Présentation
En anglaisAuteur(s)
-
Hervé DEBAR : Expert senior, France Télécom R&D
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleINTRODUCTION
Le développement de l’informatique s’est accompagné de problèmes de sécurité. À l’origine, les virus se propageaient lentement, par l’échange de supports informatiques. Avec l’apparition des premiers réseaux TCP/ IP, les problèmes de sécurité se sont diversifiés et ont conduit au développement de nouvelles techniques de sécurité.
Très tôt dans le développement d’Internet, des vulnérabilités sur les systèmes d’exploitation ont permis à des attaquants de se déplacer virtuellement de système en système. Dans le contexte militaire de déploiement des réseaux TCP/ IP, la détection des actions malveillantes est rapidement devenue une nécessité. Les mesures de prévention se sont révélées insuffisantes et ont amené la création de systèmes de détection d’intrusions (IDS).
Ces systèmes ont été développés dans le but de détecter des fonctionnements anormaux des systèmes d’information et des réseaux, indiquant que des actions non conformes à la politique de sécurité sont menées par un ou plusieurs utilisateurs. Deux familles de techniques d’analyse ont été élaborées pour effectuer cette détection. La première famille de techniques d’analyse postule que l’on peut différencier le comportement d’un attaquant du comportement habituel du système d’information surveillé. La deuxième famille exploite la connaissance accumulée sur les vulnérabilités et les manières de pénétrer les systèmes d’information ; lorsque des actions d’utilisateurs ressemblent à des attaques précédemment décrites, le système de détection d’intrusions transmet une alerte.
Ces techniques d’analyse s’appliquent à différentes sources de données, qui doivent être acquises par le système de détection d’intrusions (écoute du réseau ou lecture de fichiers par exemple), et prétraitées pour simplifier l’analyse.
L’objectif de ces systèmes de détection d’intrusion aujourd’hui est principalement de fournir des informations sur la santé du système d’information surveillé aux opérateurs. Cependant, l’évolution des techniques d’analyse et l’amélioration de leur fiabilité permettent d’envisager dans quelques années des systèmes de protection plus fins que ceux disponibles à l’heure actuelle. En particulier, il devrait devenir possible de protéger individuellement chacun des services offerts par un système d’information, sans être lié aux points d’accès réseau comme cela est le cas aujourd’hui avec la technologie généralisée des pare-feu.
DOI (Digital Object Identifier)
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(76 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
2. Technologies d’analyse
2.1 Détection par scénarios
La détection par scénarios s’appuie sur la connaissance accumulée au sujet des attaques et des vulnérabilités spécifiques des systèmes d’information, systèmes d’exploitation et applications. Le système de détection d’intrusions contient des informations sur ces vulnérabilités et recherche des tentatives d’exploiter ces vulnérabilités. Quand une telle tentative est détectée, une alerte est produite.
En d’autres termes, toute action qui n’est pas explicitement identifiée comme un mauvais usage du système d’information, est considérée comme acceptable. Notons que la détection par scénarios couvre plus que les attaques connues. Une politique de sécurité peut explicitement déclarer des événements comme « indésirables » sans qu’il y ait de vulnérabilité associée. Par exemple, certains protocoles comme SNMP peuvent être bannis d’un réseau indépendamment de toute vulnérabilité.
D’autre part, un certain nombre de mécanismes d’attaque ou de vulnérabilité ont été analysés, pour extraire des caractéristiques communes à une classe de vulnérabilités, par exemple les débordements de mémoire. Ces modèles abstraits permettent de détecter des phénomènes anormaux liés à ces mécanismes d’attaque, sans que pour autant la vulnérabilité spécifique soit connue. La même démarche est utilisée pour généraliser les scénarios spécifiques à une vulnérabilité, pour les rendre indépendants d’un outil d’attaque.
HAUT DE PAGE2.1.1 Description des scénarios
La description des scénarios peut se faire de multiples manières. Dans le projet IDES, l’implémentation de référence était constituée d’un système expert contenant, sous forme de règles, la connaissance des vulnérabilités. Une action d’un utilisateur était introduite sous forme d’un fait dans la base de connaissances, et le système expert devait déterminer si l’ensemble des faits et règles permettait de conclure à une intrusion ou tentative d’intrusion....
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(76 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Technologies d’analyse
BIBLIOGRAPHIE
-
(1) - WOOD (M.), ERLINGER (M.) - Intrusion Detection Message Exchange Requirements. - IETF (22 oct. 2002). http://www.ietf.org/internet-drafts/draft-ietf-idwg-requirements-10.txt
-
(2) - CURRY (D.), DEBAR (H.), FEINSTEIN (B.) - The Intrusion Detection Message Exchange Format. - IETF (8 janv. 2004). http://www.ietf.org/internet-drafts/draft-ietf-idwg-idmef-xml-11.txt
-
(3) - FEINSTEIN (G.), MATTHEWS (G.), WHITE (J.) - The Intrusion Detection Exchange Protocol (IDXP). - IETF (22 oct. 2002). http://www.ietf.org/internet-drafts/draft-ietf-idwg-beep-idxp-07.txt
-
(4) - DENNING (D.) - An intrusion-detection model. - IEEE Transactions on Software Engineering, 13, no 2, p. 222-232 (1987).
-
(5) - COOPER (M.), NORTHCUTT (S.), FEARNOW (M.), FREDERICK (K.) - Intrusion Signatures and Analysis. - New Riders (2001).
-
(6) - The Honeynet Project - Know Your Enemy :...
Internet Engineering Task Force (IETF) http:/www.ietf.org
Intrusion Detection Exchange Format Working Group (IDWG) http://www.ietf.org/html.charters/idwg-charter.html
NSS Group https://www.nsssecuritysolutions.co.uk/Home.html
HAUT DE PAGE
Snort http://www.snort.org
Stide (Sequence Time-Delay Embedding) http://www.cs.unm.edu/~immsec/systemcalls.htm
Nessus http://www.nessus.org
Prelude http://www.prelude.ids.org
Open Source Security Information Management (OSSIM) http://www.ossim.net
HAUT DE PAGE
Snort Signature Database http://www.snort.org/snort-db
Bugtraq http://www.securityfocus.com/bid
Common Vulnerabilities and Exposures (CVE) http://cve.mitre.org
Open Source Vulnerability...
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(76 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive