Les systèmes de détection d’intrusion

Avant d’entamer les systèmes de détection d’intrusion, il faut éclaircir la notion d’intrusion qu’on puisse la définir par toute séquence active d’événement en relation qui tente de causer du tort comme interrompre le fonctionnement d’un système, usurper l’identité d’un utilisateur ou modifier des informations. Cette définition comprend toutes les tentatives qui réussissent ou celles qui échouent (Endorf et al, 2004).

2.3.1. Définition d’un système de détection d’intrusion

On peut définir un système de détection d’intrusion (IDS) comme tout outil, méthode et ressource qui nous aident à prévoir ou identifier toute activité non autorisée dans un réseau. Une partie du nom du système de détection d’intrusion est trompeuse, les systèmes de détection d’intrusion actuels ne détectent pas les intrusions, mais ils détectent les activités réseau qui peuvent être une intrusion ou non. La détection d'intrusion est typiquement une partie d'un système de protection total installé autour d'un système ou appareil. Il n'est pas une mesure de protection autonome (Endorf et al, 2004).

2.3.2. Les avantages d’un système de détection d’intrusion

Les systèmes de détection d’intrusion offrent beaucoup d’avantages comme (Endorf et al, 2004) :

Chapitre 2 : Les systèmes de détection d’intrusion

Page 34

L’utilisation d’une base de connaissance plus grande pour prédire les intrusions. La capacité de traiter un large volume de données.

Produit une alerte presque en temps réel ce qui réduit le dommage potentiel des attaques.

Des mesures de contre-attaque automatique comme la fermeture des sessions, désactivation des comptes utilisateur, lancement des scripts automatiques.

L’ajout d’une valeur préventive forte.

La création automatique des rapports et le jugement de la suite d’événements. 2.3.3. Le modèle de base d’un système de détection d’intrusion

Il existe plusieurs outils de détection d’intrusion, chaque outil utilise sa propre technique de détection et ses propres sources de données ce qui rend la comparaison entre ces outils très difficile voire impossible. Il est très intéressant de se disposer d’un modèle général qui englobe et standardise la structure d’un système de détection d’intrusion. Ce sujet a été le centre d’intérêt du groupe IDWG (Intrusion Detection Working Group) de l’IETF. IDWG a proposé le modèle général des systèmes de détection d’intrusion qui se compose de senseur (collecteur), analyseur, manager (administrateur). La figure suivante montre en détail les composants d’un système de détection d’intrusion.

Figure 5 Le modèle générique de la détection d'intrusions proposé par l'IDWG (Wood and Erlinger, 2012)

Page 35

L’activité: c’est les éléments de la source ou les occurrences au sein de la source de données qui sont identifiés par le capteur ou l’analyseur comme étant à intérêt pour l'opérateur. Par exemple les sessions réseau montrant une activité inattendue de Telnet, les entrées des fichiers journaux du système d'exploitation montrant un utilisateur qui tente d'accéder à des fichiers auxquels il n'est pas autorisé, les fichiers journaux d'application montrant des échecs de connexion persistants… etc.

L’administrateur: c’est le responsable de l’établissement de la politique de sécurité de l'organisation, donc celui qui déploie et configure l'IDS. Cette personne peut ou peut ne pas être l’opérateur de l'IDS. Dans certaines organisations l'administrateur est associé à un réseau ou à des groupes d'administration de système. Dans d'autres organisations, c'est une position indépendante.

L’alerte : c’est un message qui passe de l’analyseur au gestionnaire pour lui informer qu’un événement d’intérêt a été détecté. Une alerte contient généralement des informations sur l'activité inhabituelle qui a été détectée ainsi que ces détails. L’analyseur : c’est le composant clé, il analyse les données recueillies par le capteur

pour signaler les activités non autorisées ou indésirables ou les événements qui pourraient avoir un intérêt pour l'administrateur de sécurité. Dans la plupart des IDSs existants, le capteur et l'analyseur font partie d'un même composant.

La source de données: c’est les informations brutes utilisées par le système de détection d'intrusion pour détecter les activités non autorisées ou non désirées. Les sources de données communes incluent (mais ne sont pas limités à) les paquets bruts du réseau, les journaux d'audit du système d’exploitation, les journaux d'audit d'applications et les données de contrôle générées par le système.

L’événement: c’est toute occurrence détectée dans la source des données par un capteur et qui peut donner lieu à une alerte. Par exemple une attaque.

Le gestionnaire: c’est l'élément clé ou le processus à partir de laquelle l'opérateur gère les différents composants du système. Les fonctions du gestionnaire comprennent généralement (mais ne sont pas limités à) la configuration du capteur, la configuration de l'analyseur, la gestion de la notification d'événements, la consolidation des données et la gestion des rapports.

La notification: c’est la méthode avec laquelle le gestionnaire de l’IDS informe l'opérateur de la survenance d'une alerte. Dans de nombreux IDSs, la notification se fait via l'affichage d'une icône colorée sur l'écran du gestionnaire de l’IDS, la

Chapitre 2 : Les systèmes de détection d’intrusion

Page 36

transmission d'un e-mail ou un message, ou la transmission d'un Simple Network Management Protocol (SNMP) trap…etc.

L’opérateur: c’est l'utilisateur principal du gestionnaire de l’IDS. L’opérateur surveille souvent la sortie du système de détection d’intrusion et déclenche ou recommande d’autres actions.

La réponse : c’est les mesures prises comme réponse à un événement. Les réponses peuvent être effectuées automatiquement par une entité dans l'architecture de l’IDS ou peuvent être initiées par un humain. L'envoi d'une notification à l'opérateur est une réponse très commune. Autres réponses incluent (mais ne sont pas limités à) la journalisation de l'activité, l'enregistrement des données brutes (à partir de la source de données) qui ont caractérisé l'événement, l’arrêt du réseau ou de l'utilisateur ou la session de l’application, la modification des contrôles d'accès réseau ou système. Le capteur: c’est le composant qui collecte des données à partir de la source de

données. La fréquence de la collecte des données varie selon la configuration de l’IDS. Le capteur est mis en place pour transférer des événements à l'analyseur.