III.1.1.3 L'architecture générale d'un
système de détection d'intrusion
Une source de données pour la capture des trames sur le
réseau et les logs du système de
senseurs, c'est là que
se font l'analyse et la détection de filtres et d'une console
demonitoring.
Un IDS a quatre fonctions principales : l'analyse, la
journalisation, la gestion et l'action.
v' Analyse: Analyse des journaux du système pour
identifier des intentions dans la masse de données recueillie par l'IDS.
Il y a deux méthodes d'analyse : L'une basée sur les signatures
d'attaques, et l'autre sur la détection d'anomalies.
1' Journalisation: Enregistrement des évènements
dans un fichier de log. Exemples d'évènements : arrivée
d'un paquet, tentative de connexion.
v' Gestion: Les IDS doivent être administrés de
manière permanente. On peut assimiler un IDS à une caméra
de sécurité.
v' Action: Alerter l'administrateur quand une attaque dangereuse
est détectée.
Dans un IDS, il existe deux méthodes de
détection qui sont d'un côté, la détection par la
reconnaissance de signature et de l'autre, la détection d'anomalies.
Nous allons décrire ces deux procédures de détection dans
les lignes suivantes.
La détection par reconnaissance de signature se fait
à travers une base de données de signatures d'attaques devant
être continuellement mise à jour.
Cette approche consiste à rechercher dans
l'activité de l'élément surveillé les empreintes
d'attaques connues.
Ce type IDS ne peut détecter que les attaques dont il
possède la signature. De ce fait, il nécessite des mises à
jour fréquentes. Cette méthode ne permet pas de détecter
les nouvelles attaques ou les variantes d'anciennes attaques dont les
caractéristiques ont été modifiées. La
détection d'anomalies se fait par une comparaison entre un comportement
normal qui va servir de base et le comportement du système à
analyser.
Tout trafic déviant des caractéristiques
normales est supposé malveillant. Cette méthode peut
détecter de nouvelles attaques dont les caractéristiques ne
correspondent pas aux caractéristiques normales.
La mise en oeuvre comprend toujours une phase d'apprentissage
au cours de laquelle les IDS vont découvrir le fonctionnement normal des
éléments surveillés. Ils sont ainsi en mesure de signaler
les divergences par rapport au fonctionnement de référence.
III.1.1.4 Pourquoi un Système de
Détection d'Intrusion (SDI ou IDS)?
Le but du système de détection d'intrusion n'est
pas seulement de détecter les cas où il y a contournement des
dispositifs de sécurité tel que le pare-feu de l'entreprise mais
également de détecter des comportements anormaux à
l'intérieur des règles d'accès.
Aujourd'hui, nombreux sont les administrateurs systèmes ou
réseaux qui n'ont pas de système de détection
d'intrusion.
Les tâches orientées en sécurité sont
nombreuses et fastidieuses comme :
v' Suivi des incidents de sécurité, de
vulnérabilités et les exploits ;
v' mise à jour, les patchs OS et les applications ;
v' vérification des logs ;
1' installation des applications de monitoring
spécifiques.
v' Par la suite, le but est de signaler ces
événements et de les transformer en
information utile à l'entreprise pour pouvoir corriger
le problème afin qu'il ne se reproduise pas des dénis de services
et des vols d'information pour collecter les traces des intrusions.
| 
