamique et instantanée. La plupart Certains distinguent trois modèles de déploiement. Nous
des services Cloud garantissent la disponibilité du service et les citons ci-après bien que ces modèles n’aient que peu
des données par différents contrats SLA [5]. d’influence sur les caractéristiques techniques des systèmes
déployées.
B. LA PLATEFORME COMME UN SERVICE (PAAS)
A. CLOUD PRIVE
L’utilisateur a la possibilité de créer et de déployer sur
une infrastructure Cloud PaaS ses propres applications en Ces ressources physiques peuvent être hébergées dans
utilisant les langages et les outils du fournisseur. une infrastructure propre à l'entreprise et étant sous son
.L’utilisateur ne gère pas ou ne contrôle pas l’infrastructure contrôle, à sa charge donc de contrôler le déploiement des
Cloud sous-jacente (réseaux, serveurs, stockage) mais applications. L’infrastructure peut être placée dans les locaux
l’utilisateur contrôle l’application déployée et sa de l’organisation ou à l’extérieur [8]. Le Cloud privé peut
configuration [6]. La plate-forme comme un service est la aussi désigner un Cloud déployé sur une infrastructure
plate-forme d’exécution, de déploiement et de physique dédiée et mise à disposition d'un fournisseur de
développement des applications. services.
C. L’INFRASTRUCTURE COMME UN SERVICE (IAAS) B. CLOUD PUBLIC
L’utilisateur loue des moyens de calcul et de stockage, L’infrastructure cloud est ouverte au public ou à de
des capacités réseau et d’autres ressources indispensables grands groupes industriels. Cette infrastructure est possédée
(partage de charge, pare-feu, cache). Concrètement, cela se par une organisation qui vend des services Cloud. Pour les
caractérise par une infrastructure physique souvent mise à consommateurs, il n'y a donc aucun investissement initial
disposition par un fournisseur de services. Grâce aux fixe et aucune limite de capacité. Les fournisseurs de Cloud
solutions de virtualisation existantes, il est possible de créer public facturent à l'utilisation et garantissent une disponibilité
très facilement des machines virtuelles connectées sur des de services au travers des contrats SLA [5].
réseaux, eux aussi virtuels, et qui seront exécutés sur les
hyperviseurs des machines physiques [7]. C. CLOUD HYBRIDE
L’infrastructure fournit des capacités de calcul et de stockage Un Cloud Hybride est l’utilisation de plusieurs Clouds,
ainsi qu'une connectivité réseau. Les serveurs, systèmes de publics ou privés. Ces infrastructures sont liées entre elles
stockage, commutateurs, routeurs et autres équipements, sont par la même technologie qui autorise la portabilité des
mis à disposition pour gérer une charge de travail demandée applications et des données. C’est une excellente solution
par les applications. L'infrastructure comme un service ou pour répartir ses moyens en fonction des avantages
IaaS, permet de disposer d'une infrastructure à la demande, recherchés [9].
pouvant héberger et exécuter des applications, des services Le cloud computing est un nouveau modèle de calcul
ou encore stocker des données. distribué à grande échelle. Virtualisation, déploiement
instantané, réseaux à large bande et d'autres technologies clés
II.4 LES ARCHITECTURES CLOUD
sont appliquées dans le cloud computing. Il réalise
Comme nous l'avons vu, le Cloud Computing repose sur intercommunication, l'interconnexion à travers Internet.
des ressources physiques. La question est « où sont ces Sous la forme d'un service unifié, le cloud computing utilise
ressources physiques ? » (Serveurs, commutateurs, routeur, le multiplateforme, multi-réseaux multi-terminaux pour les
solutions de stockage, etc.). La réponse « dans le nuage » utilisateurs d'accéder à un pay-as-you-go, la configuration
n'est pas vraiment acceptable. Du point de vue dynamique, flexibilité de l'expansion, faible coût, un service
consommateur, l'abstraction est telle qu'on ne peut de haute disponibilité par le navigateur standard à tout
déterminer sur quelles ressources physiques l’application est moment et en tout lieu. Les services incluent l'informatique,
hébergée. De par son côté dynamique, les ressources stockage, ressources et plateforme et ainsi de suite.
physiques hébergeant une application et des données dans un
Cloud computing offre des solutions efficaces qui répondent
Cloud ne sont jamais fixes et évoluent dans le temps.
à la demande. Il reçoit de plus en plus l'attention du
gouvernement, des entreprises et des institutions de
recherche [10]. Dans le même temps, la nature évolutive du
nuage est associée à des risques de sécurité et de
confidentialité importants.
II.2.1 Systèmes de Détection d'Intrusion (IDS)
Elle devient une partie essentielle dans l'environnement
de Cloud computing. L'objectif principal de l'IDS est de
détecter les attaques informatiques et de fournir la réponse
Figure 3: types de cloud computing. appropriée [11]. Un IDS est défini comme la technique qui
est utilisée pour détecter et répondre aux activités d'intrusion
de l'hôte ou le réseau malveillant [12]. Le service de des intrusions en utilisant la technique de détection à base
détection d'intrusion (IDS) augmente le niveau de sécurité d'anomalies dans le Cloud [16].
d'un nuage en fournissant deux méthodes de détection
d'intrusion. Première méthode est la méthode basée sur le II.2.2.2 Les caractéristiques Essentielles des NIDS
comportement (behavior-based method) qui dicte comment NIDS doivent avoir les caractéristiques suivantes pour
comparer les récentes actions de l'utilisateur par rapport au l'intégration dans le cloud computing.
comportement habituel. La seconde approche est la méthode
fondée sur la connaissance (knowledge-based method) qui • Détection d'attaques réseau pour chaque couche
détecte Itinéraires connus laissés par des attaques ou NIDS doivent être en mesure de détecter des intrusions
certaines séquences d'actions d'un utilisateur qui pourrait au niveau de chaque composant comme front-end et back-
représenter une attaque. Les données auditées est envoyé à la end. Il devrait être capable de détecter les attaques connues
base de service IDS, qui analyse le comportement en utilisant ainsi que les attaques inconnues.
l'intelligence artificielle pour détecter les écarts. Cela a deux
sous-systèmes à savoir le système de l'analyseur et du • Taux de détection rapide
système d'alerte. Afin de détecter les intrus les techniques Un grand nombre d'utilisateurs sont concernés dans le
suivantes doivent être mises en œuvre dans les deux HIDS ou cloud. Donc, ce nombre peut se transformer en débit de trafic
NIDS [13] [12] [14]. élevé en Cloud. Par conséquent, NIDS doit avoir une
II.2.2 NIDS dans le nuage: approches existantes détection plus rapide et à moindre coût.
Dans [15] pour améliorer la performance IDS les auteurs II.2.3 algorithme de génération de signature
ont proposé un modèle efficace qui utilise la technique de Pour protéger des systèmes contre les nouvelles attaques, les
multithreading dans l'environnement Cloud pour gérer un IDS devraient être rapidement mis à jour. Cependant
grand nombre de paquets de flux de données. Le projet de attaquant au lieu de trouver de nouveaux types d'attaque
NIDS multithread est basé sur trois modules nommés: essaie de passer inaperçu dans le système en évitant la
module de capture, le module d'analyse et un module de signature. Une évasion en temps réel d'IDS est créée en
rapports. Le premier est chargé de capturer les paquets de utilisant l'algorithme de génération de signature. Le but de
données et de les envoyer à la partie analyse qui les analyse l'évasion n'est pas de casser le système IDS mais pour
de manière efficace à travers la correspondance par rapport rendre le système plus robuste. Différentes sessions
une ensemble de règles prédéfini et distinguer les mauvais d'attaques sont données en entrée de l'algorithme de
paquets pour générer des alertes. Enfin, le module de rapport génération de signature (data mining, signature apriori
peut interpréter les alertes et faire immédiatement rapport algorithm, etc). Selon le support et le niveau de confiance des
d'alerte. règles qui sont générées par l'algorithme de génération de
II.2.2.1 Traditionnelle NIDS utilise des techniques de signatures, Ces règles seront données à l’ids. Lorsqu'une
détection basée sur la signature ou d’anomalie. attaque est générée pour laquelle la signature est stockée dans
la base de données IDS, ce dernière génère une alarme. Si
• Détection à base de signature IDS n'a pas pu générer des alarmes alors l'évasion est réussie.
La détection à base de signature définit un ensemble de III. Travaux basées sur IDS, NIDS et Agents Mobiles
règles prédéfinies, qui sont utilisé pour décider qu'un motif comme des solutions de sécurités
donné est celui d'un intrus. Les systèmes à base Signature
sont capables d'atteindre des niveaux élevés de précision et Comme représenté sur la Figure. 4, les chercheurs
un nombre minimal de faux positifs dans l'identification des combinent Snort (Snort- page accueil) et l'algorithme de
intrusions. En Cloud, la technique de détection basée sur la signature à priori dans leur module NIDS [16]. Le réseau
signature peut être utilisée pour détecter les intrusions peut être un réseau externe ou un réseau interne. Snort
externes / internes au niveau de Back-End Cloud. Mais, il a surveille les paquets réseau et autorise ou refuse ces dernières
un inconvénient; cette technique ne parvient pas à détecter
les attaques inconnues.
• Détection des anomalies
Il nécessite la collecte de données relatives au
comportement de l'usage légitime sur une période, puis
applique des tests statistiques pour le comportement observé,
qui détermine si ce comportement est légitime ou non. Il
présente l'avantage de détecter les attaques inconnues. La
technique de détection d'anomalie peut être utilisé pour le
Cloud pour détecter des attaques inconnues à différents
niveaux. Cependant, un grand nombre d'événements au
niveau du réseau rend difficile de surveiller ou de contrôler
Figure. 4. Principe de NIDS.
