III.7. Qu'eSt ce qu'un IDS ne
peut pas faire ?
a- Un IDS ne peut remplacer les systèmes
d'authentification, et ne peut compenser les faiblesses
d'identifications. Malgré que les IDS utilisent des techniques
de plus en plus sophistiquées pour les analyses statistiques des profils
des utilisateurs, on ne peut affirmer qu'elles sont fiables à 100%.
b- Un IDS ne peut être
considéré comme étant le produit miracle pour
sécuriser un système. En effet plusieurs solutions
doivent être associées pour obtenir un niveau de
sécurité acceptable.
c- Un IDS ne peut conduire des
recherches concernant les attaques sans l'intervention de L'être humain.
Par exemple un IDS ne peut fournir que l'adresse IP de la machine
à partir de laquelle l'attaque a été commise sans pour
autant pouvoir identifier la personne responsable.
d- Un IDS ne peut compenser les faiblesses des
protocoles. TCP/IP et d'autres protocoles ne permettent pas une forte
authentification des sources des paquets. Ça signifie que les adresses
figurant dans les entêtes ne correspondent pas nécessairement aux
vraies adresses.
e- Un IDS ne peut analyser tous les
paquets dans un système à fort taux d'occupation. Les
différentes solutions commerciales existantes ne peuvent assurer
l'analyse de tous les paquets si le débit dans le réseau
dépasse 65 MBPS.
III.8. CLASSIFICATION DES
SYSTEMES DE DETECTION D'INTRUSIONS :
Pour classer les systèmes de détection
d'intrusions, on peut se baser sur plusieurs variables. La principale
différence retenue est l'approche utilisée, qui peut être
soit comportementale, soit par scénarios. Nous verrons ensuite d'autres
paramètres permettant de classer les différents systèmes
de détection d'intrusions.
III.8.1. Classification des systèmes de
détection d'intrusion selon l'approche
utilisée :
a. Approche comportementale :
Dans les traces d'audit, on peut chercher deux choses
différentes. La première correspond à l'approche
comportementale, c'est-à-dire qu'on va chercher à savoir si un
utilisateur a eu un comportement déviant par rapport à ses
habitudes. Ceci signifierait qu'il essaye d'effectuer des opérations
qu'il n'a pas l'habitude de faire. On peut en déduire, soit que c'est
quelqu'un d'autre qui a pris sa place, soit que lui-même essaye
d'attaquer le système en abusant de ses droits. Dans les deux cas, il y
a intrusion.
Plusieurs méthodes différentes peuvent
être mises en oeuvre pour détecter le comportement déviant
d'un individu par rapport à un comportement antérieur
considéré comme normal par le système. La méthode
statistique se base sur un profil du comportement normal de l'utilisateur au vu
de plusieurs variables aléatoires. Lors de l'analyse, on calcule un taux
de déviation entre le comportement courant et le comportement
passé. Si ce taux dépasse un certain seuil, le système
déclare qu'il est attaqué. Les systèmes experts, eux,
visent à représenter le profil d'un individu par une base de
règles créée en fonction de ses précédentes
activités et recherchent un comportement déviant par rapport
à ces règles. Une autre méthode consiste à
prédire la prochaine commande de l'utilisateur avec une certaine
probabilité.
Notons également l'utilisation des réseaux de
neurones pour apprendre les comportements normaux des utilisateurs ou encore
l'utilisation de la méthode dite "d'immunologie" se basant sur le
comportement normal du système et non des utilisateurs.
b. Approche par scénarios :
La deuxième chose que l'on peut chercher dans les
traces d'audit est la signature d'attaque. Cela correspond à l'approche
par scénarios. Les attaques connues sont répertoriées et
les actions indispensables de cette attaque forment sa signature. On compare
ensuite les actions effectuées sur le système avec ces signatures
d'attaques. Si on retrouve une signature d'attaque dans les actions d'un
utilisateur, on peut en déduire qu'il tente d'attaquer le système
par cette méthode.
De même que pour l'approche comportementale, plusieurs
méthodes peuvent être utilisées pour gérer les
signatures d'attaques. Les systèmes experts les représentent sous
forme de règles. La méthode dite du "Pattern Matching"
(reconnaissance de forme) représente les signatures d'attaques comme des
suites de lettres d'un alphabet, chaque lettre correspondant à un
événement. Les algorithmes génétiques sont
également utilisés pour analyser efficacement les traces d'audit.
Les signatures d'attaques peuvent être également vues comme une
séquence de changements d'états du système. La simple
analyse de séquences de commandes a été rapidement
abandonnée car elle ne permettait pas la détection d'attaques
complexes. Pour l'approche par scénarios, le poids donné à
chaque entité (audit, base de signatures d'attaques et mécanisme
d'analyse) et la façon dont elles sont mises en relation est
décisive pour obtenir un système de détection efficace.
Chacune des deux approches a ses avantages et ses
inconvénients, et les systèmes de détection d'intrusions
implémentent généralement ces deux aspects. Avec
l'approche comportementale, on a la possibilité de détecter une
intrusion par une attaque inconnue jusqu'alors.
