III.3. Mode de fonctionnement d'un
IDS
Il faut distinguer deux aspects dans le fonctionnement d'un IDS :
le mode de détection utilisé et la réponse apportée
par l'IDS lors de la détection d'une intrusion.
Il existe deux modes de détection, la détection
d'anomalies et la reconnaissance de signatures. D'eux-mêmes, deux types
de réponses existent, la réponse passive et la réponse
active. Il faut noter que les différents IDS présents sur le
marché ne disposent pas toujours de l'ensemble des
fonctionnalités présentées ici.
Nous allons tout d'abord étudier les modes de
détection d'un IDS, avant de présenter les réponses
possibles à une attaque.
III.3.1. Modes de
détection
Nous notons deux modes de détection qui sont :
· La détection d'anomalies
· La reconnaissance de signature
Il faut noter que la reconnaissance de signature est le mode de
fonctionnement le plus implémenté par les IDS du marché.
Cependant, les nouveaux produits tendent à combiner les deux
méthodes pour affiner la détection d'intrusion.
III.3.1.1. La
détection d'anomalies :
Elle consiste à détecter des anomalies par rapport
à un profil "de trafic habituel". La mise en oeuvre comprend toujours
une phase d'apprentissage au cours de laquelle les IDS vont découvrir le
fonctionnement normal des éléments surveillés. Ils sont
ainsi en mesure de signaler les divergences par rapport au fonctionnement de
référence.
Les modèles comportementaux peuvent être
élaborés à partir d'analyses statistiques. Ils
présentent l'avantage de détecter des nouveaux types d'attaques.
Cependant, de fréquents ajustements sont nécessaires afin de
faire évoluer le modèle de référence de sorte qu'il
reflète l'activité normale des utilisateurs et réduire le
nombre de fausses alertes générées.
Dans le cas d'HIDS, ce type de détection peut être
basé sur des informations telles que le taux d'utilisation CPU,
l'activité sur le disque, les horaires de connexion ou d'utilisation de
certains fichiers (horaires de bureau...).
III.3.1.2. La
reconnaissance de signatures :
Cette approche consiste à rechercher dans
l'activité de l'élément surveillé les empreintes
(ou signatures) d'attaques connues. Ce type d'IDS est purement réactif ;
il ne peut détecter que les attaques dont il possède la
signature.
De ce fait, il nécessite des mises à jour
fréquentes. De plus, l'efficacité de ce système de
détection dépend fortement de la précision de sa base de
signature. C'est pourquoi ces systèmes sont contournés par les
pirates qui utilisent des techniques dites "d'évasion" qui consistent
à maquiller les attaques utilisées. Ces techniques tendent
à faire varier les signatures des attaques qui ainsi ne sont plus
reconnues par l'IDS.
Il est possible d'élaborer des signatures plus
génériques, qui permettent de détecter les variantes d'une
même attaque, mais cela demande une bonne connaissance des attaques et du
réseau, de façon à stopper les variantes d'une attaque et
à ne pas gêner le trafic normal du réseau.
Une signature permet de définir les
caractéristiques d'une attaque, au niveau des paquets (jusqu'à
TCP ou UDP) ou au niveau des protocoles (HTTP, FTP...).
· Au niveau paquet, l'IDS va analyser les différents
paramètres de tous les paquets transitant et les comparer avec les
signatures d'attaques connues.
· Au niveau protocole, l'IDS va vérifier au niveau du
protocole si les commandes envoyées sont correctes ou ne contiennent pas
d'attaque. Cette fonctionnalité a surtout été
développée pour HTTP actuellement.
Il faut savoir que les signatures sont mises à jour en
fonction des nouvelles attaques identifiées.
Néanmoins, plus il y a de signatures différentes
à tester, plus le temps de traitement sera long. L'utilisation de
signatures plus élaborées peut donc procurer un gain de temps
appréciable.
Cependant, une signature mal élaborée peut ignorer
des attaques réelles ou identifiées du trafic normal comme
étant une attaque. Il convient donc de manier l'élaboration de
signatures avec précaution, et en ayant de bonnes connaissances sur le
réseau surveillé et les attaques existantes.
Une fois une attaque détectée, un IDS a le choix
entre plusieurs types de réponses, que nous allons maintenant
détailler.
| 
