Chapitre 3 Détection d’intrusion dans les réseaux ad hoc mobiles
3.1. Systèmes de détection d’intrusion (IDS)
Une intrusion peut être définit comme n’importe qu’elle action qui tente de compromettre l’intégrité, la confidentialité, ou la disponibilité d’une ressource *73+, le système de détection d’intrusion (IDS) est un système qui détecte de telles intrusions. Le développement d’un IDS est motivé par les facteurs suivants :
La majorité des systèmes existants ont des failles (limites ou défauts) de sécurité ce qui les rendent susceptible aux intrusions, et trouver et régler toutes ces défaillances n’est pas possible (faisable) [74].
Les techniques de sécurité préventive ne sont pas suffisantes. Il est presque impossible d'avoir un système totalement sécurisé [74].
Même le système le plus sécurisé est vulnérable aux attaques internes [74].
Il y a toujours de nouvelles intrusions qui émergent, et il faut des nouvelles techniques pour défendre contres ces intrusions.
43
Puisque il y a toujours de nouvelles intrusions qui ne peuvent pas être évitées, l’IDS est introduit pour détecter les éventuelles violations de la politique de sécurité en surveillant les activités du système. Les systèmes de détection d’intrusion constituent une deuxième ligne de défense, parce que l’IDS entre en jeux une fois que l’intrusion s’est produite. Si on détecte l'attaque dès qu’elle survienne dans le réseau, une réponse peut être initiée pour prévenir ou minimiser son impact sur le système.
3.1.1 Taxonomie des systèmes de détection d’intrusion
Il y a trois principaux composants dans un IDS : le module de collection des données, le module de détection, et le module de réponse. Le module de collection des données assure les tâches de collecte et du prétraitement des données comme : le stockage et le transfert des données au module de détection [75]. Un IDS peut utiliser différentes sources de données telles que: les logs du système, les paquets du réseau, etc. Un IDS qui surveille uniquement les activités de l’hôte et détecte les intrusions uniquement au niveau hôte, est appelé host-based IDS (abrégé HIDS, traduction de système de détection d’intrusion basé sur l’hôte). Si l’IDS surveille les activités et détecte les intrusions au niveau réseau, alors il est appelé network-based IDS (abrégé NIDS, traduction de système de détection d’intrusion basé sur le réseau). Dans les réseaux sans fil multi-sauts les NIDS utilisent généralement le mode promiscuité pour écouter et collecter des données dans un segment du réseau, et ainsi détecter les attaques distribuées. Il existe aussi les systèmes de détection d’intrusion hybrides qui surveille les activités au niveau réseau aussi bien qu’au niveau hôte pour assurer une meilleure détection *76+. En fonction de l’architecture du système on peut distinguer deux types d’IDS : centralisés et distribués. L’étude réalisé par Puttini et al [77] démontre que la majorité des IDSs distribués sont hiérarchiquement organisés autour d’un nœud central et que peu d’entre eux sont complètement distribués. Généralement, seule la collecte de données est distribuée dans un IDS distribué.
Au niveau du module de détection les données sont analysées pour détecter les intrusions ou les tentatives d’intrusion. Dans la littérature, trois techniques de détection d’intrusion sont utilisées. La première est la détection à base d’anomalie (anomaly based detection) qui modélise le comportement normal du système, puis identifie toute déviation par rapport à ce modèle comme étant une anomalie (voir figure 3.1). Plusieurs techniques ont été proposées dans la littérature telles que : le plus proche voisin, réseaux de neurones, machines à vecteurs de support (SVM), et les méthodes statiques [78]. Définir le comportement ou profil normal est un défi majeur. Le profil normal peut changer avec le temps et le système de détection d’intrusion doit être mis à jour périodiquement. L’avantage de cette technique est sa capacité à détecter des attaques inconnues, cependant elle induit un coût de calcul et une consommation d’énergie élevés dues aux mises à jour
44
périodiques du profil. D’autant plus elle génère un taux élevé de faux positifs c.-à-d. les activités normales détectées par l’IDS comme anomalies.
Figure 3.1Détection d'intrusion à base d'anomalie
La détection d’intrusion à base de signature (Signature‐based detection) compare les activités observées du système avec un ensemble de signatures d’attaques (voir figure 3.2). Cette approche est généralement préférée pour les IDSs commerciaux parce qu’elle est précise et génère un faible taux de faux positifs. L’inconvénient de cette approche est qu’elle ne peut pas détecter de nouvelles attaques (ou attaques inconnues). L’efficacité de cette technique s’appuie sur la mise à jour continue de sa base de signatures, par conséquent ceci induit à d’importante consommation des ressources du réseau. Les deux techniques de détections (à base d’anomalie et à base de signature) ont leurs points forts et point faibles. Par conséquent, les deux techniques sont généralement employées conjointement pour assurer une détection efficace.
Figure 3.2 Détection d'intrusion à base de signatures
La troisième technique est la détection à base de spécification. Dans cette approche, un ensemble de contraintes de fonctionnement du protocole (ou programme) est spécifié, les intrusions sont détectées comme des violations de la spécification. Cette technique se présente comme une alternative prometteuse qui combine les avantages des deux techniques précédentes, une détection
45
des attaques connues et inconnues avec un faible taux de faux positifs (voir figure 3.3). Cette technique est capable de détecter de nouvelles attaques tant que ces dernières violent la spécification du protocole. De plus, cette technique ne déclenche pas de fausses alarmes quand le réseau présente un comportement inhabituel mais légitime, parce qu’elle se réfère à la spécification du protocole [79]. Cette technique a été appliquée au protocole DHCP (Dynamic Host Configuration Protocol), ARP (Adresse Resolution Protocol) [80], et quelques protocoles de routage ad hoc tels qu’AODV et OLSR. Définir une spécification détaillée pour chaque protocole est une tâche qui nécessite de l’expertise et qui peut prendre beaucoup de temps. En outre, ils existent certaines attaques qui ne violent pas la spécification du protocole telles que trou de ver et Rushing.
Figure 3.3 Détection d'intrusion à base de spécification
Lorsqu’une intrusion est détectée, le système lance la réponse appropriée à l’intrusion suivant sa stratégie de réponse. Les réponses aux intrusions peuvent être passives ou actives. Une réponse passive se limite au soulèvement d’une alarme et à la notification de l’autorité concernée. La réponse active quant à elle tente d’éliminer l’attaque et/ou d’arrêter l’attaquant, ou du moins minimiser l’impact de l’attaque. D’après l’objectif on peut classer les réponses aux intrusions en deux types : une réponse qui cherche à contrôler le système attaqué, et une réponse qui tente de contrôler le système attaquant [81]. Le premier type de réponse cherche à réparer le système endommagé en arrêtant l’attaque, et en terminant les connexions suspectes, etc. Le deuxième tente d’empêcher les futures tentatives de l’attaquant, ce qui est nécessaire pour les applications miliaires.
46