Par contre, le choix des paramètres est délicat,
ce système de mesures n'est pas prouvé exact, et on obtient
beaucoup de faux positifs, c'est-à-dire que le système croit
être attaqué alors qu'il ne l'est pas.
Qui plus est, un utilisateur peut apprendre à la
machine le comportement qu'il souhaite, notamment un comportement totalement
anarchique ou encore changer lentement de comportement. Avec l'approche par
scénarios, on peut prendre en compte les comportements exacts des
attaquants potentiels. Les inconvénients sont dans la base de
règles qui doit être bien construite et les performances qui sont
limitées par l'esprit humain qui les a conçues. Notons
également que l'approche par scénarios ne permet
évidemment pas de détecter une attaque inconnue jusque
là.
Si la classification la plus utilisée est celle de
l'approche comportementale et de l'approche par scénarios, il est
possible de classer les systèmes de détection d'intrusions en
fonction d'autres paramètres qu'on va détailler dans ce qui
suit.
III.8.2. Classification des systèmes de
détection d'intrusion selon la provenance de leurs
données :
Un système de détection d'intrusion peut
être classifié dans l'une des catégories suivantes, en
fonction de la provenance des données qu'il doit examiner :
a. Basé Application:
L'IDS de ce type reçoit les données du niveau
application, par exemple, des fichiers logs générés par
les logiciels de gestion de bases de données, les serveurs web ou les
Firewalls. Notons que les vulnérabilités de la couche
application peuvent saper l'intégrité de l'approche de
détection Basée Application.
b. Basé Hôte:
L'IDS reçoit les informations qui reflètent
l'activité qui se produit dans un système
déterminé. Ces informations sont parfois sous forme de traces
d'audit du système d'exploitation, elles peuvent inclure aussi des logs
système, d'autres logs générés par les processus du
système d'exploitation, et les contenus des objets système non
reflétés dans l'audit standard du système d'exploitation
et les mécanismes de logging (comme les sockets ouvertes avec leur
état et les numéros de ports associés... ). Ce type d'IDS
peut aussi utiliser les résultats retournés par un autre IDS de
type Basé Application.
Avantage :
ü Le système peut gérer les accès
en terme de "qui accède à quoi".
ü Le système peut suivre les changements du
comportement associés aux mauvais usages.
ü Le système peut opérer dans des
environnements cryptés.
ü Le système peut partager la charge de gestions
des hôtes dans un grand réseau ce qui diminue les coûts.
Inconvénients :
ü Les activités réseau ne sont pas
visibles par les détecteurs Basés Hôte.
ü Quand les traces d'audit sont utilisées comme
sources de données ils demandent des ressources additionnelles.
ü Les vulnérabilités du système
d'exploitation peuvent détruire l'intégrité des agents et
analyseurs du système basé hôte.
ü Cette approche engendre des coûts plus
élevés en la comparant avec les autres approches.
ü Les agents basés hôte travaillent
généralement sur une plate forme déterminée.
c. Basé Réseau:
Ce type d'IDS reçoit les données du
réseau, ces données sont généralement obtenues par
le sniffing des paquets, en utilisant l'interface réseau mise dans le
mode promiscuous (mode transparent). Il peut aussi recevoir les
résultats retournés par un autre IDS de l'un des deux types
déjà cités.
Avantage :
ü La possibilité de la détection des
attaques réseau.
ü Les données viennent sans aucune exigence
spéciale en raison des mécanismes d'audit et de logging ;
dans la plus part des cas la collection des données réseau se
fait en configurant la carte réseau.
ü L'insertion d'un agent de niveau réseau ne
touche pas les autres sources de données.
Inconvénients :
ü Malgré que quelques systèmes
Basés Réseau puissent inférer du trafic
réseau
Ce qui se passe sur les hôtes, ils ne
peuvent pas rapporter les résultats de
L'exécution d'une commande sur un hôte.
ü Les agents Basés Réseau ne peuvent pas
explorer le contenu ou les protocoles si le trafic réseau est
crypté.
ü Les systèmes Basés Réseau actuels
ne peuvent pas traiter les trafics réseau très
élevés.
ü Les détecteurs d'intrusion Basés
Réseau deviennent plus difficiles à implémenter dans les
réseaux segmentés modernes. Les réseaux segmentés
établissent un segment réseau pour chaque hôte, donc
Basé Réseau, IDS est réduit à l'analyse du trafic
depuis ou vers un seul hôte.
d. Basé infrastructure Multi
réseaux :
Les IDS multi network-base prennent généralement
la forme d'une équipe de réponse aux incidents (incident
réponse team IRT), où les données du système
proviennent des sites à l'intérieur de leurs circonscriptions. Un
site dans ce cas est une entité qui appartient à un domaine
administratif. Les données communiquées à ce type d'IDS
proviennent généralement des applications, des hôtes, du
réseau, ou des autres multi network IDS.
