1.5. AVANTAGES ET INCONVENIENTS
DES METHODES DE DETECTION
Nous avons présenté les deux principes de la
détection d'intrusions : l'approche comportementale et l'approche
basée sur la connaissance. D'une part l'approche comportementale
détecte toute déviation importante dans le comportement habituel
d'un utilisateur. Diverses techniques de détection existent à
savoir l'approche statistique, l'apprentissage automatique, l'approche
immunologique, la spécification des programmes et la théorie
d'information. D'autre part, la détection basée sur la
connaissance cherche directement les activités malveillantes en
s'appuyant sur les descriptions des attaques connues. Parmi les techniques
employées nous citons les systèmesexperts, les automates, les
algorithmes génétiques, la fouille de données et le
filtrage de motifs.
Nous résumons dans le tableau 1 les avantages et les
inconvénients de ces deux principes de détection
évoqué ci-haut :
Tableau 1.I:Comparaison des deux principes de
détection d'intrusions
|
Détection par anomalie
|
Détection basée par la
connaissance
|
|
Avantages
|
· Détection de nouvelles attaques.
|
· Explication facile des scénarios d'attaques.
· Génération minimale des faux positifs.
|
|
Inconvénients
|
· Apprentissages inexacte : si ce dernier se base
sur des données supposées être normale mais contenant des
attaques inconnues.
· Evolution du comportement normal ce qui exige un
apprentissage adaptatif => risque d'un apprentissage progressif
initié, par un intrus.
· Génération abondante des faux
positifs.
· Sélection cruciale des paramètres utiles
lors de la phase d'apprentissage puisque des paramètres en trop
représentent un bruit alors que ceux en moins dégradent la
qualité de détection.
· Définition difficile des seuils exacts
d'anomalie
· Fixation difficile des durées nécessaires
à l'apprentissage.
|
· Non détection de nouvelles attaques,
· Expertise requise pour construire efficacement des
signatures d'attaque
· Mise à jour continue de la base de
règles
· Augmentation rapide du nombre de règles qui
généralement manquent d'abstraction
· Délais important entre la découverte des
attaques et la définition des signatures.
|
1.6. STRATEGIE UTILISEE POUR UNE
DETECTION D'INTRUSIONS
Afin de résoudre quelques problèmes de la
détection d'intrusions basée réseau, nous proposons une
nouvelle stratégie de vérification du trafic. Nous divisons le
processus de détection en deux étapes.
Une première étape de division du trafic suivie
par une étape de détection d'intrusions. La première
étape tient compte des propriétés du trafic et des
caractéristiques des IDS pour partager la charge de l'analyse sur
plusieurs IDS.
| 
