III.4. Caractéristiques
souhaitées d'un IDS :
Les caractéristiques que l'on attend d'un IDS
sont :
Ø Il doit fonctionner de manière continue avec
une présence humaine minimum.
Ø IL doit être capable d'effectuer une
surveillance permanente et d'émettre une alarme en cas de
détection.
Ø Il doit être tolérant aux fautes
c'est-à-dire qu'il doit être capable de retrouver son état
initial de fonctionnement après un crash causé soit par une
manipulation accidentelle soit par des activités émanant de
personnes malintentionnées.
Ø Il doit résister à la subversion. L'IDS
doit être capable de se contrôler lui-même et de
détecter s'il a été modifié par un attaquant.
Ø Il doit imposer une supervision minimale du
système sur lequel il tourne afin de ne pas interférer avec ses
opérations normales.
Ø Il doit être configurable d' après
les politiques de sécurité du système qu'il supervise.
Ø Il doit également être capable de
s'adapter aux changements du système et des comportements des
utilisateurs au cours du temps (par exemple installation de nouvelles
applications, transfert des utilisateurs d'une activité vers une
autre et du coup transfert des ressources du système).
Ø Il doit être capable de fournir suffisamment
d'informations pour que le système puisse être
réparé et de déterminer l'étendu des dommages et la
responsabilité de l'intrus.
Ø Les évènements anormaux ou les
brèches dans la sécurité doivent être
rapportées en temps réel pour minimiser les dégâts.
Le système de détection d'intrusions ne devra pas donner un lourd
fardeau au matériel surveillé.
Lorsque le nombre de systèmes à superviser
augmente et donc que les attaques potentielles augmentent également,
nous pouvons alors attendre de l'IDS les caractéristiques suivantes :
Ø Il doit être capable de superviser un
nombre important de stations tout en fournissant des résultats
de manière rapide et précise.
Ø Il doit fournir " un service minimum de crise "
c'est-à-dire que si certains composants de l'IDS cessent de
fonctionner, les autres composants doivent être affectés le moins
possible par cet état de dégradation.
Ø Il doit autoriser des reconfigurations et des
installations de patchs d'une manière dynamique. Si un grand nombre
de stations est supervisé, il devient pratiquement impossible de
redémarrer l'IDS sur tous les hôtes lorsque l'on doit
effectuer un changement.
|