Les catégories des systèmes de détection
d'intrusion listées ci-dessus peuvent être organisées dans
une hiérarchie, dont le sommet est un IDS Basé infrastructure
Multi réseaux et les bases sont des IDS
Basés Application. Un IDS dans n'importe quel point de
l'hiérarchie peut recevoir les données de n'importe quel IDS de
plus bas niveau en plus des agents qui peuvent opérer dans le même
niveau, et les résultats d'un IDS peuvent être utilisés
par d'autres IDS du même niveau ou de niveau supérieur.
e. Basé Intégrité:
Les systèmes intégrés utilisent des
agents (collecteurs de données) de niveau : application, hôte
et réseau, ce qui leur donne la capacité de détecter des
intrusions de n'importe niveaux. Il leurs est facile de voir de façon
permanente les activités à travers l'espace réseau, par
conséquent, l'évaluation des dommages et la reprise du
système sont possibles. Cependant, ce type de système
présente quelques inconvénients tels que : ces
systèmes sont beaucoup plus difficiles à diriger et
déployer, il n'existe pas de normes qui prennent en considération
l'interopérabilité des IDS, ce qui rend difficile ou impossible
d'intégrer des composants de différents vendeurs.
III.8.3. Classification des IDS selon le délai
de détection :
Certains systèmes surveillent en permanence le
système d'information ce qui rend possible la détection des
intrusions en temps réel, tandis que d'autres se contentent d'une
analyse périodique :
a. Batch ou Orienté Intervalle (analyse
périodique) :
Dans l'approche Orientée Intervalle,
les systèmes basés hôte et les mécanismes d'audit
enregistrent les informations dans des fichiers, ces fichiers sont
analysés périodiquement par le détecteur d'intrusion pour
les indications d'intrusions et des mauvais usages.
Avantage :
ü Ces systèmes imposent une charge de traitement
minime en les comparants aux systèmes temps réel.
ü Ils sont mieux adaptés aux environnements
où les ressources systèmes et humaines sont limitées, les
organisations qui n'ont pas de personnel s'occupant entièrement de la
sécurité utilisent rarement des systèmes temps
réel.
ü Il est plus facile de soumettre le log système
à un IDS Orienté Intervalle.
Inconvénients :
ü L'agrégation de l'information pour les
analyseurs basés intervalle consomme beaucoup d'espace disque, cela peut
être le résultat de l'énorme quantité de
données dans les réseaux d'entreprise.
ü Il est pratiquement impossible d'interrompre une
attaque pour minimiser les dégâts.
b. Systèmes temps réel (analyse
permanente) :
Les systèmes temps réel fournissent la collecte
d'information, les analyses, les rapports avec parfois des réponses de
manière continue. Le terme temps réel est utilisé ici
comme pour les processus de contrôle système, le processus de
détection se passe de manière suffisamment rapide pour entraver
les attaques, notons que cette définition est valable pour les
systèmes qui mettent des millisecondes pour effectuer des analyses ainsi
que pour les systèmes plus lents. Les systèmes temps réel
fournissent une variété d'alarmes temps réel aussi bien
que des ruptures automatiques des attaques.
Avantage:
ü Dépendant de la vitesse de l'analyse, les
attaques peuvent être rapidement détectées de façon
à permettre aux administrateurs systèmes de les interrompre.
ü Dépendant de la vitesse et de la
sensibilité de l'analyse, l'administrateur système peut
être capable d'effectuer le traitement d'incident plus rapidement.
ü Dans le cas des systèmes où les
remèdes sont disponibles, l'administrateur système peut
être capable de rassembler les informations qui permettent une
identification et une poursuite plus efficace des intrus.
Inconvénients :
ü Ces systèmes consomment beaucoup de
mémoire et de ressources de traitement.
ü La configuration des systèmes temps réel
est vraiment critique, une mauvaise formulation de signature engendre tellement
beaucoup de fausses alarmes que les attaques réelles passent sans
être observées.
ü Il y a de sérieux risques associés aux
réponses automatisées -une caractéristique de quelques
systèmes temps réel --qui essayent de nuire le système
attaqué.
III.8. 4. Classification des IDS
selon leur capacité de répondre aux attaques :
Après la détection d'une intrusion, le
système de détection doit agir en effectuant une ou plusieurs
actions qui ont pour premier but de minimiser les dégâts. La
nature des actions effectuées détermine les types d'IDS :
a. IDS actif :
A la détection d'une attaque le système prend
des décisions pour modifier l'environnement du système
attaqué, cette altération peut consister à la
déconnexion de l'attaquant et la reconfiguration des mécanismes
réseaux pour bloquer toutes les connections provenant de la même
adresse source.
b. IDS PASSIF [11,13] :
Ce type de systèmes se contente d'informer
l'administrateur système qu'une attaque a eu lieu, et c'est à ce
dernier de prendre les mesures adéquates pour assurer la
sécurité du système. Un administrateur peut aller plus
loin, et essaye de rassembler le maximum d'informations qui lui permettront
d'identifier l'attaquant pour d'éventuelles poursuites judiciaires.
On a présenté dans cette partie les principales
classifications des IDS, d'autres classifications se basent sur d'autres
variables sont aussi possibles, mais celles présentées ici sont
les plus utiles dans notre travail.
| 
