Accueil Sécurité Sécurité – Principe de la détection d’intrusion

Sécurité – Principe de la détection d’intrusion

Posté le mars 5, 2010 Phil V.L
Aucun commentaire BOOKMARK

Un système de détection d’intrusion (ou IDS : Intrusion Detection System) est un mécanisme destiné à repérer des activités anormales ou suspectes sur la cible analysée (un réseau ou un hôte). Il permet ainsi d’avoir une connaissance sur les tentatives réussies comme échouées des intrusions.

Il existe trois grandes familles distinctes de système de détection d’intrusion :

  • Les NIDS (NetworkBased Intrusion Detection System), qui surveillent l’état de la sécurité au niveau du réseau.
  • Les HIDS (HostBased Intrusion Detection System), qui surveillent l’état de la sécurité au niveau des hôtes.
  • Les IDS hybrides, qui utilisent les NIDS et HIDS pour avoir des alertes plus pertinentes.

Les HIDS sont particulièrement efficaces pour déterminer si un hôte est contaminé et les NIDS permettent de surveiller l’ensemble d’un réseau contrairement à un HIDS qui est restreint à un hôte.

1) NIDS (IDS réseau)

Un NIDS se découpe en trois grandes parties :

  • la capture,
  • les signatures,
  • les alertes.

1.1) Capture

La capture sert à la récupération de trafic réseau. En général cela se fait en temps réel, bien que certains NIDS permettent l’analyse de trafic de manière différé.

A chaque paquet réseau récupéré est appliqué un filtre BPF (Berkley Packet Filter), correspondant à l’affinage de ce que l’IDS cherche à récupérer comme information.

Nota : Sous forte charge du serveur, il est possible que certains paquets soient ignorés.

1.2) Les signatures

Les bibliothèques de signatures (approche par scénario) rendent la démarche d’analyse similaire à celle des antivirus quand ceux-ci s’appuient sur des signatures d’attaques. Ainsi, le NIDS est efficace s’il connaît l’attaque, mais inefficace dans le cas contraire.

Les NIDS ont pour avantage d’être des systèmes temps réel et ont la possibilité de découvrir des attaques ciblant plusieurs machines à la fois. Leurs inconvénients sont le taux élevé de faux positifs qu’ils génèrent, le fait que les signatures aient toujours du retard sur les attaques de type 0day et qu’ils peuvent être la cible d’une attaque.

1.3) Alertes

Les alertes sont généralement stockées dans des fichiers de logs. Cependant, il existe des IHM pour permettre une visualisation plus aisée ultérieurement.

2) HIDS (HostBased IDS)

Les HIDS, pour Host based IDS, signifiant « Système de détection d’intrusion machine » sont des IDS dédiés à un matériel ou système d’exploitation. Généralement, contrairement a un NIDS, le HIDS récupère les informations qui lui sont données par le matériel ou le système d’exploitation. Il y a pour cela plusieurs approches : signatures, comportement (statistiques) ou délimitation du périmètre avec un système de liste de contrôle d’accès (ACL).
Un HIDS se comporte comme un daemon ou un service standard sur un système hôte qui détecte une activité suspecte en s’appuyant sur une norme. Si les activités s’éloignent de la norme, une alerte est générée. La machine peut être surveillée sur plusieurs points :

  • Activité de la machine : nombre et listes de processus ainsi que d’utilisateurs, ressources consommées…
  • Activité de l’utilisateur : horaires et durée des connexions, commandes utilisées, messages envoyés, programmes activés, dépassement du périmètre défini…
  • Activité malicieuse d’un ver, virus ou cheval de Troie

Un autre type d’HIDS cherche les intrusions dans le « noyau » (kernel) du système, et les modifications qui y sont apportées. Certains appellent cette technique « analyse protocolaire ». Très rapide, elle ne nécessite pas de recherche dans une base de signature. Exemples de contrôles pour Windows …

  • EPROCESS (structure de données en mode noyau contenant des informations qui peuvent permettre de cacher un processus),
  • Les processus fonctionnant en mode « noyau »
  • L1es fonctions logicielles système ou de gestion de périphérique présentes dans l’ordinateur.
  • La SSDT (System Service Dispatch Table) table utilisée par Windows pour diriger des appels de système vers un traitement approprié : table d’adressage des interruptions.
  • etc…

Le HIDS a pour avantage de n’avoir que peu de faux positifs, permettant d’avoir des alertes pertinentes. Quant à ses inconvénients il faut configurer un HIDS par poste et demande une configuration de chaque système.

3) IDS Hybride

Les IDS hybrides sont basés sur une architecture distribuée, où chaque composant unifie son format d’envoi d’alerte (typiquement IDMEF) permettant à des composants divers de communiquer et d’extraire des alertes plus pertinentes.

Les avantages des IDS hybrides sont multiples :

  • Moins de faux positifs
  • Meilleure corrélation
  • Possibilité de réaction sur les analyseurs

4) Liste de quelques IDS libres

NIDS (Network IDS)
Snort
Bro

HIDS (HostBased IDS)
Chkrootkit
OSSEC
Prelude LML

IDS hybride
Prelude
OSSIM

Sources :
Wikipedia

Partager cet article :
Digg Google Bookmarks reddit Mixx StumbleUpon Technorati Yahoo! Buzz DesignFloat Delicious BlinkList Furl
Tagged with: , ,

Aucun commentaire pour “Sécurité – Principe de la détection d’intrusion”

Laissez une réponse :

Nom (obligatoire) :
E-mail (ne sera pas rendu public) (obligatoire) :
Site web :
Commentaire (obligatoire) :
XHTML: Vous pouvez utiliser les balises suivantes : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>