2.1.3 Méthodes de détection des IDS
2.1.3.1 Systèmes de détection
d'intrusion par signatures
Les systèmes de détection d'intrusion par
signature ou SIDS, reposent sur des bibliothèques de description des
attaques (appelées signatures). Au cours de l'analyse du flux
réseau, le système de détection d'intrusion analysera
chaque événement et une alerte sera émise dès lors
qu'une signature sera detectée. Cette signature peut
référencer un seul paquet, ou un ensemble (dans le cas d'une
attaque par déni de service par exemple). Cette méthodologie de
détection se révèle être efficace uniquement si la
base de signatures est maintenue à jour de manière
régulière. Dans ce cas, la détection par signatures
produit peu de faux-positifs[17].
Cependant, une bonne connaissance des différentes
attaques est nécessaire pour les décrire dans la base de
signature. Dans le cas d'attaques inconnues de la base, ce modèle de
détection s'avérera inefficace et ne générera donc
pas d'alertes. La base de signature est donc très dépendante de
l'envi-ronnement (système d'exploitation, version, applications
déployées, . . .).
Chapitre 2. Les systèmes de détection
d'intrusion 2.1. Systèmes de détection d'intrusion
20
2.1.3.2 Systèmes de détection d'intrusion
par anomalies
Contrairement aux SIDS, les systèmes de détection
d'intrusion par anomalies (ou AIDS : Anomaly-based Intrusion Detection System)
ne se reposent pas sur des bibliothèques de description des attaques.
Ils vont se charger de détecter des comportements anormaux lors de
l'analyse du flux réseau[12]. Pour cela, le système va reposer
sur deux phases:
· Une phase d'apprentissage, au cours de laquelle ce
dernier va étudier des comportements normaux de flux réseau.
· Une phase de détection, le système
analyse le trafic et va chercher à identifier les
événements anormaux en se basant sur ses connaissances.
Cette méthode de détection repose sur de
nombreuses techniques d'apprentissage supervisé, telles que:
· Les réseaux de neurones artificiels;
· Le modèle de Markov caché;
· Les machines à vecteurs de support.
2.1.3.3 Systèmes de détection
d'intrusion Hybride
Cette méthodologie de détection consiste
à reposer à la fois sur un système de détection par
signature et sur un système de détection par anomalies. Pour
cela, les deux modules de détection, en plus de déclencher des
alertes si une intrusion est détectée, peuvent communiquer leurs
résultats d'analyse à un système de décision qui
pourra lui-même déclencher des alertes grâce à la
corrélation des résultats remontés par les deux
modules.
L'avantage de cette méthodologie de détection
est la combinaison du faible taux de faux-positifs générés
par les systèmes de détection d'intrusion par signature, tout en
possédant la capacité de détecter des attaques inconnues
dans la base de signature grâce à la détection par
anomalie[12].
| 
