Présentation

Article

1 - CONTEXTE

2 - TECHNOLOGIES D’ANALYSE

  • 2.1 - Détection par scénarios
  • 2.2 - Détection comportementale

3 - SOURCES DE DONNÉES

  • 3.1 - Trafic réseau
  • 3.2 - Traces système
  • 3.3 - Traces applicatives

4 - PRÉPARATION ET MISE EN ŒUVRE

5 - CONCLUSION

| Réf : H5840 v1

Contexte
Analyse et détection d’intrusions

Auteur(s) : Hervé DEBAR

Date de publication : 10 oct. 2004

Pour explorer cet article
Télécharger l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

Sommaire

Présentation

Version en anglais English

Auteur(s)

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

INTRODUCTION

Le développement de l’informatique s’est accompagné de problèmes de sécurité. À l’origine, les virus se propageaient lentement, par l’échange de supports informatiques. Avec l’apparition des premiers réseaux TCP/ IP, les problèmes de sécurité se sont diversifiés et ont conduit au développement de nouvelles techniques de sécurité.

Très tôt dans le développement d’Internet, des vulnérabilités sur les systèmes d’exploitation ont permis à des attaquants de se déplacer virtuellement de système en système. Dans le contexte militaire de déploiement des réseaux TCP/ IP, la détection des actions malveillantes est rapidement devenue une nécessité. Les mesures de prévention se sont révélées insuffisantes et ont amené la création de systèmes de détection d’intrusions (IDS).

Ces systèmes ont été développés dans le but de détecter des fonctionnements anormaux des systèmes d’information et des réseaux, indiquant que des actions non conformes à la politique de sécurité sont menées par un ou plusieurs utilisateurs. Deux familles de techniques d’analyse ont été élaborées pour effectuer cette détection. La première famille de techniques d’analyse postule que l’on peut différencier le comportement d’un attaquant du comportement habituel du système d’information surveillé. La deuxième famille exploite la connaissance accumulée sur les vulnérabilités et les manières de pénétrer les systèmes d’information ; lorsque des actions d’utilisateurs ressemblent à des attaques précédemment décrites, le système de détection d’intrusions transmet une alerte.

Ces techniques d’analyse s’appliquent à différentes sources de données, qui doivent être acquises par le système de détection d’intrusions (écoute du réseau ou lecture de fichiers par exemple), et prétraitées pour simplifier l’analyse.

L’objectif de ces systèmes de détection d’intrusion aujourd’hui est principalement de fournir des informations sur la santé du système d’information surveillé aux opérateurs. Cependant, l’évolution des techniques d’analyse et l’amélioration de leur fiabilité permettent d’envisager dans quelques années des systèmes de protection plus fins que ceux disponibles à l’heure actuelle. En particulier, il devrait devenir possible de protéger individuellement chacun des services offerts par un système d’information, sans être lié aux points d’accès réseau comme cela est le cas aujourd’hui avec la technologie généralisée des pare-feu.

Cet article est réservé aux abonnés.
Il vous reste 93% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v1-h5840


Cet article fait partie de l’offre

Sécurité des systèmes d'information

(77 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Présentation
Version en anglais English

1. Contexte

1.1 Problématique

Depuis de nombreuses années, les attaques contre les systèmes d’information et les réseaux se multiplient. Cette progression va de pair avec une multiplication du nombre de vulnérabilités informatiques publiées, majoritairement des failles logicielles. Ces vulnérabilités font l’objet de publications officielles ou semi-officielles, qui sont souvent accompagnées de programmes permettant de réaliser automatiquement tout ou partie d’une attaque.

HAUT DE PAGE

1.1.1 Difficulté de mise en œuvre des mesures préventives

Dans le même temps, les mesures préventives induisent des contraintes difficiles à satisfaire dans un environnement opérationnel. La généralisation des pare-feu (voir ) protège l’accès au réseau interne de la majorité des entreprises. Ces pare-feu laissent cependant pénétrer à l’intérieur du réseau de l’entreprise un certain nombre de protocoles considérés comme nécessaires, par exemple DNS ou HTTP.

En particulier, nous pouvons dire aujourd’hui qu’il est extrêmement difficile de contrôler le bon fonctionnement d’un pare-feu. Les traces générées sont peu explicites et ce manque sérieux d’outils d’analyse est en partie comblé par les systèmes de détection d’intrusions.

HAUT DE PAGE

1.1.2 Complexité des technologies de filtrage

L’apparition de protocoles plus complexes, comme la téléphonie sur IP (Internet Protocol) ou la visioconférence, rend la configuration des pare-feu difficile car les ports devant rester ouverts ne sont pas connus à l’avance. Il devient donc nécessaire d’avoir des configurations plus ouvertes, qui sont autant d’opportunités de faire pénétrer du trafic indésirable dans un réseau d’entreprise. Ces configurations moins contraignantes induisent d’ailleurs des difficultés plus importantes pour la définition de la politique de sécurité.

Il convient de remarquer que les opérations réalisées par les systèmes de détection d’intrusions...

Cet article est réservé aux abonnés.
Il vous reste 95% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(77 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Contexte
Sommaire
Sommaire

BIBLIOGRAPHIE

  • (1) - WOOD (M.), ERLINGER (M.) -   Intrusion Detection Message Exchange Requirements.  -  IETF (22 oct. 2002). http://www.ietf.org/internet-drafts/draft-ietf-idwg-requirements-10.txt

  • (2) - CURRY (D.), DEBAR (H.), FEINSTEIN (B.) -   The Intrusion Detection Message Exchange Format.  -  IETF (8 janv. 2004). http://www.ietf.org/internet-drafts/draft-ietf-idwg-idmef-xml-11.txt

  • (3) - FEINSTEIN (G.), MATTHEWS (G.), WHITE (J.) -   The Intrusion Detection Exchange Protocol (IDXP).  -  IETF (22 oct. 2002). http://www.ietf.org/internet-drafts/draft-ietf-idwg-beep-idxp-07.txt

  • (4) - DENNING (D.) -   An intrusion-detection model.  -  IEEE Transactions on Software Engineering, 13, no 2, p. 222-232 (1987).

  • (5) - COOPER (M.), NORTHCUTT (S.), FEARNOW (M.), FREDERICK (K.) -   Intrusion Signatures and Analysis.  -  New Riders (2001).

  • (6) - The Honeynet Project -   Know Your Enemy :...

1 Organismes

Internet Engineering Task Force (IETF) http:/www.ietf.org

Intrusion Detection Exchange Format Working Group (IDWG) http://www.ietf.org/html.charters/idwg-charter.html

NSS Group https://www.nsssecuritysolutions.co.uk/Home.html

HAUT DE PAGE

2 Logiciels

Snort http://www.snort.org

Stide (Sequence Time-Delay Embedding) http://www.cs.unm.edu/~immsec/systemcalls.htm

Nessus http://www.nessus.org

Prelude http://www.prelude.ids.org

Open Source Security Information Management (OSSIM) http://www.ossim.net

HAUT DE PAGE

3 Bases de données

Snort Signature Database http://www.snort.org/snort-db

Bugtraq http://www.securityfocus.com/bid

Common Vulnerabilities and Exposures (CVE) http://cve.mitre.org

Open Source Vulnerability...

Cet article est réservé aux abonnés.
Il vous reste 92% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(77 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS