Testabilité des systèmes de détection d‟intrusions

Malgré le fait que les systèmes de détection d'intrusions sont devenus les outils de défense omniprésents dans les systèmes informatiques d‟aujourd‟hui, jusqu‟à présent on n‟a aucune méthodologie complète et scientifiquement rigoureuse pour examiner l'efficacité de ces systèmes [63]. Dans cette section on va donner un ensemble de mesures partielles qui peuvent être utilisées pour tester le rendement des IDS. On va se concentré sur des mesures quantitatives relier à l'exactitude de la détection.

2.12.1 Couverture

Cette mesure détermine quelles attaques l‟IDS peut détecter dans des conditions idéales. Pour les systèmes qui utilisent l‟approche par scénarios, cela consiste simplement à compter le nombre de signatures et de les arranger sous un schéma d'appellation standard. Pour les autres systèmes, on doit déterminer quelles attaques hors de l'ensemble de toutes les attaques connues peuvent être détectées par une méthodologie particulière. Les dimensions qui composent chaque attaque rendent cette mesure difficile. En effet, chaque attaque à un but particulier, vise un logiciel particulier fonctionnant sur des versions particulières des systèmes d'exploitation ou contre un protocole particulier, et laisse des traces dans des endroits différents. Les attaques peuvent également dépendre du matériel du système objet. Dans ce qui va suivre on va donner quelques concepts qui rentre dans le cadre de cette mesure [64] [63].

59 1.12.2 Pertinence (Taux de Faux Positifs)

Cette notion concerne principalement le taux des faux positifs produits par un IDS dans un environnement donné pendant une période de temps particulière. Un faux positif, ou fausse alarme, est une alerte provoquée par le trafic en absence de l'attaque. Quelques causes pour les N-IDS incluent les signatures faibles; la détection des violations communes du protocole TCP. Elles peuvent également être provoquées par la surveillance et la maintenance du trafic générée par des outils de gestion du réseau. Il est difficile de mesurer les faux positifs, parce qu‟un IDS peut avoir différents taux de faux positifs dans chaque environnement réseau, sachant qu'il n'existe pas de réseau « standard » . En outre, il est difficile de déterminer les aspects du trafic réseau ou les activités de l'hôte qui causeront de telles alertes. En conséquence, il est difficile de garantir qu'on peut produire le même nombre et type de fausses alarmes dans les tests des IDS comme dans le cas des vrais réseaux. Pour cela, il faux jouer sur la multitude des méthodes de configuration des IDS afin de réduire le taux des faux positifs. Sachant que cela rend difficile de déterminer quelle configuration d‟IDS doit être utilisée pour un test particulier de faux positifs.

2.12.3 Complétude (Taux de Faux Négatifs)

Cette notion concerne le taux d'attaques détectées correctement par un IDS dans un environnement donné pendant une période particulière. En parle aussi des faux négatifs, c'est- à-dire l‟occurrence d'attaque en l'absence d'alerte. La difficulté dans la mesure des taux de détection est que le succès d'un IDS dépend en grande partie de l'ensemble d'attaques utilisées pendant le test. En outre, la probabilité de la détection change avec le taux des faux positifs, et un IDS peut être configuré soit pour favoriser la capacité à détecter les attaques ou bien pour réduire au minimum les faux positifs. La figure 2.5 illustre ce problème d‟adéquation par rapport à l‟approche utilisée.

60 Une mesure qui rentre dans le cadre de la complétude d‟un système est sa capacité à identifier une attaque, cette mesure montre à quel point un IDS peut identifier l'attaque qu‟il a détecté en l‟affectant à une catégorie, et en la marquant par un nom commun (de vulnérabilité) avec les autres attaques identiques.

Une autre mesure est la capacité de détecter les nouvelles attaques qui montre à quel point un IDS peut détecter les attaques qui n'ont jamais été produites avant. Pour les systèmes commerciaux, il n'est généralement pas utile de considérer cette mesure puisque leurs technologies basées généralement sur les signatures peuvent seulement détecter des attaques qui s'étaient produites précédemment (à quelques exceptions). Cependant, les systèmes basés sur la détection d'anomalie peuvent convenir à ce type de mesures. Généralement les systèmes qui permettent de détecter les nouvelles attaques produisent des faux positifs plus que ceux qui n'ont pas ce dispositif.

2.12.4 Résistance aux attaques

Cette mesure montre à quel point un IDS peut résister à la tentative d'un attaquant à perturber son fonctionnement correct. Parmi les formes des attaques contre un IDS on peut citer [2] :

L'envoie d'un grand volume trafic qui excède les capacités du traitement d'un IDS. Avec un Figure 2.5. Adéquation des faux positifs/ négatifs par rapport à l‟approche utilisée [2].

61 tel trafic à traiter, l‟IDS peut planter et ne puisse pas détecter les attaques. L'envoie aux IDS des paquets dont l'objectif est de déclencher beaucoup de signatures, accablant de ce fait l'opérateur humain des IDS avec des faux positifs brisant ainsi les traitements d'alertes. L'envoie à un IDS un grand nombre de paquets d'attaques d'identifications prévues pour distraire l'opérateur humain des IDS tandis que l'attaquant incite une vraie attaque cachée en dessous de "l‟écran de fumées" créé par la multitude de ces attaques. L'envoie à un IDS des paquets contenant des données qui exploitent une vulnérabilité dans les algorithmes du traitement des IDS. De telles attaques seront réussies seulement si les IDS contiennent une erreur de programmation connue qui peut être exploitée par un attaquant malin.

Parmi les mesures qu‟un IDS doit entreprendre pour remédier à ces attaques, le fait de pouvoir corréler les événements d'une attaque. Ces événements peuvent être recueillis d'IDS eux mêmes, des routeurs, des pare-feux, des applications logs, ou d'une large variété d'autres dispositifs. Cette corrélation permet aussi d'identifier les attaques de pénétration par étapes. Actuellement, les IDS ont seulement des aptitudes limitées dans ce domaine. Une autre mesure est la capacité de déterminer le succès d'une attaque qui est essentielle pour l'analyse de la corrélation et du scénario de l'attaque. Cela va également simplifier considérablement le travail d'un analyste en distinguant les attaques réussites qui sont les plus importantes et les attaques échouées habituellement moins préjudiciables.

2.12.5 Capacité de manipuler le trafic réseau

Cette mesure montre à quel point un IDS fonctionnera en présence d'un grand volume du trafic. La plupart des N-IDS commenceront à ignorer les paquets arrivés à mesure que le volume du trafic augmente, entraînant ces IDS à manquer certain pourcentage des attaques. Cette mesure est presque identique à « la mesure de résistance aux dénis de service » quand l'attaquant envoie un grand volume de trafic aux IDS. La seule différence est que cette mesure calcule l‟aptitude de l‟IDS à manipuler les volumes particuliers par rapport au fond normal du trafic.

Il est à noter aussi qu‟un N-IDS peut être éludé par des versions furtives des attaques. Les techniques utilisées pour rendre les attaques furtives incluent la fragmentation des paquets, l'utilisation de divers types de codage des données en utilisant des drapeaux TCP inhabituels des paquets d'attaques cryptés, l‟extension des attaques à travers des sessions multiples du réseau, et le lancement des attaques à partir des sources multiples [65]. Pour remédier à ces attaques, un N-IDS exige des capacités d'inspection dans des niveaux plus profonds des paquets du réseau. Par conséquent, il est important de mesurer les capacités d'un

62 N-IDS à capturer et à traiter, avec le même niveau d‟exactitude, sous une charge réseau donnée, comme pour le cas d‟un réseau passif. Pour cela, Par exemple, Hall [66] ont proposé une méthodologie de test et des métriques concernant le trafic pour normaliser les tests d‟efficacité des N-IDS.

2.12.6 Autres Mesures

Il y a d'autres mesures de test de l‟efficacité des IDS, telles que la facilité d'utilisation, la facilité de maintenance, les issues de déploiements, les besoins de ressources, la disponibilité et la qualité des supports, etc. Ces mesures ne sont pas directement liées aux performances de l'IDS mais peuvent être plus significatives dans beaucoup de situations commerciales.