Les méthodes utilisées pour la détection comportementale

L’approche comportementale consiste à observer la déviation par rapport au comportement normal ou prévu du système ou des utilisateurs. Il existe plusieurs méthodes de détection d’intrusion utilisées pour implémenter cette approche. Les principales méthodes utilisées

Chapitre 3: Les techniques de détection d’intrusion

Page 50

sont : la méthode statistique, les systèmes experts, les réseaux de neurones, l’immunologie (Debar et al, 2000).

3.2.1.1. La méthode statistique

La méthode la plus utilisée pour construire les systèmes de détection d'intrusion basés comportemental est la méthode statistique (Javitz et al, 1993) (Helman et al, 1992) (Helman and Liepins, 1993). Elle consiste à mesurer le comportement de l'utilisateur ou du système par un nombre de variables échantillonnées dans le temps. Ces variables comprennent le temps de connexion et de déconnexion de chaque session, l’utilisation de la mémoire, l’occupation du processeur, l’accès aux fichiers. Le temps de la période d'échantillonnage varie de très court (quelques minutes) à long (un mois ou plus).

Le modèle de base conserve les moyennes de toutes ces variables, puis il les compare avec les valeurs des variables, où il détecte si les seuils sont dépassés. Ce modèle de base est très simple pour représenter les données d’une manière fiable. C’est la raison pour laquelle un modèle plus complexe a été développé (Javitz et al, 1993) (Javitz and Valdes, 1991), où il compare les profils des activités des utilisateurs à long terme et à court terme. Les profils doivent être régulièrement mis à jour à chaque fois que le comportement des utilisateurs évolue. Ce modèle statistique est maintenant utilisé dans un certain nombre de systèmes de détection d'intrusion ainsi que dans des nombreux prototypes (Debar et al, 2000).

3.2.1.2. Le système expert

Un système expert est capable de reproduire les mécanismes de reconnaissance d'un expert dans un domaine particulier. Il se compose d’une base des faits, une base des règles et un moteur d'inférence. Le système expert a été utilisé pour les systèmes de détection d’intrusion comportementale, où la base des règles peut être conçue de deux façons :

La première s'appuie sur un ensemble de règles qui décrivent statistiquement le comportement des utilisateurs, où elle utilise les enregistrements de leurs activités sur une période de temps donnée. L'activité courante est comparée de ces règles afin de détecter un comportement incohérent. La base des règles est reconstruite régulièrement pour tenir compte des nouvelles utilisations. Wisdom et Sense (Vaccaro and Liepins, 1989) sont des IDSs basés sur ce mode de fonctionnement.

Dans la deuxième approche, on vérifie les actions des utilisateurs en fonction d'un ensemble de règles qui décrivent la politique du bon usage, et on signale toute action

Page 51

qui ne correspond pas aux modèles acceptables. AT&T's Computer Watch (Dowell and Ramstedt, 1990) est un IDS basé sur ce mode de fonctionnement.

Cette approche est utile pour des profils d'utilisation fondés sur les politiques de sécurité, mais elle est moins efficace que l'approche statistique pour le traitement des grandes quantités d'informations d'audit.

3.2.1.3. Les réseaux de neurones

Un réseau de neurones artificiels est un modèle de calcul inspiré du mode de fonctionnement des neurones biologiques. Les réseaux neuronaux sont utilisés pour apprendre la relation entre deux ensembles des informations, puis généraliser cette relation. Dans le domaine de la détection d'intrusion, les réseaux de neurones ont été principalement utilisés pour apprendre le comportement des utilisateurs du système. Certaines équivalences entre les modèles des réseaux de neurones et statistiques ont été illustrées dans (Gallinari et al, 1988) et (Sarle et al, 1994). L'avantage d'utiliser des réseaux de neurones par rapport à l’approche statistique réside dans le moyen simple d'exprimer des relations non linéaires entre les variables, et dans le fait que l'apprentissage / réapprentissage du réseau de neurones est automatique.

Des expériences ont été effectuées en utilisant un réseau de neurones pour prédire le comportement des utilisateurs (Debar et al, 1992). Ces expériences ont montré que le comportement des utilisateurs root UNIX est extrêmement prévisible (en raison de l'activité très régulière générée par des actions automatiques du système, des démons, etc.), et que le comportement de la plupart des utilisateurs est également prévisible, et qu'il y a une très petite fraction des utilisateurs dont le comportement est imprévisible.

Les réseaux de neurones sont une technique de calcul intensif, et ils ne sont pas très utilisés par la communauté de détection d'intrusion.

3.2.1.4. L’immunologie

L’immunologie dans le domaine de l’informatique a été introduite par Forrest et al. (Forrest et al, 1997). Un système immunitaire artificiel (SIA) est inspiré des principes du fonctionnement du système immunitaire naturel. Ces algorithmes utilisent les caractéristiques du système immunitaire qui apprend et mémorise pour résoudre les problèmes. Cette technique vise à construire un modèle de comportement normal des services réseau UNIX, plutôt que le comportement des utilisateurs. Ce modèle utilise des

Chapitre 3: Les techniques de détection d’intrusion

Page 52

courtes séquences d'appels système effectués par les processus. L'outil rassemble tout d'abord un ensemble de traces d’audit de référence qui représente le comportement approprié du service, puis extrait un tableau de référence contenant toutes les bonnes séquences connues des appels système. Ces modèles (Pattern) sont ensuite utilisés pour la surveillance en temps réel pour vérifier si les séquences générées sont répertoriées dans le tableau, sinon, le système de détection d'intrusion génère une alarme. Cette technique a un taux de fausses alarmes potentiellement très faible si la table de référence est suffisamment exhaustive.

L’inconvénient de cette méthode réside dans ses faiblesses pour les erreurs de configuration dans un service, c’est-à-dire quand les attaques utilisent des mesures légitimes prises par le service pour accéder sans autorisation.