à base des règles configurées. En outre, les paquets capturés, cadre générique pour le développement d'applications de
signatures d'attaque partiellement connus (stocké dans la cloud computing [18].
base de données de signature connue) sont données en entrée
de l'algorithme de signature a priori. En utilisant les données
utilisées comme entrées à la signature priori pour générer
Des Nouvelles signatures pour mise à jour les règles de la
base de données Snort. Ainsi, les attaques dérivées peuvent
être détectées par Snort [16].
Cette approche permit la détection des attaques réseaux,
il reste handicapé devant les intrusions au niveau des
machines. Il ne peut pas détecter les attaques de type DoS et
DDoS. Parce que ce dernier cette approche ne peut pas
agréger les données malveillantes depuis plusieurs points
visés par ce type d'attaque.
Le travail présenté dans la figure 5 [17]. Il tente d'offrir
une ligne de défense en appliquant la technologie d'agents
mobiles, il fournit la détection d'intrusion pour les
applications de Cloud indépendamment de leur
emplacement.
• Prendre en compte la capacité d'adaptation de [14]Hassen Mohammed Alsafi, Wafaa Mustafa Abduallah and Al-
Sakib Khan Pathan. IDPS: an integrated intrusion handling model
l'apparence des agents mobiles. for cloud computing environment. International Journal of
L'utilisation de mécanismes de coopération entre les agents Computing & Information Technology (IJCIT), 2012, vol. 4, no 1,
mobiles pour effectuer efficacement les tâches requises. p. 1-16.
[15] I. Gul and M. Hussain, “Distributed Cloud Intrusion Detection
REFERENCES Model”, International Journal of Advanced Science and
[1] Maricela-Georgiana Avram (Olaru), Advantages and challenges Technology, vol. 34, pp. 71-82, 2011.
of adopting cloud computing from an enterprise perspective. The
[16] Chirag N. Modi, Dhiren R. Patel, Avi Patel, Muttukrishnan
7th International Conference Interdisciplinarity in Engineering
Rajarajan, "Integrating Signature Apriori based Network Intrusion
(INTER-ENG 2013).
Detection System (NIDS) in Cloud Computing". 2nd International
[2]Buyya R, Saurabh Kumar Garg, Rodrigo N Calheiros. SLA- Conference on Communication, Computing & Security (ICCCS-
oriented resource provisioning for cloud computing: challenges, 2012), 905 – 912.
architecture, and solutions. In: Proceedings of the international
[17] Dastjerdi, Amir Vahid, Kamalrulnizam Abu Bakar & Sayed
conference on cloud and service computing, vol. 17, no. 5;
Gholam Hassan Tabatabaei. 2009. Distributed Intrusion Detection
2011.p.71–9.
in Clouds Using Mobile Agents. In Proceedings of the 2009 Third
[3] Sunilkumar S. Manvi , Gopal Krishna Shyam. Resource International Conference on Advanced Engineering Computing and
management for Infrastructure as a Service (IaaS) in cloud Applications in Sciences. ADVCOMP ’09 pp. 175–180.
computing: A survey. Journal of Network and Computer
[18] Alwesabi Ali, Almutewekel Abdullah & Okba Kazar.
Applications 41 (2014) 424–440.
"Implementation of Cloud Computing Approach Based on Mobile
[4] Fa-Chang Cheng, Wen-Hsing Lai.” The Impact of Cloud Agents". International Journal of Computer and Information
Computing Technology on Legal Infrastructure within Internet Technology (ISSN: 2279 – 0764) Volume 02– Issue 06, November
Focusing on the Protection of Information Privacy”, International 2013
Workshop on Information and Electronics Engineering 29 (2012)
[19] Amir Vahid Dastjerdi, and Kamalrulnizam Abu Bakar. "A
241-251.
Novel Hybrid Mobile Agent Based Distributed Intrusion Detection
[5]Linlin Wu, Saurabh Kumar Garg, Rajkumar Buyya.” SLA-based System".International Journal of Computer, Information Science
admission control for a Software-as-a-Service provider in Cloud and Engineering Vol: 2 No: 9, 2008.
computing environments”, Journal of Computer and System
Sciences 78 (2012) 1280–1299.
[6] Jonatha Anselmi, Danilo Ardagna, Mauro Passacantando.”
Generalized Nash equilibria for SaaS/PaaS Clouds”, European
Journal of Operational Research 236 (2014) 326–339.
[7] Sunilkumar S.Manvi, GopalKrishnaShyam.” Resource
management for Infrastructure as a Service (IaaS) in cloud
computing: Asurvey”, Journal of Network and Computer
Applications 2013.
[8] M. Armbrust, A. Fox, R. Griffith, A. Joseph, R. Katz, A.
Konwinski, G. Lee, D. Patterson, A. Rabkin, I. Stoica, and M.