Taxonomie des systèmes de détection d‟intrusion

La détection d‟intrusion [2][3][36] a longtemps été vue comme le moyen le plus prometteur de combattre les intrusions. Pourtant elle fait partie d‟un ensemble plus grand de techniques anti-intrusions qui ont aussi leur place. [47] propose une taxonomie de toutes ces techniques, que l‟on peut résumer en le schéma de la figure 2.1, et que l‟on détaillera ci-après.

36 – Préemption

Les techniques de préemption d‟intrusion prennent place avant d‟éventuelles tentatives d‟intrusion pour les rendre moins susceptibles de se dérouler effectivement.

– Mise en œuvre :

– Veille active : le principe est de tenter d‟empêcher de futures intrusions en cherchant les signes préliminaires d‟une activité non désirée, en remarquant par exemple les étapes exploratoires d‟une intrusion, et en prenant sans attendre des mesures contre les utilisateurs concernés.

– Infiltration : Une infiltration insidieuse pourrait être d‟inonder les réseaux pirates d‟informations fausses pour embrouiller ou dissuader ceux-ci.

– Prévention

Il s‟agit de concevoir, implémenter et configurer le système assez correctement pour que les intrusions ne puissent avoir lieu, ou au moins soient sévèrement corrompues.

37 – Mise en oeuvre :

– Conception et implémentation correcte : Ceci se résume en l‟utilisation des techniques classiques d‟identification, d‟authentification, de contrôle d‟accès physique et logique.

– Outils de recherche de failles : Ce sont des outils qui recherchent un grand éventail d‟irrégularité : mots de passe faibles, logiciels non autorisés, permissions d‟accès ou propriété invalides, nœuds fantômes sur le réseau, etc.

– Pare-feux : ils examinent le flux d‟information entre deux réseaux et les protègent l‟un de l‟autre en bloquant une partie du trafic qui semble non-conforme aux règles de sécurité entreprises par le système.

– Dissuasion

C‟est la dévaluation du système par camouflage et l‟augmentation du risque perçu par l‟affichage de messages de mises en garde, ou qui sur-estiment la surveillance du système. – Mise en œuvre :

– Camouflage : on peut cacher ou dévaluer les cibles du système et adopter comme politique de faire le moins de publicité possible sur les systèmes et leur contenu. Camoufler le système le rends moins utilisable et intuitif.

– Mises en garde : elles informent les utilisateurs que la sécurité du système est prise sérieusement en compte et exagèrent les pénalités encourues si une activité illégale est observée. Toutefois, Cette méthode permet à l‟intrus de savoir à quelles signatures ou quels comportements le système réagit.

– Paranoïa : on essaye de donner l‟impression à l‟utilisateur qu‟il est sous surveillance constante. La technique de la fausse alarme de voiture est le mécanisme le plus simple pour donner cette impression, notamment la technique de la caméra de surveillance.

– Obstacles : Le but est d‟augmenter la quantité de temps et d‟efforts qu‟un intrus doit dépenser pour arriver à ses fins. On peut par exemple rallonger les temps d‟exécution des commandes ou simuler une saturation des ressources pour l‟exaspérer, sans pour autant lui donner l‟impression d‟être détecté. Toutes ces techniques peuvent cependant gêner les utilisateurs légitimes.

– Détection

Les données d‟audit du système sont parcourues à la recherche de signatures connues d‟intrusion ou de comportements anormaux, dans ces cas une alerte sera déclenchée au personnel qualifié tentera de remédier à l‟intrusion.

On détaillera la mise en œuvre de la détection des intrusions dans la section des méthodes de détection d‟intrusions.

38 – Déflection

La déflection d‟intrusion fait croire à un attaquant qu‟il a réussi à accéder aux ressources système alors qu‟il a été dirigé dans un environnement préparé et contrôlé.

– Mise en œuvre :

– Faux systèmes en quarantaine : ils sont conçus pour faire croire aux intrus qu‟ils sont sur le système cible. Cette déflection est faite par un frontal réseau tel qu‟un routeur ou un firewall. Un faux système efficace encourage l‟intrus à y rester assez longtemps pour que son identité et ses intentions soient découverts. Seulement, dédier une machine et des ressources pour l‟entretenir coûte cher.

– Faux comptes : ils sont conçus pour faire croire à l‟intrus qu‟ils utilisent un compte normal corrompu alors qu‟ils sont bloqués dans un compte spécial aux accès limités. Dans ce cas, les contrôles de déflection sont inclus directement dans le système d‟exploitation et les commandes du système.

– Contre-mesures

Les contre-mesures donnent au système la capacité à réagir aux tentatives d‟intrusions. – Mise en œuvre :

– Les ICE (Intrusion Countermeasure Equipment) : Ces équipements permettent à un système de répondre en temps réel à une tentative d‟intrusion, et ce de façon autonome. Les réactions peuvent être les suivantes:

– Alerter la personne chargée de la sécurité avec une alarme locale, – Déconnecter tout le système du réseau,

– Annuler les paquets concernés,

– Journaliser les événements sur le système pour pouvoir revenir à un état considéré comme sûr,

– Ralentir le système ou rajouter des obstacles, – Bloquer l‟accès au réseau.

Pour présenter les caractéristiques des systèmes de détection d'intrusions nous retenons la classification proposée par L. Mé et C.Michel [17]. Celle-ci, représentée sur la figure 2.2, utilise les critères de classification suivants :

− Le principe de détection des intrusions, − Le comportement après détection, − La source des données,

39 Le principe de détection des intrusions. Les deux approches utilisées à ce jour sont l'approche comportementale et l'approche par scénarios. La première se base sur l'observation du comportement de l‟utilisateur et sur la détection d'un comportement déviant par rapport à ses habitudes. Cette modification du comportement peut traduire une tentative d'intrusion, due soit à une usurpation de l'identité de l'utilisateur, soit à l'exécution par celui-ci de commandes non autorisées. La seconde approche consiste à identifier chaque attaque par une signature propre et ensuite à rechercher dans les fichiers d'audits du système les traces de ces signatures. On peut noter que cette approche par scénarios nécessite de connaître la signature d'une attaque avant de pouvoir la détecter. L'approche comportementale permet de détecter des attaques inconnues, mais la définition du comportement normal d‟utilisateur demeure la principale difficulté.

Le comportement après détection. La nature de la réponse apportée par les systèmes après détection d'une intrusion peut aussi être utilisée pour classifier les IDS. Deux types de réponses sont implémentés à ce jour, soit une réponse passive, par exemple l'émission d'une alarme à l'administrateur, soit une réponse active, comme la mise en place de nouvelles règles de filtrage sur un pare-feu.

La source des données. Les IDS peuvent être classés en fonction de la provenance de leurs données d'audit, selon qu'elles viennent du système, des applications, des paquets du réseau ou encore d‟un autre IDS.

40 La fréquence d'utilisation. La fréquence d'analyse des données d'audit est aussi un élément distinctif des systèmes de détection d'intrusions. Certains IDS peuvent surveiller en permanence le système d'information tandis que d'autres se limitent à une analyse périodique.