Detection des rootkits niveau noyau basee sur LTTng

Les mecanismes de detection des logiciels malveillants, bases sur le tracage des activites de l'espace utilisateur, peuvent etre facilement contournes par les rootkits niveau du noyau. Ce memoire propose une solution de detection des techniques d'attaques utilisees par ce type de rootkits en se basant sur le tracage de l'activite du noyau Linux avec l'outil LTTng. Cette solution est basee sur l'analyse des donnees statiques et dynamiques du noyau Linux. Elle est concue suivant deux axes : le premier est l'integration des techniques de detection de rootkits dans les modules noyaux du traceur LTTng et le deuxieme est l'utilisation des traces de LTTng contenant les donnees du noyau dans l'approche de detection basee sur des techniques d'apprentissage automatique. Ce deuxieme axe a subi une optimisation des valeurs des vecteurs d'entree correspondants aux differentes attaques et a subi encore le paired T-test pour la selection du meilleur classificateur d'apprentissage. La validation de cette solution est faite sur un environnement de test concu specialement pour ce type de rootkits.